Microsoft Defender for Endpoint 展開の設定
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Microsoft Defender for Endpointをデプロイする最初の手順は、Defender for Endpoint 環境を設定することです。
このデプロイ シナリオでは、次の手順について説明します。
- ライセンスの検証
- テナント構成
- ネットワーク構成
注:
一般的なデプロイをガイドするために、このシナリオではMicrosoft Configuration Managerの使用についてのみ説明します。 Defender for Endpoint では、他のオンボード ツールの使用がサポートされていますが、これらのシナリオについては展開ガイドでは説明しません。 詳細については、「 Defender for Endpoint のアーキテクチャとデプロイ方法を識別する」を参照してください。
ライセンスの状態を確認する
ライセンスの状態と適切にプロビジョニングされたかどうかを確認するには、管理センターまたは Microsoft Azure portalを使用します。
ライセンスを表示するには、Microsoft Azure portalに移動し、[Microsoft Azure portal ライセンス] セクションに移動します。
![[Azure ライセンス] ページ](media/atp-licensing-azure-portal.png?view=o365-worldwide)
または、管理センターで [課金>サブスクリプション] に移動します。
画面に、プロビジョニングされたすべてのライセンスとその現在の状態が表示 されます。
![[課金ライセンス] ページ](media/atp-billing-subscriptions.png?view=o365-worldwide)
![[Azure ライセンス] ページ](media/atp-licensing-azure-portal.png?view=o365-worldwide#lightbox)
クラウド サービス プロバイダーの検証
ライセンスが会社にプロビジョニングされているアクセス権を取得し、ライセンスの状態をチェックするには、管理センターに移動します。
パートナー ポータルで、[サービス > Office 365の管理] を選択します。
パートナー ポータルリンクをクリックすると、代わりに管理オプションが開き、顧客管理センターにアクセスできるようになります。
テナント構成
Microsoft Defender for Endpointへのオンボードは簡単です。 ナビゲーション メニューの [エンドポイント] セクションの下にある任意の項目、またはインシデント、ハンティング、アクション センター、脅威分析などのMicrosoft Defender XDR機能を選択して、オンボード プロセスを開始します。
Web ブラウザーから、Microsoft Defender ポータルに移動します。
データ センターの場所
Microsoft Defender for Endpointは、Microsoft Defender XDRで使用されるのと同じ場所にデータを格納および処理します。 Microsoft Defender XDRがまだオンになっていない場合は、Microsoft Defender for EndpointへのオンボードもMicrosoft Defender XDR有効になり、アクティブな Microsoft 365 セキュリティ サービスの場所に基づいて新しいデータ センターの場所が自動的に選択されます。 選択したデータ センターの場所が画面に表示されます。
ネットワーク構成
organizationでエンドポイントがプロキシを使用してインターネットにアクセスする必要がない場合は、このセクションをスキップします。
Microsoft Defender ATP センサーでは、センサー データをレポートし、Microsoft Defender for Endpoint service サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。 埋め込みMicrosoft Defender for Endpoint センサーは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。 センサーは Microsoft Windows HTTP サービス (WinHTTP) を使用して、Microsoft Defender for Endpoint クラウド サービスとの通信を有効にします。 WinHTTP 構成設定は、Windows インターネット (WinINet) インターネット閲覧プロキシ設定とは無関係であり、次の検出方法を使用してのみプロキシ サーバーを検出できます。
自動検出方法:
- 透過プロキシ
- Web プロキシ自動発見プロトコル (WPAD)
ネットワーク トポロジに Transparent プロキシまたは WPAD が実装されている場合は、特別な構成設定は必要ありません。 プロキシでの URL の除外Microsoft Defender for Endpointの詳細については、このドキュメントの URL 許可リストまたはデバイス プロキシとインターネット接続設定の構成に関するページの「プロキシ サービス URL」セクションを参照してください。
手動静的プロキシ構成:
レジストリ ベースの構成
netsh コマンドを使用して構成された WinHTTP
安定したトポロジのデスクトップ (たとえば、同じプロキシの背後にある企業ネットワーク内のデスクトップ) にのみ適しています。
レジストリ ベースの静的プロキシを使用して、プロキシ サーバーを手動で構成します。
コンピューターがインターネットへの接続を許可されていない場合、Microsoft Defender for Endpoint センサーのみが診断データを報告し、Microsoft Defender for Endpoint サービスと通信できるように、レジストリ ベースの静的プロキシを構成します。 静的プロキシは、グループ ポリシー (GP) を使用して構成できます。 グループ ポリシーは次の場所にあります。
- 管理用テンプレート > Windows コンポーネント > のデータ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用を構成する
- [有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します
グループ ポリシー管理コンソールを開きます。
組織のプラクティスに基づいてポリシーを作成するか、既存のポリシーを編集します。
グループ ポリシーを編集し、[管理用テンプレート>] [Windows コンポーネント>] [データ収集とプレビュー ビルド>] [接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用を構成する] に移動します。
[有効] を選択します。
[ 認証済みプロキシの使用を無効にする] を選択します。
[ 管理用テンプレート > ] [Windows コンポーネント > ] [データ収集とプレビュー ビルド] の順に移動し、 > 接続されたユーザー エクスペリエンスとテレメトリを構成します。
[有効] を選択します。
プロキシ サーバー名を入力します。
このポリシーは、レジストリ キー HKLM\Software\Policies\Microsoft\Windows\DataCollection の下に 2 つのレジストリ値 TelemetryProxyServer を REG_SZ として、DisableEnterpriseAuthProxy を REG_DWORD として設定します。
レジストリ値 TelemetryProxyServer は、次の文字列形式を取ります:
<server name or ip>:<port>
例: 10.0.0.6:8080
レジストリ値 DisableEnterpriseAuthProxy を 1に設定する必要があります。
netsh コマンドを使用してプロキシ サーバーを手動で構成する
netsh を使用して、システム全体の静的プロキシを構成します。
注:
- これは、既定のプロキシで WinHTTP を使用する Windows サービスを含むすべてのアプリケーションに影響します。
- トポロジを変更しているノート PC (たとえば、オフィスから自宅へ) は、netsh で誤動作します。 レジストリ ベースの静的プロキシの構成を使用します。
管理者特権でコマンド プロンプトを開きます。
- [スタート] をクリックし、「cmd」と入力します。
- [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
次のコマンドを入力して、Enter キーを押します。
netsh winhttp set proxy <proxy>:<port>例: netsh winhttp set proxy 10.0.0.6:8080
下位レベルのデバイスのプロキシ構成
Down-Level デバイスには、Windows 7 SP1 とWindows 8.1 ワークステーション、Windows Server 2008 R2、および Microsoft Monitoring Agent を使用して以前にオンボードされたその他のサーバー オペレーティング システムが含まれます。 これらのオペレーティング システムでは、エンドポイントから Azure への通信を処理するために、Microsoft Management Agent の一部としてプロキシが構成されます。 これらのデバイスでプロキシを構成する方法については、「Microsoft Management Agent Fast Deployment Guide」を参照してください。
プロキシ サービス URL
v20 を含む URL は、Windows 10バージョン 1803 または Windows 11 デバイスがある場合にのみ必要です。 たとえば、us-v20.events.data.microsoft.comデバイスがバージョン 1803 またはWindows 11 Windows 10にある場合にのみ必要です。
プロキシまたはファイアウォールが匿名トラフィックをブロックしている場合、センサーがシステム コンテキストから接続Microsoft Defender for Endpoint場合は、一覧表示されている URL で匿名トラフィックが許可されていることを確認します。
次のダウンロード可能なスプレッドシートには、ネットワークが接続できる必要があるサービスとその関連 URL が一覧表示されます。 これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認するか、 許可規則を 作成する必要がある場合があります。
| ドメイン リストのスプレッドシート | 説明 |
|---|---|
| 商用顧客向けの Microsoft Defender for Endpoint の URL リスト | 商用顧客向けサービスの場所、地理的な場所、OS に関する特定の DNS レコードのスプレッドシート。 スプレッドシートはこちらからダウンロードできます。 |
| Gov/GCC/DoD 向けの Microsoft Defender for Endpoint の URL リスト | Gov/GCC/DoD のお客様向けのサービスの場所、地理的な場所、OS の特定の DNS レコードのスプレッドシート。 スプレッドシートはこちらからダウンロードできます。 |
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示