デバイス プロキシとインターネット接続の設定を構成する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

重要

IPv6 専用トラフィック用に構成されているデバイスはサポートされていません。

Microsoft Defender ATP センサーでは、センサー データをレポートし、Microsoft Defender for Endpoint サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。 埋め込まれた Defender for Endpoint センサーは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。

ヒント

インターネットへのゲートウェイとして転送プロキシを使用する組織では、ネットワーク保護を使用して転送プロキシの背後を調査できます

WinHTTP 構成設定は、Windows インターネット (WinINet) 閲覧プロキシ設定とは無関係です ( WinINet と WinHTTP を参照)。 プロキシ サーバーを検出できるのは、次の検出方法を使用することだけです。

  • 自動検出メソッド:

  • 手動の静的プロキシの構成:

    • レジストリ ベースの構成

    • netsh コマンドを使用して構成された WinHTTP – 安定したトポロジのデスクトップ (同じプロキシの背後にある企業ネットワークのデスクトップなど) だけに適しています。

注:

Defender ウイルス対策 EDR プロキシは個別に設定できます。 以下のセクションでは、これらの違いに注意してください。

レジストリ ベースの静的プロキシを使用して、プロキシ サーバーを手動で構成します。

コンピューターがインターネットへの接続を許可されていない場合は、診断データを報告し、Defender for Endpoint サービスと通信するために Defender for Endpoint 検出および応答 (EDR) センサー用のレジストリ ベースの静的プロキシを構成します。

注:

Windows 10、Windows 11、Windows Server 2019、または Windows Server 2022 でこのオプションを使用する場合は、次のビルド (またはそれ以降) と累積的な更新プログラムのロールアップを使用してください。

これらの更新プログラムは、CnC (Command and Control) チャネルの接続性と信頼性を向上しさせます。

静的プロキシはグループ ポリシー (GP) を使用して構成できます。EDR を使用するには、グループ ポリシー値の下の両方の設定をプロキシ サーバーに構成する必要があります。 グループ ポリシーは、[管理用テンプレート] で使用できます。

  • 管理用テンプレート > Windows コンポーネント > のデータ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用を構成します。

    [有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します。

    [グループ ポリシー設定 1 の状態] ウィンドウ

  • 管理用テンプレート > Windows コンポーネント > データ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリを構成します。

    プロキシを構成します。

    [グループ ポリシー設定 2 の状態] ウィンドウ

グループ ポリシー レジストリ キー レジストリ エントリ
接続されたユーザー エクスペリエンスとテレメトリ サービス用に認証されたプロキシ使用状況を構成する HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
接続されたユーザー エクスペリエンスと利用統計情報を構成する HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例: 10.0.0.6:8080 (REG_SZ)

注:

完全にオフラインのデバイスで 'TelemetryProxyServer' 設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、 の1値を持つ追加のレジストリ設定PreferStaticProxyForHttpRequestを追加する必要があります。
"PreferStaticProxyForHttpRequest" の親レジストリ パスの場所は "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" です
次のコマンドを使用して、レジストリ値を正しい場所に挿入できます。
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
上記のレジストリ値は、MsSense.exe バージョン 10.8210.* 以降、またはバージョン 10.8049.* 以降でのみ適用されます。

Microsoft Defender ウイルス対策の静的プロキシを構成する

Microsoft Defender ウイルス対策のクラウドで提供される保護では、新しい脅威や新たな脅威に対してほぼ瞬時に自動化された保護が提供されます。 Defender ウイルス対策がアクティブなマルウェア対策ソリューションである場合、カスタム インジケーターには接続が必要であることに注意してください。 ブロック モードの EDR の場合は、Microsoft 以外のソリューションを使用する際の主要なマルウェア対策ソリューションを備えています。

[管理用テンプレート] で使用できるグループ ポリシーを使用して静的プロキシを構成します:

  1. 管理用テンプレート>Windows コンポーネント > Microsoft Defenderウイルス対策 > ネットワークに接続するためのプロキシ サーバーを定義します。

  2. これを [有効] に 設定し、プロキシ サーバーを定義します。 URL には http:// または https:// が必要です。 https:// でサポートされているバージョンについては、「Microsoft Defender ウイルス対策更新プログラムの管理」を参照してください。

    Microsoft Defender ウイルス対策のプロキシ サーバー

  3. レジストリ キー HKLM\Software\Policies\Microsoft\Windows Defender の下で、ポリシーはレジストリ値 ProxyServer を REG_SZとして設定します。

    レジストリ値 ProxyServer は、次の文字列形式を取ります:

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

注:

完全にオフラインのデバイスで静的プロキシ設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、dword 値が 0 の追加レジストリ設定 SSLOptions を追加する必要があります。 "SSLOptions" の親レジストリ パスの場所は "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" です

Microsoft Defender ウイルス対策は、回復力の目的とクラウドで提供される保護のリアルタイム性のために、最後に動作したことが確認されたプロキシをキャッシュします。 プロキシ ソリューションで SSL インスペクションが実行されていないことを確認します。 これにより、セキュリティで保護されたクラウド接続が壊れる可能性があります。

Microsoft Defender ウイルス対策は、更新プログラムをダウンロードするために、静的プロキシを使用して Windows Update または Microsoft Update に接続することはありません。 代わりに、構成済みのフォールバック順序に従って Windows Update または構成済みの内部更新プログラム ソースを使用するように構成されている場合は、システム全体のプロキシを使用します。

必要に応じて、ネットワークに接続するための管理用テンプレート > Windows コンポーネント > Microsoft Defenderウイルス対策>プロキシの自動構成 (.pac) の定義を使用できます。 複数のプロキシを使用して高度な構成を設定する必要がある場合は、[管理用テンプレート>] [Windows コンポーネント] > Microsoft Defender [ウイルス対策] を>使用して、プロキシ サーバーをバイパスし、Microsoft Defenderウイルス対策がそれらの宛先にプロキシ サーバーを使用できないようにするアドレスを定義します。

PowerShell を Set-MpPreference コマンドレットと一緒に使用して、次のオプションを構成できます:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

注:

プロキシを正しく使用するには、次の 3 つの異なるプロキシ設定を構成します:

  • Microsoft Defender for Endpoint (MDE)
  • AV (ウイルス対策)
  • エンドポイントでの検出と応答 (EDR)

netsh コマンドを使用してプロキシ サーバーを手動で構成する

netsh を使用して、システム全体の静的プロキシを構成します。

注:

  • これは、既定のプロキシで WinHTTP を使用する Windows サービスを含むすべてのアプリケーションに影響します。
  1. 管理者特権でコマンド プロンプトを開きます。

    1. [スタート] をクリックし、「cmd」と入力します。
    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
  2. 次のコマンドを入力して、Enter キーを押します。

    netsh winhttp set proxy <proxy>:<port>
    

    例: netsh winhttp set proxy 10.0.0.6:8080

winhttp プロキシをリセットするには、次のコマンドを入力し、Enter キーを押します。

netsh winhttp reset proxy

詳細については、「Netsh コマンドの構文、コンテキスト、およびフォーマット」を参照してください。

プロキシ サーバー内の Microsoft Defender for Endpoint サービス URL へのアクセスを有効にします。

既定では、プロキシまたはファイアウォールが既定ですべてのトラフィックをブロックし、特定のドメインのみを許可している場合は、ダウンロード可能なシートに一覧表示されているドメインを許可するドメインのリストに追加します。

次のダウンロード可能なスプレッドシートには、ネットワークが接続可能である必要があるサービスとそれに関連付けられた URL のリストが表示されます。 これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 必要に応じて、 許可 規則を作成する必要がある場合があります。


ドメイン リストのスプレッドシート 説明
商用顧客向けの Microsoft Defender for Endpoint の URL リスト 商用顧客向けサービスの場所、地理的な場所、OS に関する特定の DNS レコードのスプレッドシート。

ここにスプレッドシートをダウンロードします。

プラン 1 とプラン 2 Microsoft Defender for Endpointは、同じプロキシ サービス URL を共有します。

Gov/GCC/DoD 向けの Microsoft Defender for Endpoint の URL リスト Gov/GCC/DoD のお客様向けのサービスの場所、地理的な場所、OS の特定の DNS レコードのスプレッドシート。

ここにスプレッドシートをダウンロードします。

プロキシまたはファイアウォールで HTTPS スキャン (SSL 検査) が有効になっている場合は、上記の表に示されているドメインを HTTPS スキャンから除外します。 ファイアウォールで、地理列が WW であるすべての URL を開きます。 地理列が WW ではない行の場合は、特定のデータの場所の URL を開きます。 データの場所の設定を確認するには、「Microsoft Defender for Endpoint のデータ保存場所の確認とデータ保持設定の更新」を参照してください。 任意の種類のネットワーク検査から URL を *.blob.core.windows.net 除外しないでください。

注:

1803 以前のバージョンで実行されている Windows デバイスには settings-win.data.microsoft.com が必要です。

v20 を含む URL は、バージョン 1803 以降の Windows デバイスを使用している場合にのみ必要です。 たとえば、バージョン 1803 以降を実行し、米国の データ ストレージ地域にオンボードされている Windows デバイスには、us-v20.events.data.microsoft.com が必要です。

プロキシまたはファイアウォールが Defender for Endpoint センサーからの匿名トラフィックをブロックしていて、システム コンテキストから接続している場合は、以前に一覧表示した URL のプロキシまたはファイアウォールで匿名トラフィックが許可されていることを確認することが重要です。

注:

Microsoft はプロキシ サーバーを提供していません。 これらの URL には、構成したプロキシ サーバーを介してアクセスできます。

Microsoft Monitoring Agent (MMA) - 以前のバージョンの Windows クライアントまたは Windows Server のプロキシとファイアウォールの要件

プロキシとファイアウォールの構成情報のリストにある情報は、Windows 7 SP1、Windows 8.1、Windows Server 2008 R2* など、以前のバージョンの Windows の Log Analytics エージェント (Microsoft Monitoring Agent と呼ばれることがよくあります) と通信するために必要です。



エージェント リソース ポート 方向 HTTP 検査をバイパス
*.ods.opinsights.azure.com ポート 443 送信 はい
*.oms.opinsights.azure.com ポート 443 送信 はい
*.blob.core.windows.net ポート 443 送信 はい
*.azure-automation.net ポート 443 送信 はい

注:

*これらの接続要件は、MMA を必要とする Windows Server 2016 および Windows Server 2012 R2 の以前の Microsoft Defender for Endpoint に適用されます。 新しい統合ソリューションを使用してこれらのオペレーティング システムをオンボードする手順は、Windows サーバーをオンボード、または Microsoft Defender for Endpoint の サーバー移行シナリオで新しい統合ソリューションに移行する方法です。

注:

クラウドベースのソリューションとして、IP 範囲が変更される可能性があります。 DNS 解決設定に移動する方法をお勧めします。

Microsoft Monitoring Agent (MMA) サービス URL の要件を確認する

以前のバージョンの Windows で Microsoft Monitoring Agent (MMA) を使用する場合に、特定の環境でワイルドカード (*) の要件を排除するには、次のガイダンスを参照してください。

  1. Microsoft Monitoring Agent (MMA) を使用して以前のオペレーティング システムを Defender for Endpoint にオンボードします (詳細については、「Defender for Endpoint で以前のバージョンの Windows をオンボードする」および「 Windows サーバーのオンボード」を参照してください)。

  2. コンピューターが Microsoft 365 Defender ポータルに正常にレポートされていることを確認します。

  3. "C:\Program Files\Microsoft Monitoring Agent\Agent" から TestCloudConnection.exe ツールを実行して、接続を検証し、特定のワークスペースに必要な URL を取得します。

  4. お使いの地域の要件の完全なリストについては、Microsoft Defender for Endpoint URL のリストを確認してください (サービス URL のスプレッドシートを参照)。

    これは管理者 powershell です。

*.ods.opinsights.azure.com、*.oms.opinsights.azure.com、および *.agentsvc.azure-automation.net URL エンドポイントで使用されるワイルドカード (*) は、特定のワークスペース ID に置き換えることができます。 ワークスペース ID は、お客様の環境とワークスペースに固有です。 これは、Microsoft 365 Defender ポータル内のテナントの [オンボード] セクションにあります。

*.blob.core.windows.net URL エンドポイントは、テスト結果の [ファイアウォール規則: *.blob.core.windows.net] セクションに示されている URL に置き換えることができます。

注:

Microsoft Defender for Cloud 経由でオンボードする場合は、複数のワークスペースを使用できます。 各ワークスペースからオンボードされたマシンで TestCloudConnection.exe プロシージャを実行する必要があります (ワークスペース間で *.blob.core.windows.net URL に変更があるかどうかを判断するため)。

Microsoft Defender for Endpoint サービス URL へのクライアント接続を確認する

プロキシ構成が正常に完了したことを確認します。 その後、WinHTTP は環境内のプロキシ サーバーを介して検出および通信でき、プロキシ サーバーは Defender for Endpoint サービス URL へのトラフィックを許可します。

  1. Microsoft Defender for Endpoint Client Analyzer ツールを、Defender for Endpoint センサーが実行されている PC にダウンロードします。 ダウンレベル サーバーの場合は、Microsoft Defender for Endpoint Client Analyzer ツール Beta をダウンロードできる最新のプレビュー エディションを使用できます。

  2. デバイス上の MDEClientAnalyzer.zip の内容を抽出します。

  3. 管理者特権でコマンド プロンプトを開きます。

    1. [スタート] をクリックし、「cmd」と入力します。
    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
  4. 次のコマンドを入力して、Enter キーを押します。

    HardDrivePath\MDEClientAnalyzer.cmd
    

    HardDrivePath は、MDEClientAnalyzer ツールがダウンロードされたパスに置き換えます。 例:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. このツールは、HardDrivePath で使用するフォルダーに MDEClientAnalyzerResult.zip ファイルを作成して抽出します。

  6. MDATPClientAnalyzerResult.txt を開き、プロキシ構成の手順を実行して、サーバーの検出とサービス URL へのアクセスを有効にしたことを確認します。

    このツールは、Defender for Endpoint サービス URL の接続を確認します。 Defender for Endpoint クライアントが対話するように構成されていることを確認します。 このツールは、Defender for Endpoint サービスとの通信に使用できる可能性がある URL ごとに、MDEClientAnalyzerResult.txt ファイルに結果を出力します。 次に例を示します。

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

少なくとも 1 つの接続オプションが (200) 状態を返した場合、Defender for Endpoint クライアントはこの接続方法を使用してテスト済み URL と正しく通信できます。

ただし、接続を確認した結果が失敗を示している場合は、HTTP エラーが表示されます (「HTTP ステータス コード」を参照)。 次に、「プロキシ サーバーで Defender for Endpoint サービス URL へのアクセスを有効にする」に示されている表の URL を使用できます。 使用する URL は、オンボーディング手順で選択した地域によって異なります。

注:

接続アナライザー ツールのクラウド接続チェックは、攻撃面の縮小ルール "PSExec および WMI コマンドから生成されたプロセスの作成をブロック" とは互換性がありません。 接続ツールを実行するには、この規則を一時的に無効にする必要があります。 または、アナライザーの実行中に ASR 除外を一時的に追加できます。

TelemetryProxyServer がレジストリまたはグループ ポリシー経由で設定されている場合、Defender for Endpoint はフォールバックし、定義されたプロキシへのアクセスに失敗します。