Microsoft Defender Core サービスの概要

  • [アーティクル]

Microsoft Defender Core サービス

エンドポイントのセキュリティ エクスペリエンスを強化するために、Microsoft は Microsoft Defender ウイルス対策の安定性とパフォーマンスを向上させるために、Microsoft Defender Core サービスをリリースしています。

前提条件

  1. Microsoft Defender Core サービスは、Microsoft Defender ウイルス対策プラットフォーム バージョン 4.18.23110.2009 でリリースされています。

  2. ロールアウトは、次の場合に開始されます。

    • 2023 年 11 月にお客様をプレリリースしました。
    • 2024 年 4 月中旬、Windows クライアントを実行している Enterprise のお客様へ。
    • 2024 年 6 月中旬から、Windows クライアントを実行している米国政府のお客様へ。

  3. Microsoft Defender for Endpoint合理化されたデバイス接続エクスペリエンスを使用している場合は、他の URL を追加する必要はありません。

  4. Microsoft Defender for Endpoint標準デバイス接続エクスペリエンスを使用している場合:

    エンタープライズのお客様は、次の URL を許可する必要があります。

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    のワイルドカード *.events.data.microsoft.comを使用しない場合は、次を使用できます。

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    米国政府機関のお客様は、次の URL を許可する必要があります。

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Windows 用アプリケーションコントロールを使用している場合、または Microsoft 以外のウイルス対策またはエンドポイント検出および応答ソフトウェアを実行している場合は、前に説明したプロセスを許可リストに追加してください。

  6. コンシューマーが準備を行う必要はありません。

Microsoft Defenderウイルス対策のプロセスとサービス

次の表は、Windows デバイスMicrosoft Defenderタスク マネージャーを使用してウイルス対策プロセスとサービス (MdCoreSvc) を表示できる場所をまとめたものです。

プロセスまたはサービス 状態を表示する場所
Antimalware Core Service [プロセス ] タブ
MpDefenderCoreService.exe [詳細 ] タブ
Microsoft Defender Core Service [サービス ] タブ

Microsoft Defender Core サービス構成と実験 (ECS) の詳細については、「Microsoft Defender Core サービスの構成と実験」を参照してください。

よく寄せられる質問 (FAQ):

Microsoft Defender Core サービスの推奨事項は何ですか?

Microsoft Defender Core サービスの既定の設定を実行してレポートしておくことを強くお勧めします。

Microsoft Defender Core サービスはどのようなデータ ストレージとプライバシーに準拠していますか?

データ ストレージとプライバシー Microsoft Defender for Endpoint確認します

Microsoft Defender Core サービスを管理者として実行したままにすることはできますか?

次のいずれかの管理ツールを使用して適用できます。

  • Configuration Manager共同管理
  • グループ ポリシー
  • PowerShell
  • レジストリ

Configuration Manager共同管理 (ConfigMgr、旧称 MEMCM/SCCM) を使用して、Microsoft Defender Core サービスのポリシーを更新する

Microsoft Configuration Manager には、PowerShell スクリプトを実行して、ネットワーク内のすべてのコンピューター Microsoft Defenderウイルス対策ポリシー設定を更新する統合機能があります。

  1. Microsoft Configuration Manager コンソールを開きます。
  2. [ソフトウェア ライブラリ > スクリプト] > Create [スクリプト] を選択します
  3. スクリプト (例: Microsoft Defender Core サービスの適用と説明) を入力します(たとえば、Microsoft Defender Core サービス設定を有効にするデモ構成)。
  4. 言語を PowerShell に設定し、タイムアウト秒を 180 に設定します
  5. テンプレートとして使用するには、次の "Microsoft Defender Core サービスの適用" スクリプトの例を貼り付けます。
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

新しいスクリプトを追加するときは、それを選択して承認する必要があります。 承認の状態が [ 承認待ち] から [承認済み] に変わります。 承認されたら、1 つのデバイスまたはデバイス コレクションを右クリックし、[スクリプトの 実行] を選択します。

スクリプトの実行ウィザードの [スクリプト] ページで、一覧からスクリプトを選択します (この例では Core サービスの適用Microsoft Defender)。 承認済みのスクリプトのみが表示されます。 [次へ] を選択してウィザードを完了します。

グループ ポリシー エディターを使用して、Microsoft Defender Core サービスのグループ ポリシーを更新する

  1. 最新のMicrosoft Defender グループ ポリシー管理用テンプレートはこちらからダウンロードできます

  2. ドメイン コントローラー の中央リポジトリを設定します。

    注:

    .admx をコピーし、.adml を En-US フォルダーに個別にコピーします。

  3. 開始、GPMC.msc (ドメイン コントローラーや など) または GPEdit.msc

  4. [コンピューターの構成] -[管理用テンプレート] ->[Windows コンポーネント] ->Microsoft Defender [>ウイルス対策] の順に移動します

  5. Defender Core サービスの実験および構成サービス (ECS) 統合を有効にする

    • 未構成または有効 (既定値): Microsoft Defender コア サービスは ECS を使用して、Microsoft Defenderウイルス対策やその他の Defender ソフトウェアに対する重要な組織固有の修正プログラムを迅速に提供します。
    • 無効: Microsoft Defender コア サービスは、ECS の使用を停止し、Microsoft Defenderウイルス対策やその他の Defender ソフトウェアに対して、組織固有の重要な修正プログラムを迅速に提供します。 誤検知の場合、修正プログラムは "セキュリティ インテリジェンスの更新プログラム" を介して配信され、プラットフォームまたはエンジンの更新プログラムの場合は、Microsoft Update、Microsoft Update Catalog、または WSUS を通じて修正プログラムが配信されます。

  6. Defender Core サービスのテレメトリを有効にする

    • 未構成または有効 (既定値): Microsoft Defender Core サービスは、Microsoft Defender ウイルス対策やその他の Defender ソフトウェアからテレメトリを収集します
    • 無効: Microsoft Defender Core サービスは、Microsoft Defender ウイルス対策やその他の Defender ソフトウェアからのテレメトリの収集を停止します。 この設定を無効にすると、パフォーマンスの低下や誤検知などの問題をすばやく認識して対処できる Microsoft の機能に影響する可能性があります。

PowerShell を使用して、Microsoft Defender Core サービスのポリシーを更新します。

  1. [スタート] に移動し、管理者として PowerShell を実行します。

  2. $true または $false コマンドを Set-MpPreferences -DisableCoreServiceECSIntegration 使用します。ここで $false 、 = が有効で、 $true = が無効です。 以下に例を示します。

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry $true または $false コマンドを使用します。次に例を示します。

    Set-MpPreferences -DisableCoreServiceTelemetry $true

レジストリを使用して、Microsoft Defender Core サービスのポリシーを更新します。

  1. [ スタート] を選択し、管理者として Regedit.exe を開きます。

  2. HKLM\Software\Policies\Microsoft\Windows Defender\Features に移動します。

  3. 値を設定します。

    DisableCoreService1DSTelemetry (dword) 0 (16 進数)
    0 = 未構成、有効 (既定値)
    1 = 無効

    DisableCoreServiceECSIntegration (dword) 0 (16 進数)
    0 = 未構成、有効 (既定値)
    1 = 無効