デバイスを Microsoft Defender for Endpoint にオンボードする

Microsoft 365 Business Premium には、中小企業向けのエンドポイント セキュリティ ソリューションである Microsoft Defender for Business が含まれます。 Defender for Business は、企業用のデバイスに対して、次世代の保護 (ウイルス対策、マルウェア対策、クラウド配信保護)、ファイアウォール保護、Web コンテンツ フィルタリングなどを提供します。 保護は、デバイスをオンボードし、それらのデバイスにセキュリティ ポリシーを適用する場合に適用されます。

デバイスを Defender for Business にオンボードするには、いくつかのオプションから選択できます。

• Microsoft Intune に既に登録されている Windows デバイスの自動オンボード
• Windows デバイスと Mac デバイスを Defender for Business にオンボードするためのローカル スクリプト (Intune にまだ登録されていないデバイスの場合)
• Microsoft Defender アプリを使用してモバイル デバイスをオンボードする (モバイル脅威防御機能が一般公開されました)。
• Intune をモバイル デバイス (Windows、Mac、iOS、Android) などの新しいデバイスに登録 し、それらのデバイスに Defender for Business ポリシーを適用する

この文書には、以下の内容が含まれます:

• サーバーについて
• Windows デバイスで検出テストを実行する方法
• デバイスを段階的にオンボードする方法
• デバイスが交換された場合、または他のユーザーが組織を離れた場合にデバイスをオフボードする方法

重要

問題が発生し、オンボード プロセスが失敗した場合は、「Microsoft Defender for Business トラブルシューティング」を参照してください。

Intune に既に登録されている Windows デバイスの自動オンボードを使用する

これらのデバイスが既に Intune に登録されている場合は、Windows クライアント デバイスを Defender for Business に自動的にオンボードできます。 Defender for Business は、Intune に既に登録されている Windows クライアント デバイスを検出し、それらのデバイスを自動的にオンボードするかどうかを選択するように求められます。 その後、Defender for Business のセキュリティ ポリシーと設定がそれらのデバイスに適用されます。 このプロセスを自動オンボードと呼びます。

自動オンボードを使用すると、デバイスをほぼすぐに保護することができます。 自動オンボード オプションは、次の条件が満たされている場合にのみ Windows クライアント デバイスに適用されることに注意してください。

• Defender for Business を取得する前に、組織は既に Intune で、Intune、モバイル デバイス管理 (MDM) を使用していました ( Microsoft 365 Business Premium をお使いのお客様は既に Microsoft Intune をお持ちです)。
• Intune に Windows クライアント デバイスが既に登録されています。

ヒント

自動オンボードを使用するように求められたら、"すべてのデバイスが登録されました" オプションを選択することをお勧めします。 そうすれば、後で Windowsデバイスが Intune に登録されると、自動的に Defender for Business にオンボードされます。

自動オンボードの詳細については、「ウィザードを使用して Microsoft Defender for Business を設定する」を参照してください。

ローカル スクリプトを使用して Windows デバイスと Mac デバイスを Defender for Business にオンボードする

ローカル スクリプトを使用して、Windowsデバイスと Mac デバイスをオンボードできます。 デバイスでオンボード スクリプトを実行すると、Microsoft Entra ID を持つ信頼が作成され (その信頼がまだ存在しない場合)、Intune にデバイスが登録され (まだ登録されていない場合)、デバイスが Defender for Business にオンボードされます。 一度に最大 10 台のローカル スクリプトを使用するデバイスをオンボードできます。

詳細な手順については、「Microsoft Defender for Business にデバイスをオンボードする」を参照してください。

Microsoft Defender アプリを使用してモバイル デバイスをオンボードする

Microsoft Defender アプリを使用して Android デバイスと iOS デバイスをオンボードできるようになりました。 Defender for Business のモバイル脅威防御機能を使用すると、ユーザーは Google Play または Apple App StoreからMicrosoft Defender アプリをダウンロードし、サインインし、オンボード手順を完了します。

詳細な手順については、「デバイスをMicrosoft Defender for Businessにオンボードする」の「モバイル デバイス」タブを参照してください。

モバイル脅威防御の詳細については、「Microsoft Defender for Businessのモバイル脅威防御機能」を参照してください。

Intune を使用してデバイスを登録する

デバイスを登録するには、デバイスを自分で登録するか、ユーザーがポータル サイト アプリにサインインし、デバイスを登録してから、必要なアプリをインストールします。

Intune とモバイル デバイス管理を既に使用していた場合は、Defender for Business を入手する前に、Intune を使用して組織のデバイスをオンボードし続けることができます。 Intune を使用すると、iOS や Android デバイスを含むコンピューター、タブレット、スマートフォンをオンボードできます。

「Microsoft Intune のデバイス登録に関する説明」を参照してください。

サーバーについて

サーバーをオンボードするには、Microsoft Defender for Business serversなどの追加ライセンスが必要です。 「Microsoft Defender for Business serversを取得する方法」を参照してください。

新しくオンボードされた Defender for Endpoint デバイスで検出テストを実行する

Windowsデバイスを Defender for Business にオンボードしたら、Windows デバイスで検出テストを実行して、すべてが正しく動作していることを確認できます。

1. Windows デバイスで、フォルダーを作成します: C:\test-MDATP-test。

2. 管理者としてコマンド プロンプト ウィンドウを開きます。

3. コマンド プロンプト ウィンドウで、次の PowerShell コマンドを実行します:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、新しくオンボードされたデバイスのMicrosoft Defender ポータル (https://security.microsoft.com) に約 10 分で新しいアラートが表示されます。

デバイスを段階的にオンボードする

段階的にデバイスをオンボードする (段階的なデバイス オンボードといいます) 場合には、次の手順に従います:

1. オンボードするデバイスのセットを特定します。

2. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

3. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

4. オペレーティング システム ( Windows 10 や 11 など) を選択し、オンボード方法 (ローカル スクリプトなど) を選択します。 選択した方法に関して提供されているガイダンスに従います。

5. オンボードするデバイスのセットごとに、このプロセスを繰り返します。

ヒント

デバイスをオンボードするたびに、同じオンボード パッケージを使用する必要はありません。 例えば、ローカル スクリプトで一部のデバイスをオンボードし、後で別の方法を選択してより多くのデバイスをオンボードすることができます。

デバイスのオフボード

デバイスをオフボードにする場合は、次のいずれかの手順を使用します:

1. ナビゲーション ウィンドウで、[設定] を選択し、[エンドポイント] を選択します。

2. [デバイス管理] で、[オフボード] を選択します。

3. Windows 10 や 11 などのオペレーティング システムを選択し、[デバイスのオフボード] の [展開方法] セクションで [ローカル スクリプト] を選択します。

4. 確認画面で情報を確認し、[ダウンロード] を選択して続行します。

5. [ダウンロード パッケージ] を選択します。 オフボード パッケージをリムーバブル ドライブに保存することをお勧めします。

6. オフボードする各デバイスでスクリプトを実行します。 このタスクに関するヘルプが必要ですか? 以下のリソースを参照してください。

   • Windows デバイス: ローカル スクリプトを使用したWindows デバイスのオフロード
   • Mac: Mac でのアンインストール

重要

デバイスをオフボードすると、デバイスは Defender for Business へのデータの送信を停止します。 ただし、オフボードの前に受信したデータは、最大 6 か月間保持されます。

次の手順

Windows デバイスの保護を設定する。