Microsoft Defender for Endpoint の合理化された接続を使用したデバイスのオンボード
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint クライアントでは、関連するクラウド サービスへのプロキシ接続の使用が必要になる場合があります。 この記事では、合理化されたデバイス接続方法、前提条件について説明し、新しい宛先を使用して接続を検証するための追加情報を提供します。
ネットワークの構成と管理を簡略化するために、削減された URL セットまたは静的 IP 範囲を使用して、新しいデバイスを Defender for Endpoint にオンボードできるようになりました。 以前にオンボードされたデバイスの移行の詳細については、「 効率的な接続へのデバイスの移行」を参照してください。
Defender for Endpoint で認識される簡略化されたドメイン: *.endpoint.security.microsoft.com
は、次のコア Defender for Endpoint サービスへの接続を統合します。
- クラウドによる保護
- マルウェアサンプル提出ストレージ
- 自動 IR サンプル ストレージ
- Defender for Endpoint コマンド & コントロール
- Defender for Endpoint のサイバーデータと診断データ
環境の準備と更新された宛先の一覧の詳細については、「 手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。
ホスト名の解決やワイルドカードのサポートなしでネットワーク デバイスをサポートするには、代わりに、専用の Defender for Endpoint 静的 IP 範囲を使用して接続を構成できます。 詳細については、「 静的 IP 範囲を使用して接続を構成する」を参照してください。
注:
- 合理化された接続方法では、 デバイス上の Microsoft Defender for Endpoint の機能は変更されず、エンド ユーザー エクスペリエンスも変更されません。 サービスへの接続にデバイスが使用する URL または IP のみが変更されます。
- 現在、古い統合サービス URL を非推奨にする予定はありません。 "Standard" 接続でオンボードされたデバイスは引き続き機能します。 将来のサービスで必要となるので、
*.endpoint.security.microsoft.com
への接続が可能であり、引き続き可能であることを確認することが重要です。 この新しい URL は、すべての必須 URL リストに含まれています。 - サービスへの接続は、証明書のピン留めと TLS を利用します。 トラフィックを "中断して検査" することはサポートされていません。 さらに、接続はユーザー コンテキストではなく、デバイス コンテキストから開始されます。 プロキシ (ユーザー) 認証を適用すると、ほとんどの場合、接続が禁止 (中断) されます。
はじめに
Defender for Endpoint の合理化された接続方法を使用するには、デバイスが特定の前提条件を満たしている必要があります。 オンボードを続行する前に、前提条件が満たされていることを確認します。
前提条件
ライセンス:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender 脆弱性の管理
最小 KB 更新プログラム (Windows)
- SENSE バージョン: 10.8040.*/ 2022 年 3 月 8 日以降 (表を参照)
Microsoft Defender ウイルス対策のバージョン (Windows)
-
マルウェア対策クライアント:
4.18.2211.5
-
エンジン:
1.1.19900.2
-
ウイルス対策 (セキュリティ インテリジェンス):
1.391.345.0
Defender ウイルス対策のバージョン (macOS/Linux)
- mDE 製品バージョン 101.24022.*+ でサポートされている macOS バージョン
- MDE 製品バージョン 101.24022.*+ でサポートされている Linux バージョン
サポートされているオペレーティング システム
- Windows 10 バージョン 1809 以降。 Windows 10 バージョン 1607、1703、1709、1803 は、合理化されたオンボード パッケージでサポートされていますが、別の URL 一覧が必要な場合は、「合理化された URL シート」を参照してください
- Windows 11
- Windows Server 2022
- Windows Server 2019
- Windows Server 2012 R2 または Windows Server 2016、完全に更新された実行中の Defender for Endpoint モダン統合ソリューション (MSI によるインストール)。
- mDE 製品バージョン 101.24022.*+ でサポートされている macOS バージョン
- MDE 製品バージョン 101.24022.*+ でサポートされている Linux バージョン
重要
- MMA エージェントで実行されているデバイスは 、合理化された接続方法ではサポートされていないため、標準の URL セット (Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Server 2012 & 2016 は最新の統合エージェントにアップグレードされていない) を引き続き使用する必要があります。
- Windows Server 2012 R2 と Server 2016 は、新しい方法を利用するために統合エージェントにアップグレードする必要があります。
- Windows 10 1607、1703、1709、1803 では、新しいオンボード オプションを利用できますが、より長いリストが使用されます。 詳細については、 合理化された URL シートを参照してください。
Windows OS | 最小 KB 必須 (2022 年 3 月 8 日) |
---|---|
Windows 11 | KB5011493 (2022 年 3 月 8 日) |
Windows 10 1809、Windows Server 2019 | KB5011503 (2022 年 3 月 8 日) |
Windows 10 19H2 (1909) | KB5011485 (2022 年 3 月 8 日) |
Windows 10 20H2、21H2 | KB5011487 (2022 年 3 月 8 日) |
Windows 10 22H2 | KB5020953 (2022 年 10 月 28 日) |
Windows 10 1803* | < サービスの終了 > |
Windows 10 1709* | < サービスの終了 > |
Windows Server 2022 | KB5011497 (2022 年 3 月 8 日) |
Windows Server 2012 R2、2016* | 統合エージェント |
合理化された接続プロセス
次の図は、合理化された接続プロセスと対応するステージを示しています。
ステージ 1。 クラウド接続用にネットワーク環境を構成する
前提条件が満たされていることを確認したら、合理化された接続方法をサポートするようにネットワーク環境が適切に構成されていることを確認します。 「ネットワーク環境の構成」で説明されている手順に従って、 Defender for Endpoint サービスとの接続を確保します。
簡素化されたドメインに統合された Defender for Endpoint サービス URL は、接続に必要ではなくなりました。 ただし、一部の URL は統合に含まれていません。
合理化された接続を使用すると、次のオプションを使用してクラウド接続を構成できます。
オプション 1: 簡略化されたドメインを使用して接続を構成する
簡素化された Defender for Endpoint ドメインへの接続を許可するように環境を構成する: *.endpoint.security.microsoft.com
。 詳細については、「 Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。
更新された一覧の下に表示される残りの必要なサービスとの接続を維持する必要があります。 たとえば、認定失効リストである Windows Update、SmartScreen サービスにも、現在のネットワーク インフラストラクチャと修正プログラムの適用方法に応じてアクセスできる必要がある場合があります。
オプション 2: 静的 IP 範囲を使用して接続を構成する
効率的な接続により、IP ベースのソリューションを URL の代替手段として使用できます。 これらの IP は、次のサービスに対応しています。
- マップ
- マルウェアサンプル提出ストレージ
- Auto-IR サンプル ストレージ
- Defender for Endpoint コマンドとコントロール
重要
IP メソッドを使用している場合は、EDR Cyber データ サービス (OneDsCollector) を個別に構成する 必要があります (このサービスは URL レベルでのみ統合されます)。SmartScreen、CRL、Windows Update、その他のサービスなど、他の必要なサービスとの接続も維持する必要があります。
IP 範囲を最新の状態に保つためには、Microsoft Defender for Endpoint サービスの次の Azure サービス タグを参照することをお勧めします。 最新の IP 範囲は、サービス タグにあります。 詳細については、「 Azure IP 範囲」を参照してください。
サービス タグ名 | Defender for Endpoint サービスが含まれています |
---|---|
MicrosoftDefenderForEndpoint | クラウド配信の保護、マルウェア サンプル送信ストレージ、自動 IR サンプル ストレージ、Defender for Endpoint コマンドと制御。 |
OneDsCollector | Defender for Endpoint のサイバーデータと診断データ 注: このサービス タグの下のトラフィックは Defender for Endpoint に限定されるものではなく、他の Microsoft サービスの診断データ トラフィックを含めることができます。 |
次の表に、MicrosoftDefenderForEndpoint サービス タグでカバーされている現在の静的 IP 範囲を示します。 最新の一覧については、 Azure サービス タグ のドキュメントを参照してください。
地域 | IP 範囲 |
---|---|
US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/24 13.83.125.0/24 |
EU | 4.208.13.0/24 20.8.195.0/24 |
UK | 20.26.63.224/28 20.254.173.48/28 |
天文単位 | 68.218.120.64/28 20.211.228.80/28 |
重要
Defender for Endpoint のセキュリティとコンプライアンス標準に準拠して、データはテナントの物理的な場所に従って処理され、保存されます。 クライアントの場所に基づいて、トラフィックはこれらの IP リージョン (Azure データセンター リージョンに対応) のいずれかを通過する可能性があります。 詳細については、「 データ ストレージとプライバシー」を参照してください。
ステージ 2。 Defender for Endpoint サービスに接続するようにデバイスを構成する
接続インフラストラクチャを介して通信するようにデバイスを構成します。 デバイスが前提条件を満たし、センサーと Microsoft Defender ウイルス対策のバージョンが更新されていることを確認します。 詳細については、「 デバイス プロキシとインターネット接続設定の構成 」を参照してください。
ステージ 3。 クライアント接続の事前オンボードを確認する
詳細については、「 クライアント接続の確認」を参照してください。
次の事前オンボード チェックは、Windows と Xplat MDE クライアント アナライザーの両方で実行できます。 Microsoft Defender for Endpoint クライアント アナライザーをダウンロードします。
Defender for Endpoint にまだオンボードされていないデバイスの合理化された接続をテストするには、次のコマンドを使用して、Windows 用クライアント アナライザーを使用できます。
MDEClientAnalyzer フォルダー内から
mdeclientanalyzer.cmd -o <path to cmd file>
を実行します。 コマンドは、オンボード パッケージのパラメーターを使用して接続をテストします。パラメーターがGW_US、GW_EU、GW_UKである場合は、
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>
を実行します。 GW は合理化されたオプションを指します。 該当するテナント geo を使用して実行します。
補足チェックとして、クライアント アナライザーを使用して、デバイスが前提条件を満たしているかどうかをテストすることもできます。 https://aka.ms/BetaMDEAnalyzer
注:
Defender for Endpoint にまだオンボードされていないデバイスの場合、クライアント アナライザーは標準の URL セットに対してテストします。 合理化されたアプローチをテストするには、この記事で前述したスイッチを使用して実行する必要があります。
ステージ 4。 合理化された接続に必要な新しいオンボード パッケージを適用する
サービスの完全な一覧と通信するようにネットワークを構成したら、合理化された方法を使用してデバイスのオンボードを開始できます。
続行する前に、デバイスが 前提条件 を満たし、センサーと Microsoft Defender ウイルス対策のバージョンが更新されていることを確認します。
新しいパッケージを取得するには、Microsoft Defender XDR で、[ 設定] > [エンドポイント] > [デバイス管理> オンボード] を選択します。
該当するオペレーティング システムを選択し、[接続の種類] ドロップダウン メニューから [合理化] を選択します。
この方法でサポートされている (Defender for Endpoint にオンボードされていない) 新しいデバイスの場合は、推奨されるデプロイ方法で、更新されたオンボード パッケージを使用して、前のセクションのオンボード手順に従います。
- Windows クライアントのオンボード
- Windows Server のオンボード
- Windows 以外のデバイスをオンボードする
- デバイスで検出テストを実行して、Microsoft Defender for Endpoint に適切にオンボードされていることを確認する
- 標準オンボード パッケージを使用する既存のオンボード ポリシーからデバイスを除外します。
Defender for Endpoint に既にオンボードされているデバイスの移行については、「 合理化された接続へのデバイスの移行」を参照してください。 デバイスを再起動し、ここで特定のガイダンスに従う必要があります。