macOS でのMicrosoft Defender for Endpointの手動デプロイ

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップします。

このトピックでは、macOS にMicrosoft Defender for Endpointを手動でデプロイする方法について説明します。 デプロイが成功するには、次のすべての手順を完了する必要があります。

前提条件とシステム要件

作業を開始する前に、macOS のメイン Microsoft Defender for Endpointページを参照して、現在のソフトウェア バージョンの前提条件とシステム要件の説明を確認してください。

インストール パッケージとオンボード パッケージをダウンロードする

Microsoft 365 Defender ポータルからインストール パッケージとオンボード パッケージをダウンロードします。

  1. Microsoft 365 Defender ポータルで、[設定] [エンドポイント] > [デバイス管理>] [オンボード] >の順に移動します。

  2. ページのセクション 1 で、オペレーティング システムを macOS に設定し、Deployment メソッドを ローカル スクリプトに設定します。

  3. ページのセクション 2 で、[ インストール パッケージのダウンロード] を選択します。 wdav.pkg としてローカル ディレクトリに保存します。

  4. ページのセクション 2 で、[ オンボード パッケージのダウンロード] を選択します。 同じディレクトリにWindowsDefenderATPOnboardingPackage.zipとして保存します。

    インストール パッケージとオンボード パッケージをダウンロードするためのオプション

  5. コマンド プロンプトで、2 つのファイルがあることを確認します。

アプリケーションのインストール (macOS 10.15)

このプロセスを完了するには、デバイスに対する管理者権限が必要です。

  1. Finder でダウンロードした wdav.pkg に移動して開きます。

    アプリケーションのインストール

  2. [ 続行] を選択し、ライセンス条項に同意し、メッセージが表示されたらパスワードを入力します。

    アプリケーションのインストール

    重要

    Microsoft のドライバーのインストールを許可するように求められます ("システム拡張機能がブロックされました" または "インストールが保留されています" またはその両方。 ドライバーのインストールを許可する必要があります。

    アプリケーションのインストール

  3. [セキュリティ設定を開く] または [システム環境設定を開く] [セキュリティ & プライバシー] の順に>選択します。 [ 許可] を選択します。

    [セキュリティとプライバシー] ウィンドウ

    インストールが続行されます。

    注意

    [許可] を選択しない場合、インストールは 5 分後に続行されます。 Microsoft Defender for Endpointが読み込まれますが、リアルタイム保護などの一部の機能は無効になります。 これを解決する方法については、「 カーネル拡張機能の問題のトラブルシューティング 」を参照してください。

注:

macOS は、Microsoft Defender for Endpointの最初のインストール時にデバイスの再起動を要求する場合があります。 リアルタイム保護は、デバイスが再起動されるまで使用できません。

アプリケーションのインストール (macOS 11 以降のバージョン)

このプロセスを完了するには、デバイスに対する管理者権限が必要です。

  1. Finder でダウンロードした wdav.pkg に移動して開きます。

    アプリケーションのインストール プロセス

  2. [ 続行] を選択し、ライセンス条項に同意し、メッセージが表示されたらパスワードを入力します。

  3. インストール プロセスの最後に、製品で使用されるシステム拡張機能を承認するように求められます。 [ セキュリティ設定を開く] を選択します

    システム拡張機能の承認

  4. [ セキュリティ & プライバシー ] ウィンドウで、[ 許可] を選択します。

    システム拡張機能のセキュリティ設定1

  5. Mac でMicrosoft Defender for Endpointで配布されるすべてのシステム拡張機能について、手順 3 & 4 を繰り返します。

  6. エンドポイント検出と応答機能の一部として、Mac 上のMicrosoft Defender for Endpointはソケット トラフィックを検査し、この情報をMicrosoft 365 Defender ポータルに報告します。 ネットワーク トラフィックをフィルター処理するためのアクセス許可Microsoft Defender for Endpoint付与するように求められたら、[許可] を選択します

    システム拡張機能のセキュリティ設定 2

  7. [システム環境設定] [セキュリティ & プライバシー] > を開き、[プライバシー] タブに移動します。Microsoft DefenderMicrosoft Defenders Endpoint Security Extensionフル ディスク アクセス許可を付与します。

    ディスクのフル アクセス

クライアントの構成

  1. wdav.pkg をコピーし、MicrosoftDefenderATPOnboardingMacOs.sh を macOS にMicrosoft Defender for Endpoint展開するデバイスにコピーします。

    クライアント デバイスがorg_idに関連付けられていない。 org_id属性は空白であることに注意してください。

    mdatp health --field org_id

  2. Bash スクリプトを実行して構成ファイルをインストールします。

    Sudo bash -x MicrosoftDefenderATPOnboardingMacOs.sh

  3. デバイスが組織に関連付けられていることを確認し、有効な組織 ID を報告します。

    mdatp health --field org_id

    インストール後、右上隅の macOS ステータス バーにMicrosoft Defender アイコンが表示されます。

    ステータス バーのMicrosoft Defender アイコン

フル ディスク アクセスを許可する方法

  1. 同意を付与するには、[システム設定] [セキュリティ & プライバシー プライバシー>>] [フル ディスク アクセス] > を開きます。 ロック アイコンをクリックして変更を行います (ダイアログ ボックスの下部)。 [Microsoft Defender for Endpoint] を選択します。

  2. AV 検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

    1. リアルタイム保護が有効になっていることを確認します (次のコマンドを実行すると 1 の結果で示されます)。

      mdatp health --field real_time_protection_enabled

    2. [ターミナル] ウィンドウを開きます。 次のコマンドをコピーして実行します。

      curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt

    3. ファイルは、Mac 上の Defender for Endpoint によって検疫されている必要があります。 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list

  3. EDR 検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

    1. お使いのブラウザー (Microsoft Edge for Mac や Safari など)。

    2. から MDATP MacOS DIY.zipを https://aka.ms/mdatpmacosdiy ダウンロードして抽出します。

      次のメッセージが表示される場合があります。

      "mdatpclientanalyzer.blob.core.windows.net" でダウンロードを許可しますか?
      [Web サイトの基本設定] でファイルをダウンロードできる Web サイトを変更できます。

  4. [許可] をクリックします。

  5. [ダウンロード] を開きます。

  6. MDATP MacOS DIY が表示されます。

    ヒント

    ダブルクリックすると、次のメッセージが表示されます。

    開発者が検証ツールにできないため、"MDATP MacOS DIY" を開くことができません。
    macOS は、このアプリがマルウェアから解放されていることを確認できません。
    [ごみ箱に移動][キャンセル]

  7. [ キャンセル] をクリックします。

  8. MDATP MacOS DIY を右クリックし、[開く] をクリックします。

    次のメッセージが表示されます。

    macOS は MDATP MacOS DIY の開発者を検証できません。 開いてよろしいですか?
    このアプリを開くと、コンピュータや個人情報をMacに害を与えたりプライバシーを侵害したりする可能性のあるマルウェアに公開できるシステムセキュリティをオーバーライドすることになります。

  9. [ 開く] をクリックします。

    次のメッセージが表示されます。

    Microsoft Defender for Endpoint - macOS EDR DIY テスト ファイル
    対応するアラートは、MDATP ポータルで使用できます。

  10. [ 開く] をクリックします。

    数分後に、"macOS EDR Test Alert" という名前のアラートが発生します。

  11. Microsoft 365 Defender ポータル (https://security.microsoft.com/) に移動します。

  12. [アラート キュー] に移動します。

    重大度、カテゴリ、検出ソース、およびアクションの折りたたまれたメニューを示す macOS EDR テスト アラート

    アラートの詳細とデバイスのタイムラインを確認し、通常の調査手順を実行します。

ログのインストールに関する問題

エラーが発生したときにインストーラーによって作成される自動的に生成されたログを検索する方法の詳細については、「ログのインストールに関する 問題 」を参照してください。

アンインストール

クライアント デバイスから macOS 上のMicrosoft Defender for Endpointを削除する方法の詳細については、「アンインストール」を参照してください。