Microsoft Defender ウイルス対策 ネットワーク接続を構成および検証する

  • [アーティクル]

適用対象:

プラットフォーム

  • Windows

ヒント

RSS フィード: ご自身のフィード リーダーに次の URL をコピーして貼り付けると、このページの更新時に通知を受け取ることができます。

https://github.com/MicrosoftDocs/microsoft-365-docs/commits/public/microsoft-365/security/defender-endpoint/configure-network-connections-microsoft-defender-antivirus.md.atom

ウイルス対策クラウド配信保護Microsoft Defender適切に機能させるには、セキュリティ チームが、エンドポイントと特定の Microsoft サーバー間の接続を許可するようにネットワークを構成する必要があります。 この記事では、ファイアウォール規則の使用を許可する必要がある接続の一覧を示します。 また、接続を検証するための手順も提供します。 保護を適切に構成すると、クラウドで提供される保護サービスから最適な価値を確実に受け取ります。

重要

この記事では、Microsoft Defender ウイルス対策専用のネットワーク接続を構成する方法について説明します。 Microsoft Defender for Endpoint (ウイルス対策Microsoft Defender含む) を使用している場合は、「Defender for Endpoint のデバイス プロキシとインターネット接続設定を構成する」を参照してください。

Microsoft Defenderウイルス対策クラウド サービスへの接続を許可する

Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントに高速かつ強力な保護を提供します。 クラウド配信の保護サービスを有効にすることは省略可能です。 Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントとネットワーク上のマルウェアに対する重要な保護を提供するため、推奨されます。 詳細については、「Windows セキュリティ アプリで、Intune、Microsoft Endpoint Configuration Manager、グループ ポリシー、PowerShell コマンドレット、または個々のクライアントでサービスを有効にするためのクラウド提供の保護を有効にする」を参照してください。

サービスを有効にしたら、ネットワークとエンドポイント間の接続を許可するようにネットワークまたはファイアウォールを構成する必要があります。 保護はクラウド サービスであるため、コンピューターはインターネットにアクセスし、Microsoft クラウド サービスにアクセスする必要があります。 任意の種類のネットワーク検査から URL を *.blob.core.windows.net 除外しないでください。

注:

Microsoft Defenderウイルス対策クラウド サービスは、ネットワークとエンドポイントに更新された保護を提供します。 クラウド サービスは、クラウドに格納されているファイルの保護としてのみ考慮しないでください。代わりに、クラウド サービスは分散リソースと機械学習を使用して、従来のセキュリティ インテリジェンス更新プログラムよりも高速な速度でエンドポイントの保護を提供します。

サービスと URL

このセクションの表は、サービスとそれに関連付けられている Web サイト アドレス (URL) の一覧です。

これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 それ以外の場合は、それらの URL (URL *.blob.core.windows.netを除く) 専用の許可ルールを作成する必要があります。 次の表の URL は、通信にポート 443 を使用します。 (次の表に示すように、一部の URL にはポート 80 も必要です)。

サービスと説明 URL
Microsoft Defenderウイルス対策クラウド配信保護サービスは、Microsoft Active Protection Service (MAPS) と呼ばれます。
Microsoft Defenderウイルス対策では、MAPS サービスを使用してクラウド配信の保護を提供します。		 *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) と Windows Update Service (WU)
これらのサービスにより、セキュリティ インテリジェンスと製品の更新が可能になります。		 *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

詳細については、「Windows Updateの接続エンドポイント」を参照してください。
セキュリティ インテリジェンスの更新プログラムの代替ダウンロード場所 (ADL)
これは、インストールされているセキュリティ インテリジェンスが古い (7 日以上遅れている) 場合、Microsoft Defenderウイルス対策セキュリティ インテリジェンス更新プログラムの別の場所です。		 *.download.microsoft.com
*.download.windowsupdate.com (ポート 80 が必要です)
go.microsoft.com (ポート 80 が必要です)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
マルウェア申請ストレージ
これは、提出フォームまたは自動サンプル送信を介して Microsoft に送信されたファイルのアップロード場所です。		 ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
証明書失効リスト (CRL)
Windows では、CRL を更新するために MAPS への SSL 接続を作成するときに、この一覧を使用します。		 http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
ユニバーサル GDPR クライアント
Windows では、このクライアントを使用してクライアント診断データを送信します。

Microsoft Defenderウイルス対策では、製品の品質と監視のために一般的なデータ保護規則が使用されます。		 この更新プログラムでは、SSL (TCP ポート 443) を使用してマニフェストをダウンロードし、次の DNS エンドポイントを使用する診断データを Microsoft にアップロードします。
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

ネットワークとクラウド間の接続を検証する

一覧表示されている URL を許可した後、Microsoft Defenderウイルス対策クラウド サービスに接続されているかどうかをテストします。 URL が正しくレポートされ、情報を受け取っていることをテストして、完全に保護されていることを確認します。

cmdline ツールを使用してクラウド提供の保護を検証する

Microsoft Defenderウイルス対策コマンド ライン ユーティリティ (mpcmdrun.exe) で次の引数を使用して、ネットワークが Microsoft Defender ウイルス対策クラウド サービスと通信できることを確認します。

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

注:

管理者としてコマンド プロンプト ウィンドウを開きます。 [スタート] メニューの項目を右クリックし、[管理者として実行] をクリックし、アクセス許可プロンプトで [はい] をクリックします。 このコマンドは、Windows 10、バージョン 1703 以降、またはWindows 11でのみ機能します。

詳細については、「mpcmdrun.exe コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。

Microsoft から偽のマルウェア ファイルのダウンロードを試みる

ウイルス対策が検出され、クラウドに適切に接続されている場合にブロックMicrosoft Defenderサンプル ファイルをダウンロードできます。 ファイルをダウンロードするには、 を参照してください https://aka.ms/ioavtest1

注:

ダウンロードしたファイルは正確にマルウェアではありません。 これは、クラウドに適切に接続されているかどうかをテストするように設計された偽のファイルです。

正しく接続されている場合は、ウイルス対策通知Microsoft Defender警告が表示されます。

Microsoft Edge を使用している場合は、通知メッセージも表示されます。

Edge でマルウェアが検出されたことを示す通知

インターネット エクスプローラーを使用している場合、同様のメッセージが表示されます。

マルウェアが検出されたことを示すMicrosoft Defenderウイルス対策通知

Windows セキュリティ アプリで偽のマルウェア検出を表示する

  1. タスク バーで [シールド] アイコンを選択し、Windows セキュリティ アプリを開きます。 または、[セキュリティ開始] を検索します

  2. [ ウイルス & 脅威保護] を選択し、[ 保護の履歴] を選択します。

    1. [ 検疫された脅威 ] セクションで、[ 完全な履歴を表示 ] を選択して、検出された偽のマルウェアを確認します。

    注:

    バージョン 1703 より前のバージョンのWindows 10には、異なるユーザー インターフェイスがあります。 Windows セキュリティ アプリMicrosoft Defenderウイルス対策に関するページを参照してください。

    Windows イベント ログには、クライアント イベント ID 1116 Windows Defenderも表示されます。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

関連項目

ヒント

詳細については、こちらをご覧ください。 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。