Microsoft Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする
適用対象:
Microsoft Purview コンプライアンス ポータルから構成パッケージ .zip ファイル (DeviceComplianceOnboardingPackage.zip) を取得します。
ナビゲーション ウィンドウで、 設定>Device Onboarding>Onboarding を選択します。
[デプロイ方法] フィールドで、[Microsoft Configuration Manager] を選択します。
[ パッケージのダウンロード] を選択し、.zip ファイルを保存します。
.zip ファイルの内容を、パッケージを展開するネットワーク管理者がアクセスできる共有の読み取り専用の場所に抽出します。 DeviceCompliance.onboarding という名前のファイルが必要です。
パッケージとプログラム - Configuration Manager記事の手順に従ってパッケージをデプロイします。
パッケージを展開する定義済みのデバイス コレクションを選択します。
注意
Microsoft 365 情報保護では、Out-Of-Box Experience (OOBE) フェーズ中のオンボードはサポートされていません。 Windows のインストールまたはアップグレードを実行した後、ユーザーが OOBE を完了していることを確認します。
ヒント
デバイスがオンボードされている場合は、Configuration Manager アプリケーションで検出ルールを作成して継続的にチェックできます。 アプリケーションは、パッケージやプログラムとは異なる種類のオブジェクトです。 デバイスがまだオンボードされていない場合 (保留中の OOBE の完了またはその他の理由により)、Configuration Managerは、ルールが状態の変更を検出するまでデバイスのオンボードを再試行します。
この動作は、検出ルールを作成して、 OnboardingState
レジストリ値 (型REG_DWORD) が 1 かどうかを判断することで実現できます。
このレジストリ値は、 HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
の下にあります。
詳細については、「 展開の種類の検出方法のオプション」を参照してください。
デバイスごとに構成値を設定して、詳細な分析のためにファイルを送信するようにMicrosoft Defender セキュリティ センター要求が行われたときに、デバイスからサンプルを収集できるかどうかを示すことができます。
注意
これらの構成設定は、通常、Configuration Managerを使用して行われます。
Configuration Managerの構成項目のコンプライアンス規則を設定して、デバイスのサンプル共有設定を変更できます。
この規則は、対象となるデバイスのレジストリ キーの値を設定して、それらが苦情であることを確認する 修復 コンプライアンス規則構成項目である必要があります。
構成は、次のレジストリ キー エントリによって設定されます。
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
ここで、
キーの種類は D-WORD です。
使用可能な値は次のとおりです。
- 0 - このデバイスからのサンプル共有を許可しない
- 1 - このデバイスからすべてのファイルの種類を共有できます
レジストリ キーが存在しない場合の既定値は 1 です。 Configuration Manager、「Configuration Manager クライアントで管理される Windows デスクトップおよびサーバー コンピューター用のカスタム構成項目を作成する」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
デバイスをサービスにオンボードした後は、次の推奨構成設定でデバイスを有効にすることで、含まれている脅威保護機能を利用することが重要です。
次の構成設定をお勧めします。
スキャン
- USB ドライブなどのリムーバブル 記憶域デバイスをスキャンする: はい
リアルタイム保護
- 動作監視を有効にする: はい
- ダウンロード時およびインストール前に望ましくない可能性のあるアプリケーションに対する保護を有効にする: はい
Cloud Protection サービス
- Cloud Protection Service メンバーシップの種類: 高度なメンバーシップ
攻撃面の縮小 [監査] に使用可能なすべてのルールを構成します。
注意
これらのアクティビティをブロックすると、正当なビジネス プロセスが中断される可能性があります。 最善の方法は、すべてを監査に設定し、どの設定を有効にしても安全かを特定し、誤検知検出がないエンドポイントでそれらの設定を有効にすることです。
ネットワーク保護
監査モードまたはブロック モードでネットワーク保護を有効にする前に、マルウェア対策プラットフォームの更新プログラムがインストールされていることを確認してください。これは サポート ページから入手できます。
制御されたフォルダー アクセス
少なくとも 30 日間、監査モードで機能を有効にします。 この期間が経過したら、検出を確認し、保護されたディレクトリへの書き込みが許可されているアプリケーションの一覧を作成します。
詳細については、「 制御されたフォルダー アクセスを評価する」を参照してください。
セキュリティ上の理由から、Offboard デバイスに使用されるパッケージは、ダウンロード日から 30 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。
注意
オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開しないでください。そうしないと、予期しない競合が発生します。
現在のブランチMicrosoft Configuration Manager使用する場合は、「オフボード構成ファイルを作成する」を参照してください。
現在のブランチMicrosoft Configuration Manager使用する場合は、Configuration Manager コンソールの組み込みのMicrosoft Defender for Endpoint ダッシュボードを使用します。 詳細については、「Advanced Threat Protection - Monitor のMicrosoft Defender」を参照してください。
Configuration Managerで構成項目のコンプライアンス規則を設定して、デプロイを監視できます。
注意
この手順とレジストリ エントリは、エンドポイント DLP と Defender for Endpoint に適用されます。
この規則は、対象となるデバイス上のレジストリ キーの値を監視する 修復されていない コンプライアンス規則構成項目である必要があります。
次のレジストリ キー エントリを監視します。
Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"
詳細については、「 コンプライアンス設定の計画と構成」を参照してください。
- グループ ポリシーを使用してWindows 10およびWindows 11デバイスをオンボードする
- モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード
- ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード
- 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
- 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
- Microsoft Defender for Endpoint の問題のトラブルシューティング