ローカル スクリプトを使用した Windows デバイスのオンボード

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

個々のデバイスを Defender for Endpoint に手動でオンボードすることもできます。 ネットワーク内のすべてのデバイスのオンボードにコミットする前に、サービスをテストするときに一部のデバイスをオンボードすることが必要になる場合があります。

重要

この記事で説明するスクリプトは、デバイスを Defender for Endpoint に手動でオンボードする場合に推奨されます。 これは、限られた数のデバイスでのみ使用する必要があります。 運用環境にデプロイする場合は、Intune、グループ ポリシー、Configuration Managerなど、その他のデプロイ オプションを参照してください。

Defender for Endpoint の展開のさまざまなパスを確認するには、「 Defender for Endpoint アーキテクチャとデプロイ方法を識別 する」を参照してください。

デバイスのオンボード

  1. サービス オンボード ウィザードからダウンロードした構成パッケージ .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。 ポータルからパッケージMicrosoft Defender取得することもできます。

    1. ナビゲーション ウィンドウで、[設定エンドポイント>] [デバイス管理>のオンボード]> の順に選択します。

    2. オペレーティング システムとして [Windows 10] または [Windows 11] を選択します。

    3. [ デプロイ方法 ] フィールドで、[ ローカル スクリプト] を選択します。

    4. [ パッケージのダウンロード ] を選択し、.zip ファイルを保存します。

  2. 構成パッケージの内容を、オンボードするデバイス上の場所 (デスクトップなど) に抽出します。 WindowsDefenderATPLocalOnboardingScript.cmd という名前のファイルが必要です。

  3. デバイスで管理者特権のコマンド ライン プロンプトを開き、スクリプトを実行します。

    1. [スタート] をクリックし、「cmd」と入力します。

    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。

    [管理者として実行] をポイントする [ウィンドウのスタート] メニュー

  4. スクリプト ファイルの場所を入力します。 ファイルをデスクトップにコピーした場合は、次のように入力します。 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Enter キーを押すか、[OK] を選択します

  6. 「Y」と入力し、プロンプトが表示されたら「」と入力します。

  7. スクリプトが完了すると、"任意のキーを押して続行..." と表示されます。 任意のキーを押して、デバイスの手順を完了します。

デバイスが準拠しており、センサー データが正しくレポートされていることを手動で検証する方法については、「Microsoft Defender for Endpointオンボードの問題のトラブルシューティング」を参照してください。

ヒント

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされたMicrosoft Defender for Endpoint エンドポイントで検出テストを実行する」を参照してください。

サンプル コレクション設定を構成する

デバイスごとに構成値を設定して、詳細な分析のためにファイルを送信するMicrosoft Defender XDR要求が行われたときに、デバイスからサンプルを収集できるかどうかを示すことができます。

regedit を使用するか、ファイルを作成して実行することで、デバイスでサンプル共有設定を手動で.reg構成できます。

構成は、次のレジストリ キー エントリによって設定されます。

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

ここで、名前の種類は D-WORD です。 使用可能な値は次のとおりです。

  • 0 - このデバイスからのサンプル共有を許可しない
  • 1 - このデバイスからすべてのファイルの種類を共有できます

レジストリ キーが存在しない場合の既定値は 1 です。

検出テストを実行してオンボードを検証する

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

ローカル スクリプトを使用してデバイスをオフボードする

セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日から 3 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、その日付がパッケージ ファイル名に含まれます。

注:

オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開することはできません。 そうしないと、予期しない競合が発生する可能性があります。

  1. ポータルからオフボード パッケージMicrosoft Defender取得します。

    1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>] [デバイス管理>] [オフボード] の順に選択します。

    2. オペレーティング システムとして [Windows 10] または [Windows 11] を選択します。

    3. [ デプロイ方法 ] フィールドで、[ ローカル スクリプト] を選択します。

    4. [ パッケージのダウンロード ] を選択し、.zip ファイルを保存します。

  2. デバイスがアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 という名前 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmdのファイルが必要です。

  3. デバイスで管理者特権のコマンド ライン プロンプトを開き、スクリプトを実行します。

    1. [スタート] をクリックし、「cmd」と入力します。

    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。

      [管理者として実行] オプションをポイントする [Windows スタート] メニュー

  4. スクリプト ファイルの場所を入力します。 ファイルをデスクトップにコピーした場合は、次のように入力します。 %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Enter キーを押すか、[OK] を選択します

重要

オフボードすると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータ (以前のアラートへの参照を含む) は最大 6 か月間保持されます。

デバイスの構成を監視する

オンボードの問題のトラブルシューティングに関するページのさまざまな検証手順に従って、スクリプトが正常に完了し、エージェントが実行されていることを確認できます。

監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。

ポータルを使用してデバイスを監視する

  1. ポータルMicrosoft Defender移動します

  2. [ デバイス インベントリ] を選択します

  3. デバイスが表示されていることを確認します。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。