Microsoft Defender ウイルス対策の更新プログラムを管理し、古くなったエンドポイントをスキャンする

適用対象:

プラットフォーム

  • Windows

Microsoft Defenderウイルス対策を使用すると、セキュリティ チームは、エンドポイントが更新を回避できる期間、または更新プログラムを受信してスキャンを実行するために必要になるまでに見逃す可能性があるスキャンの数を定義できます。 この機能は、デバイスが企業ネットワークや外部ネットワークに頻繁に接続されていない環境や、日常的に使用されていないデバイスに特に役立ちます。

たとえば、特定のコンピューターを使用する従業員は、3 日間の仕事を休み、その間コンピューターにサインインしません。 従業員が職場に戻り、コンピューターにサインインすると、Microsoft Defenderウイルス対策はすぐにチェックされ、最新の保護更新プログラムがダウンロードされ、スキャンが実行されます。

しばらく更新されていないエンドポイントのキャッチアップ保護更新プログラムを設定する

Microsoft Defenderウイルス対策が指定した期間に保護更新プログラムをダウンロードしなかった場合は、エンドポイントに次回サインインするときに、自動的にチェックし、最新の更新プログラムをダウンロードするように設定できます。 この構成は、 起動時に自動更新のダウンロードをグローバルに無効にしている場合に便利です。

いくつかの方法のいずれかを使用して、キャッチアップ保護更新プログラムを設定できます。

Configuration Managerを使用してキャッチアップ保護の更新プログラムを構成する

  1. Microsoft Configuration Manager コンソールで、変更するマルウェア対策ポリシーを開きます (左側のナビゲーション ウィンドウで [資産とコンプライアンス] を選択し、ツリーを [概要>エンドポイント保護>マルウェア対策ポリシー] に展開します)。

  2. [ セキュリティ インテリジェンスの更新] セクションに移動し、次の設定を構成します。

    • [クライアント コンピューターが 2 つ以上の連続したスケジュールされた更新プログラムでオフラインになっている場合は、セキュリティ インテリジェンスの更新を強制する] を [はい] に設定します。
    • [If Configuration Manager がセキュリティ インテリジェンス更新プログラムのソースとして使用される場合。... では、Configuration Managerによって提供される保護更新プログラムが古いと見なされる時間を指定します。 この設定により、定義された フォールバック ソース順序に基づいて、次の更新場所が使用されます。
  3. [OK] を選択します。

  4. 更新されたポリシーを通常どおりにデプロイします。

グループ ポリシーを使用してキャッチアップ更新機能を有効にして構成する

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動します。

  3. [ポリシー]、[管理用テンプレート] の順に選択します

  4. ウイルス対策>署名Updates Microsoft Defender Windows コンポーネント>にツリーを展開します。

  5. [ キャッチアップ セキュリティ インテリジェンス更新プログラムが必要な日数を定義する ] 設定をダブルクリックし、オプションを [有効] に設定します。 ウイルス対策のMicrosoft Defenderチェックし、最新の保護更新プログラムをダウンロードする日数を入力します。

  6. [OK] を選択します。

PowerShell コマンドレットを使用してキャッチアップ保護の更新プログラムを構成する

次のコマンドレットを使用します。

Set-MpPreference -SignatureUpdateCatchupInterval

Microsoft Defender ウイルス対策で PowerShell を使用する方法の詳細については、次の記事を参照してください。

Windows 管理命令 (WMI) を使用してキャッチアップ保護更新プログラムを構成する

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

SignatureUpdateCatchupInterval

詳細と許可されるパラメーターについては、次の記事を参照してください。

保護が古いとして報告されるまでの日数を設定する

また、ウイルス対策保護が古いか古いと見なMicrosoft Defender日数を指定することもできます。 指定した日数が経過すると、クライアントはそれ自体を "古い" と報告し、エンドポイント ユーザーにエラーを表示します。 エンドポイントが古いと見なされる場合、Microsoft Defenderウイルス対策は、(定義されたフォールバック ソースの順序に基づいて) 他のソースから更新プログラムをダウンロードしようとすることがあります。

グループ ポリシーを使用して、エンドポイント保護が古いと見なされる日数を指定できます。

保護が古いと見なされるまでの日数を指定するには、グループ ポリシーを使用します

  1. グループ ポリシー管理マシンで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  2. グループ ポリシー管理エディターで、[コンピューターの構成] に移動します。

  3. [ポリシー]、[管理用テンプレート] の順に選択します

  4. ウイルス対策>署名Updates Microsoft Defender Windows コンポーネント>にツリーを展開し、次の設定を構成します。

    1. [ スパイウェアの定義が古いと見なされるまでの日数を定義 する] をダブルクリックし、オプションを [有効] に設定します。 ウイルス対策Microsoft Defenderスパイウェア セキュリティ インテリジェンスが古いと見なす日数を入力します。

    2. [OK] を選択します。

    3. [ ウイルス定義が古いと見なされるまでの日数を定義する ] をダブルクリックし、オプションを [有効] に設定します。 ウイルス対策Microsoft Defenderセキュリティ インテリジェンスが古いと見なす日数を入力します。

    4. [OK] を選択します。

しばらくスキャンされていないエンドポイントのキャッチアップ スキャンを設定する

ウイルス対策が強制的にスキャンを実行する前に見逃すことができる連続したスケジュールされたスキャンの数Microsoft Defender設定できます。

この機能を有効にするプロセスは次のとおりです。

  1. 少なくとも 1 つのスケジュールされたスキャンを設定します ( スケジュールされたスキャン に関する記事を参照してください)。

  2. キャッチアップ スキャン機能を有効にします。

  3. キャッチアップ スキャンが発生する前にスキップできるスキャンの数を定義します。

この機能は、フル スキャンとクイック スキャンの両方で有効にすることができます。

ヒント

ほとんどの状況でクイック スキャンを使用することをお勧めします。 詳細については、「 クイック スキャン、フル スキャン、およびカスタム スキャン」を参照してください。

いくつかの方法のいずれかを使用して、キャッチアップ スキャンを設定できます。

グループ ポリシーを使用してキャッチアップ スキャン機能を有効にして構成する

  1. スケジュールされたスキャンが少なくとも 1 つ設定されていることを確認します。

  2. グループ ポリシー管理マシンで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します

  3. グループ ポリシー管理エディターで、[コンピューターの構成] に移動します。

  4. [ポリシー]、[管理用テンプレート] の順に選択します

  5. ウイルス対策>スキャンMicrosoft Defender Windows コンポーネント>にツリーを展開し、次の設定を構成します。

    • スケジュールされたクイック スキャンを設定している場合は、[ キャッチアップ クイック スキャンを有効にする ] 設定をダブルクリックし、オプションを [有効] に設定します。
    • スケジュールされたフル スキャンを設定している場合は、[ キャッチアップ フル スキャンを有効にする ] 設定をダブルクリックし、オプションを [有効] に設定します。 [OK] を選択します。
    • [ キャッチアップ スキャンを強制する日数を定義する ] 設定をダブルクリックし、オプションを [有効] に設定します。
    • ユーザーが次にエンドポイントにサインインしたときにスキャンが自動的に実行される前に見逃すことができるスキャンの数を入力します。 実行されるスキャンの種類は、 スケジュールされたスキャンに使用するスキャンの種類を指定する (「 スキャンのスケジュール 」の記事を参照) によって決まります。 [OK] を選択します。

注:

グループ ポリシー設定タイトルは日数を参照します。 ただし、この設定は、キャッチアップ スキャンが実行される前のスキャンの数 (日数ではなく) に適用されます。

PowerShell コマンドレットを使用してキャッチアップ スキャンを構成する

次のコマンドレットを使用します。

Set-MpPreference -DisableCatchupFullScan
Set-MpPreference -DisableCatchupQuickScan

Microsoft Defender ウイルス対策で PowerShell を使用する方法の詳細については、次の記事を参照してください。

Windows 管理命令 (WMI) を使用してキャッチアップ スキャンを構成する

次のプロパティには、MSFT_MpPreference クラスの Set メソッドを使用します。

DisableCatchupFullScan
DisableCatchupQuickScan

詳細と許可されるパラメーターについては、次の記事を参照してください。

Configuration Managerを使用してキャッチアップ スキャンを構成する

  1. Microsoft Configuration Manager コンソールで、変更するマルウェア対策ポリシーを開きます (左側のナビゲーション ウィンドウで [資産とコンプライアンス] を選択し、ツリーを [概要>エンドポイント保護>マルウェア対策ポリシー] に展開します)。

  2. [スケジュールされたスキャン] セクションに移動し、クライアント コンピューターがオフラインの場合に選択したスキャンの種類のスキャンを強制します。[はい] に移動します。

  3. [OK] を選択します。

  4. 更新されたポリシーを通常どおりにデプロイします。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。