Microsoft Defender for Endpointに移行する - フェーズ 2: セットアップ

適用対象:

フェーズ 1: 準備します。
フェーズ 1: 準備
フェーズ 2: セットアップ。
フェーズ 2: 設定
フェーズ 3: オンボード 3。
フェーズ 3: オンボード
あなたはここにいます!

Defender for Endpoint への移行のセットアップ フェーズへようこそ。 このフェーズには、次の手順が含まれます。

  1. エンドポイントでMicrosoft Defenderウイルス対策を再インストールまたは有効にします
  2. Defender for Endpoint プラン 1 またはプラン 2 を構成する
  3. 既存のソリューションの除外リストに Defender for Endpoint を追加します
  4. Microsoft Defenderウイルス対策の除外リストに既存のソリューションを追加します
  5. デバイス グループ、デバイス コレクション、組織単位を設定します。

手順 1: エンドポイントでMicrosoft Defenderウイルス対策を再インストールまたは有効にする

特定のバージョンの Windows では、Microsoft 以外のウイルス対策/マルウェア対策ソリューションがインストールされたときに、Microsoft Defenderウイルス対策がアンインストールまたは無効になっている可能性があります。 Windows を実行しているエンドポイントが Defender for Endpoint にオンボードされている場合、Microsoft Defenderウイルス対策は、Microsoft 以外のウイルス対策ソリューションと共にパッシブ モードで実行できます。 詳細については、「 Defender for Endpoint を使用したウイルス対策保護」を参照してください。

Defender for Endpoint に切り替える際に、ウイルス対策Microsoft Defender再インストールまたは有効にするための特定の手順が必要になる場合があります。 次の表では、Windows クライアントとサーバーで実行する操作について説明します。

エンドポイントの種類 操作
Windows クライアント (Windows 10 や Windows 11 を実行しているエンドポイントなど) 一般に、Windows クライアントに対してアクションを実行する必要はありません (ウイルス対策Microsoft Defenderアンインストールされていない限り)。 一般に、Microsoft Defenderウイルス対策は引き続きインストールする必要がありますが、移行プロセスのこの時点では無効になっている可能性が最も高くなります。

Microsoft 以外のウイルス対策/マルウェア対策ソリューションがインストールされていて、クライアントがまだ Defender for Endpoint にオンボードされていない場合、Microsoft Defenderウイルス対策は自動的に無効になります。 その後、クライアント エンドポイントが Defender for Endpoint にオンボードされると、それらのエンドポイントが Microsoft 以外のウイルス対策ソリューションを実行している場合、ウイルス対策Microsoft Defenderパッシブ モードになります。

Microsoft 以外のウイルス対策ソリューションがアンインストールされた場合、Microsoft Defenderウイルス対策は自動的にアクティブ モードになります。
Windows サーバー Windows Server では、ウイルス対策Microsoft Defender再インストールし、手動でパッシブ モードに設定する必要があります。 Windows サーバーでは、Microsoft 以外のウイルス対策/マルウェア対策がインストールされている場合、Microsoft Defenderウイルス対策は Microsoft 以外のウイルス対策ソリューションと共に実行できません。 そのような場合、Microsoft Defenderウイルス対策は手動で無効またはアンインストールされます。

Windows Server Microsoft Defenderウイルス対策を再インストールまたは有効にするには、次のタスクを実行します。
- 無効になっている場合は、Windows Server で Defender ウイルス対策を再度有効にする
- Windows Server で Defender ウイルス対策を再度有効にする (アンインストールされた場合)
- Windows Server Microsoft Defenderウイルス対策をパッシブ モードに設定する

Windows Server Microsoft Defenderウイルス対策の再インストールまたは再有効化に関する問題が発生した場合は、「トラブルシューティング: Microsoft Defenderウイルス対策が Windows Server でアンインストールされる」を参照してください。

ヒント

Microsoft 以外のウイルス対策保護を使用Microsoft Defenderウイルス対策の状態の詳細については、「Microsoft Defenderウイルス対策の互換性」を参照してください。

Windows Server Microsoft Defenderウイルス対策をパッシブ モードに設定する

ヒント

Windows Server 2012 R2 と 2016 でパッシブ モードでMicrosoft Defenderウイルス対策を実行できるようになりました。 詳細については、「Microsoft Defender for Endpoint をインストールするためのオプション」 を参照してください。

  1. レジストリ エディターを開き、 に Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection移動します。

  2. ForceDefenderPassiveMode という DWORD エントリを編集 (または作成) し、次の設定を指定します。

    • DWORD の値を 1 に設定します。

    • [ 基本] で、[ 16 進数] を選択します。

注:

Defender for Endpoint にオンボードした後、Windows Server で Microsoft Defenderウイルス対策をパッシブ モードに設定する必要がある場合があります。 パッシブ モードが想定どおりに設定されたことを検証するには、Microsoft-Windows-Windows Defender 運用ログ (にありますC:\Windows\System32\winevt\Logs) でイベント 5007 を検索し、ForceDefenderPassiveMode または PassiveMode レジストリ キーが 0x1 に設定されていることを確認します。

Windows Server 2012 R2 または Windows Server 2016 を使用していますか?

上記の方法Microsoft Defender使用して、Windows Server 2012 R2 および 2016 でパッシブ モードでウイルス対策を実行できるようになりました。 詳細については、「Microsoft Defender for Endpoint をインストールするためのオプション」 を参照してください。

手順 2: Defender for Endpoint プラン 1 またはプラン 2 を構成する

重要

  • この記事では、デバイスをオンボードする前に Defender for Endpoint 機能を構成する方法について説明します。
  • Defender for Endpoint Plan 1 がある場合は、次の手順で手順 1 から 5 を実行します。
  • Defender for Endpoint Plan 2 がある場合は、次の手順の手順 1 から 7 を実行します。
  1. Defender for Endpoint がプロビジョニングされていることを確認します。 グローバル管理者として、Microsoft 365 Defender ポータル (https://security.microsoft.com) に移動してサインインします。 次に、ナビゲーション ウィンドウで [Assets Devices]\(資産デバイス\>) を選択します

    次の表は、画面の外観とその意味を示しています。

    Screen 意味
    MDE がまだプロビジョニングされていないためにハングオンするというメッセージを示すスクリーンショット。 Defender for Endpoint のプロビジョニングはまだ完了していません。 プロセスが完了するまで少し待つ必要がある場合があります。
    まだデバイスがオンボードされていないデバイス インベントリ ページを示すスクリーンショット。 Defender for Endpoint がプロビジョニングされます。 この場合は、次の手順に進みます。
  2. 改ざん防止を有効にします。 組織全体に対して改ざん防止を有効にすることをお勧めします。 このタスクは、Microsoft 365 Defender ポータル (https://security.microsoft.com) で実行できます。

    1. Microsoft 365 Defender ポータルで、[設定エンドポイント]> を選択します

    2. [一般的な>高度な機能] に移動し、改ざん防止のトグルを [オン] に設定します。

    3. [保存] を選択します。

    改ざん防止の詳細については、こちらをご覧ください

  3. Microsoft Intuneまたは Microsoft Endpoint Configuration Managerを使用してデバイスをオンボードし、デバイス ポリシーを構成する場合は、次の手順に従って Defender for Endpoint との統合を設定します。

    1. Microsoft エンドポイント マネージャー管理センター (https://endpoint.microsoft.com) で、[ エンドポイント セキュリティ] に移動します。

    2. [セットアップ] で、[Microsoft Defender for Endpoint] を選択します。

    3. [エンドポイント セキュリティ プロファイルの設定] で、[エンドポイント セキュリティ構成を適用するMicrosoft Defender for Endpointを許可する] のトグルを [オン] に設定します

    4. 画面の上部にある [保存] を選択 します

    5. Microsoft 365 Defender ポータル (https://security.microsoft.com) で、[設定エンドポイント]> を選択します

    6. [ 構成管理] まで下にスクロールし、[ 適用スコープ] を選択します。

    7. [MDE を使用してセキュリティ構成設定を MEM からオンに適用する] のトグルを設定し、Windows クライアントデバイスと Windows Server デバイスの両方のオプションを選択します。

    8. Configuration Managerを使用する場合は、[Configuration Managerを使用してセキュリティ設定を管理する] のトグルを [オン] に設定します。 (この手順に関するヘルプが必要な場合は、「Microsoft Endpoint Configuration Managerとの共存」を参照してください)。

    9. 下にスクロールし、[保存] を選択 します

  4. 初期 攻撃面の縮小機能を構成します。 少なくとも、次の表に記載されている標準保護規則をすぐに有効にします。

    標準保護規則 構成方法
    Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)

    悪用された脆弱な署名付きドライバーの悪用をブロックする

    Windows Management Instrumentation (WMI) イベント サブスクリプションを使用して永続化をブロックする
    Intune (デバイス構成プロファイルまたはエンドポイント セキュリティ ポリシー)

    モバイル デバイス管理 (MDM) (./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 構成サービス プロバイダー (CSP) を使用して、各ルールのモードを個別に有効にして設定します)。

    グループ ポリシーまたは PowerShell (Intune、Configuration Manager、またはその他のエンタープライズ レベルの管理プラットフォームを使用していない場合のみ)

    攻撃面の縮小機能について詳しくは、こちらをご覧ください

  5. 次世代の保護機能を構成します。

    機能 構成方法
    Intune 1. エンドポイント マネージャー管理センターで、[ デバイス>構成プロファイル] を選択し、構成するプロファイルの種類を選択します。 デバイス制限プロファイルの種類をまだ作成していない場合、または新しいプロファイルを作成する場合は、「Microsoft Intuneでデバイス制限設定を構成する」を参照してください。

    2. [プロパティ] を選択し、[構成設定: 編集] を選択します。

    3. [Microsoft Defenderウイルス対策] を展開します。

    4. クラウドによる保護を有効にします。

    5. [ サンプルの提出前にユーザーにメッセージを表示する ] ドロップダウンで、[ すべてのサンプルを自動的に送信] を選択します。

    6. [ 望ましくない可能性のあるアプリケーションを検出 する] ドロップダウンで、[ 有効] または [ 監査] を選択します。

    7. [ 確認と保存] を選択し、[ 保存] を選択します。

    ヒント: デバイス プロファイルの作成方法や構成方法など、Intuneデバイス プロファイルの詳細については、「Microsoft Intuneデバイス プロファイルとは」を参照してください。
    Configuration Manager Configuration Managerでの Endpoint Protection のマルウェア対策ポリシーの作成と展開に関するページを参照してください。

    マルウェア対策ポリシーを作成して構成するときは、 リアルタイムの保護設定 を確認し、 ブロックを一目で有効にしてください。
    高度なグループ ポリシーの管理
    または
    グループ ポリシー管理コンソール
    1. [コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策] の順に移動します。

    2. [Microsoft Defenderウイルス対策をオフにする] というポリシーを探します。

    3. [ ポリシー設定の編集] を選択し、ポリシーが無効になっていることを確認します。 このアクションにより、Microsoft Defenderウイルス対策が有効になります。 (一部のバージョンの Windows ではMicrosoft Defenderウイルス対策ではなく、Windows Defenderウイルス対策が表示される場合があります)。
    Windows でのコントロール パネル Microsoft Defenderウイルス対策を有効にする」のガイダンスに従ってください。 (一部のバージョンの Windows ではMicrosoft Defenderウイルス対策ではなく、Windows Defenderウイルス対策が表示される場合があります)。

    Defender for Endpoint Plan 1 がある場合は、最初のセットアップと構成が今のところ行われます。 Defender for Endpoint Plan 2 がある場合は、手順 6 から 7 に進みます。

  6. エンドポイント マネージャー管理センターhttps://endpoint.microsoft.com () でエンドポイントの検出と応答 (EDR) ポリシーを構成します。 このタスクに関するヘルプについては、「 EDR ポリシーの作成」を参照してください。

  7. Microsoft 365 Defender ポータル (https://security.microsoft.com) で自動調査と修復機能を構成します。 このタスクに関するヘルプについては、「Microsoft Defender for Endpointでの自動調査と修復機能の構成」を参照してください。

    この時点で、Defender for Endpoint Plan 2 の初期セットアップと構成が完了します。

手順 3: 既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する

セットアップ プロセスのこの手順では、既存のエンドポイント保護ソリューションとその他のセキュリティ製品の除外リストに Defender for Endpoint を追加する必要があります。 除外を追加するには、ソリューション プロバイダーのドキュメントを参照してください。

構成する特定の除外は、エンドポイントまたはデバイスが実行されている Windows のバージョンによって異なります。次の表に示します。

OS 除外
Windows 11

Windows 10バージョン 1803 以降 (リリース情報Windows 10参照)

KB4493441 がインストールされているバージョン 1703 または 1709 Windows 10
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server バージョン 1803
R2 Windows Server 2012および最新の統合ソリューションを実行Windows Server 2016、KB5005292 を使用して Sense EDR コンポーネントを更新した後、次の除外が必要です。

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

: ホスト一時ファイル 6\45 の監視には、異なる番号付きサブフォルダーを指定できます。

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

手順 4: Microsoft Defender ウイルス対策の除外リストに既存のソリューションを追加する

セットアップ プロセスのこの手順では、既存のソリューションを Microsoft Defender ウイルス対策の除外の一覧に追加します。 次の表に示すように、Microsoft Defenderウイルス対策に除外を追加するには、いくつかの方法から選択できます。

メソッド 操作
Intune 1. Microsoft エンドポイント マネージャー管理センター に移動し、サインインします。

2. [ デバイス>構成プロファイル] を選択し、構成するプロファイルを選択します。

3. [ 管理] で[ プロパティ] を選択します。

4. [ 構成設定: 編集] を選択します

5. [ウイルス対策のMicrosoft Defender] を展開し、[ウイルス対策の除外] Microsoft Defender展開します

6. ウイルス対策スキャンから除外するファイルとフォルダー、拡張機能、プロセスMicrosoft Defender指定します。 参照については、「Microsoft Defenderウイルス対策の除外」を参照してください。

7. [ 確認と保存] を選択し、[ 保存] を選択します。
Microsoft Endpoint Configuration Manager 1. Configuration Manager コンソールを使用して、[資産とコンプライアンス>エンドポイント保護>マルウェア対策ポリシー] に移動し、変更するポリシーを選択します。

2. Microsoft Defenderウイルス対策スキャンから除外するファイルとフォルダー、拡張機能、プロセスの除外設定を指定します。
グループ ポリシー オブジェクト 1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. [ウイルス対策>の除外] をMicrosoft Defender、ツリーを Windows コンポーネント>に展開します。 (一部のバージョンの Windows ではMicrosoft Defenderウイルス対策ではなく、Windows Defenderウイルス対策が表示される場合があります)。

4. [パスの除外] 設定を ダブルクリックし、除外を追加します。

5. オプションを [有効] に設定します。

6. [ オプション] セクションで、[表示]を選択 します

7. [値名 ] 列の下に、独自の行で各フォルダーを指定します。 ファイルを指定する場合は、ドライブ文字、フォルダー パス、ファイル名、拡張子など、ファイルへの完全修飾パスを必ず入力してください。 [値] 列に「0」と入力します。

8. [ OK] を選択します

9. [拡張機能の除外] 設定を ダブルクリックし、除外を追加します。

10. オプションを [有効] に設定します。

11. [ オプション] セクションで、[表示]を選択 します

12. [ 値名 ] 列の下に、独自の行に各ファイル拡張子を入力します。 [値] 列に「0」と入力します。

13. [OK] を選択します
ローカル グループ ポリシー オブジェクト 1. エンドポイントまたはデバイスで、ローカル グループ ポリシー エディターを開きます。

2. [コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>の除外] に移動します。 (一部のバージョンの Windows ではMicrosoft Defenderウイルス対策ではなく、Windows Defenderウイルス対策が表示される場合があります)。

3. パスとプロセスの除外を指定します。
レジストリ キー 1. 次のレジストリ キーをエクスポートします。 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions

2. レジストリ キーをインポートします。 次に、2 つの例を紹介します。
- ローカル パス: regedit.exe /s c:\temp\MDAV_Exclusion.reg
- ネットワーク共有: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外について詳しくは、こちらをご覧ください

除外に関する次の点に留意してください

Microsoft Defenderウイルス対策スキャンに除外を追加する場合は、パスとプロセスの除外を追加する必要があります。

  • パスの除外では、特定の ファイルとそのファイルへのアクセスが除外されます。
  • プロセスの除外では、 プロセスが触れるものは除外されますが、プロセス自体は除外されません。
  • プロセスの除外は、名前のみでではなく、完全なパスを使用して一覧表示します。 (名前のみのメソッドは安全性が低くなります)。
  • パスの除外とプロセスの除外の両方として各実行可能ファイル (.exe) を一覧表示した場合、プロセスとその操作内容は除外されます。

手順 5: デバイス グループ、デバイス コレクション、組織単位を設定する

デバイス グループ、デバイス コレクション、組織単位を使用すると、セキュリティ チームはセキュリティ ポリシーを効率的かつ効果的に管理および割り当てることができます。 次の表では、これらの各グループとその構成方法について説明します。 組織で 3 種類のコレクションがすべて使用されていない場合があります。

注:

デバイス グループの作成は、Defender for Endpoint Plan 1 とプラン 2 でサポートされています。

コレクションの種類 操作
デバイス グループ (旧称 マシン グループ) を使用すると、セキュリティ運用チームは、自動調査や修復などのセキュリティ機能を構成できます。

デバイス グループは、必要に応じてセキュリティ運用チームが修復アクションを実行できるように、これらのデバイスへのアクセスを割り当てる場合にも役立ちます。

デバイス グループは、攻撃の検出と停止中に作成され、"初期アクセス アラート" などのアラートがトリガーされ、Microsoft 365 Defender ポータルに表示されます。
1. Microsoft 365 Defender ポータル (https://security.microsoft.com) に移動します。

2. 左側のナビゲーション ウィンドウで、[設定>] [エンドポイントのアクセス許可>] [デバイス グループ] の順に>選択します。

3. [ + デバイス グループの追加] を選択します。

4. デバイス グループの名前と説明を指定します。

5. [オートメーション レベル ] の一覧で、オプションを選択します。 ( 完全 - 脅威を自動的に修復することをお勧めします)。さまざまな自動化レベルの詳細については、「 脅威の修復方法」を参照してください。

6. 一致ルールの条件を指定して、デバイス グループに属するデバイスを決定します。 たとえば、ドメイン、OS バージョンを選択したり、 デバイス タグを使用したりできます。

7. [ ユーザー アクセス ] タブで、デバイス グループに含まれるデバイスにアクセスできる必要があるロールを指定します。

8. [完了] を選択 します
デバイス コレクション を使用すると、セキュリティ運用チームは、アプリケーションの管理、コンプライアンス設定の展開、または組織内のデバイスへのソフトウェア更新プログラムのインストールを行うことができます。

デバイス コレクションは、Configuration Managerを使用して作成されます。
「コレクションを作成する」の手順に従います。
組織単位 を使用すると、ユーザー アカウント、サービス アカウント、コンピューター アカウントなどのオブジェクトを論理的にグループ化できます。

その後、特定の組織単位に管理者を割り当て、グループ ポリシーを適用して、対象となる構成設定を適用できます。

組織単位は、Azure Active Directory Domain Servicesで定義されます。
「Azure Active Directory Domain Services マネージド ドメインに組織単位を作成する」の手順に従います。

次の手順

おめでとうございますDefender for Endpoint への移行のセットアップ フェーズが完了しました。