クライアント デバイス間Microsoft Defender for Endpointサブスクリプション設定を管理する

  • [アーティクル]

Defender for Endpoint では、混合ライセンス シナリオは、organizationが Defender for Endpoint Plan 1 と Plan 2 ライセンスの組み合わせを使用している状況です。 次の表に、混合ライセンスシナリオの例を示します。

シナリオ 説明
混合テナント ユーザーとそのデバイスのグループに対してさまざまな機能セットを使用します。 たとえば、次のような情報が含まれます。
- Defender for Endpoint Plan 1 と Defender for Endpoint Plan 2
- Microsoft 365 E3とMicrosoft 365 E5
混合試用版 一部のユーザーに対して Premium レベルのサブスクリプションを試してください。 たとえば、次のような情報が含まれます。
- Defender for Endpoint Plan 1 (すべてのユーザー向けに購入)、Defender for Endpoint Plan 2 (一部のユーザーの試用版サブスクリプションが開始されました)
- Microsoft 365 E3 (すべてのユーザー向けに購入)、Microsoft 365 E5 (一部のユーザーの試用版サブスクリプションが開始されました)
段階的なアップグレード ユーザー ライセンスを段階的にアップグレードします。 たとえば、次のような情報が含まれます。
- Defender for Endpoint Plan 1 からプラン 2 へのユーザー のグループの移動
- ユーザーのグループをMicrosoft 365 E3から E5 に移動する

最近まで、混合ライセンスのシナリオはサポートされていませんでした。複数のサブスクリプションがある場合は、テナントに対して最も機能の高いサブスクリプションが優先されます。 これで、サブスクリプション設定を管理して、クライアント デバイス間の混合ライセンス シナリオに対応できるようになりました。 これらの機能を使用すると、次の機能を使用できます。

  • テナントを混合モードに設定し、デバイスにタグを付 けて、各プランから機能と機能を受け取るクライアント デバイスを決定します (このオプションは 混合モードと呼ばれます)。 または
  • すべてのクライアント デバイスで 1 つのプランの機能を使用します

新しく追加されたライセンス使用状況レポートを使用して、状態を追跡することもできます。

注:

Microsoft Defender for Businessを使用していて、Defender for Endpoint Plan 2 に切り替える場合は、「エンドポイント セキュリティ サブスクリプションを変更する」を参照してください。

テナントを混合モードに設定し、デバイスにタグを付ける

重要

  • 混合モード設定は、クライアント エンドポイントにのみ適用されます。 サーバー デバイスにタグを付けると、サブスクリプションの状態は変更されません。 Windows Server または Linux を実行するすべてのサーバー デバイスには、 Defender for Servers などの適切なライセンスが必要です。 「 オンボード サーバーのオプション」を参照してください。
  • 環境で混合ライセンスシナリオを試すには、この記事の手順に従ってください。 Microsoft 365 管理センター (https://admin.microsoft.com) でユーザー ライセンスを割り当てると、テナントが混合モードに設定されることはありません。
  • Defender for Endpoint Plan 1 とプラン 2 の両方について、アクティブな試用版または有料ライセンスが必要です
  • ライセンス情報にアクセスするには、Microsoft Entra IDで次のいずれかのロールが割り当てられている必要があります。
    • グローバル管理者
    • セキュリティ管理者
    • ライセンス 管理 + MDE 管理

  1. 管理者として、Microsoft Defender ポータル (https://security.microsoft.com) に移動してサインインします。

  2. [設定] [エンドポイント> ライセンス] > の順に移動します。 使用状況レポートが開き、organizationの Defender for Endpoint ライセンスに関する情報が表示されます。

  3. [ サブスクリプションの状態] で、[ サブスクリプション設定の管理] を選択します。

    注:

    [ サブスクリプション設定の管理] が表示されない場合は、次のいずれかの条件が満たされます。

    • Defender for Endpoint Plan 1 またはプラン 2 (両方ではなく) があります。または
    • 混合ライセンス機能は、まだテナントにロールアウトされていません。

  4. [サブスクリプション設定] ポップアップが開きます。 Defender for Endpoint Plan 1 とプラン 2 を使用するオプションを選択します。 (次の手順に従ってデバイスがタグ付けされるまで、変更は行われません)。

  5. Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取る必要があるデバイスにタグを付けます。 デバイスに手動でタグを付けるか、動的ルールを使用してタグ付けを選択できます。 デバイスのタグ付けの詳細については、こちらをご覧ください

    メソッド 詳細
    デバイスに手動でタグを付けます デバイスに手動でタグを付ける場合は、 という名前 License MDE P1 のタグを作成し、デバイスに適用します。 この手順のヘルプについては、「デバイス タグのCreateと管理」を参照してください。

    レジストリ キー メソッドを使用してタグでLicense MDE P1タグ付けされたデバイスは、ダウングレードされた機能を受け取りません。 レジストリ キー メソッドを使用してデバイスにタグを付ける場合は、手動タグ付けではなく動的ルールを使用します。
    動的ルールを使用してデバイスに自動的にタグを付ける 動的ルール機能は、混合ライセンスシナリオでは新しい機能です。 これにより、デバイスの管理方法を動的かつきめ細かく制御できます.

    動的ルールを使用するには、デバイス名、ドメイン、オペレーティング システム プラットフォーム、デバイス タグに基づいて一連の条件を指定します。 指定した条件を満たすデバイスは、規則に従って Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取ります。

    条件を定義するときに、次の条件演算子を使用できます。
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    [デバイス名] には、フリーフォーム テキストを使用できます。

    [ ドメイン] で、ドメインの一覧から選択します。

    OS プラットフォームの場合は、オペレーティング システムの一覧から選択します。

    [タグ] には、フリーフォーム テキスト オプションを使用します。 Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取る必要があるデバイスに対応するタグ値を入力します。 「デバイスのタグ付けの詳細」の例を参照してください。

    デバイス タグは、 デバイス インベントリ ビューと Defender for Endpoint API に表示されます。

    注:

    動的に追加された Defender for Endpoint P1 タグは、現在、[デバイス インベントリ] ビューではフィルター処理できません。

  6. ルールを保存し、タグが適用されるまで最大 3 時間待ちます。 次に、「 デバイスが Defender for Endpoint Plan 1 機能のみを受信していることを検証する」に進みます。

デバイスのタグ付けの詳細

「Tech Community ブログ: タグ付けを効果的に使用する方法」で説明されているように、デバイスのタグ付けにより、デバイスをきめ細かく制御できます。 デバイス タグを使用すると、次のことができます。

  • Microsoft Defender ポータルで特定のデバイスを個々のユーザーに表示して、担当するデバイスのみが表示されるようにします。
  • 特定のセキュリティ ポリシーにデバイスを含めるか除外します。
  • Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取るデバイスを決定します。

たとえば、Defender for Endpoint Plan 2 の機能を受け取る必要があるすべてのデバイスに対して呼び出された VIP タグを使用するとします。 次の操作を実行します。

  1. という名前VIPのデバイス タグをCreateし、Defender for Endpoint Plan 2 機能を受け取る必要があるすべてのデバイスに適用します。 デバイス タグを作成するには、次のいずれかの方法を使用します。

  2. 条件演算子 を使用して動的ルールを設定します Tag Does not contain VIP。 この場合、タグを持 VIP たないすべてのデバイスは、タグと Defender for Endpoint Plan 1 の機能を受け取ります License MDE P1

デバイスが Defender for Endpoint Plan 1 機能のみを受け取っていることを検証する

Defender for Endpoint Plan 1 機能を一部またはすべてのデバイスに割り当てた後、個々のデバイスがそれらの機能を受け取っていることを確認できます。

  1. Microsoft Defender ポータル (https://security.microsoft.com) で、[資産>デバイス] に移動します

  2. でタグ付けされているデバイスを License MDE P1選択します。 Defender for Endpoint Plan 1 がデバイスに割り当てられていることがわかります。

注:

Defender for Endpoint Plan 1 の機能が割り当てられているデバイスには、脆弱性やセキュリティに関する推奨事項が一覧表示されていません。

ライセンスの使用状況を確認する

ライセンス使用状況レポートは、デバイス上のサインイン アクティビティに基づいて見積もられます。 Defender for Endpoint Plan 2 のライセンスはユーザーごとに 1 つであり、各ユーザーは最大 5 つの同時オンボード デバイスを持つことができます。 ライセンス条項の詳細については、「 Microsoft ライセンス」を参照してください。

管理オーバーヘッドを減らすために、デバイスからユーザーへのマッピングと割り当ての要件はありません。 代わりに、ライセンス レポートは、organization全体で見られるデバイスの使用状況に基づいて計算される使用率の見積もりを提供します。 使用状況レポートにデバイスのアクティブな使用状況が反映されるまでに、最大で 1 日かかる場合があります。

重要

ライセンス情報にアクセスするには、Microsoft Entra IDで次のいずれかのロールが割り当てられている必要があります。

  • セキュリティ管理者
  • グローバル管理者
  • ライセンス 管理 + MDE 管理

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. [設定] [エンドポイントライセンス]>の順に>選択します。

  3. 使用可能なライセンスと割り当てられたライセンスを確認します。 この計算は、Defender for Endpoint にオンボードされているデバイスにアクセスした検出されたユーザーに基づいています。

その他のリソース

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。