以前のバージョンの Windows をオンボードする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

プラットフォーム

• Windows 7 SP1 Enterprise
• Windows 7 SP1 Pro
• Windows 8.1 Pro
• Windows 8.1 Enterprise
• Windows Server 2008 R2 SP1

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Defender for Endpoint は、サポートを拡張してダウンレベルのオペレーティング システムを含め、サポートされている Windows バージョンで高度な攻撃検出と調査機能を提供します。

ダウンレベルの Windows クライアント エンドポイントを Defender for Endpoint にオンボードするには、次の手順を実行する必要があります。

• クライアントの構成と更新System Center Endpoint Protection
• センサー データを報告するように Microsoft Monitoring Agent (MMA) をインストールして構成する

Windows Server 2008 R2 SP1 の場合は、Microsoft Defender for Cloud を使用してオンボードすることもできます。

注:

Microsoft Monitoring Agent (オプション 1) を使用して Windows サーバーをオンボードするには、ノードごとに Defender for Endpoint スタンドアロン サーバー ライセンスが必要です。 または、Microsoft Defender for Cloud を介して Windows サーバーをオンボードするには、ノードごとにサーバーライセンスのMicrosoft Defenderが必要です (オプション 2)、「Microsoft Defender for Cloud で使用できるサポートされている機能」を参照してください。

ヒント

デバイスをオンボードした後、検出テストを実行して、サービスに適切にオンボードされていることを確認できます。 詳細については、「 新しくオンボードされた Defender for Endpoint エンドポイントで検出テストを実行する」を参照してください。

クライアントの構成と更新System Center Endpoint Protection

Defender for Endpoint は、System Center Endpoint Protectionと統合して、マルウェア検出を可視化し、悪意のある可能性のあるファイルや疑わしいマルウェアを禁止することで、organization内の攻撃の伝達を停止します。

この統合を有効にするには、次の手順が必要です。

• Endpoint Protection クライアント用の 2017 年 1 月のマルウェア対策プラットフォーム更新プログラムをインストールする
• SCEP クライアント Cloud Protection Service メンバーシップを [詳細設定 ] に構成する
• Microsoft Defender ウイルス対策クラウドへの接続を許可するようにネットワークを構成します。 詳細については、「ウイルス対策ネットワーク接続Microsoft Defender構成して検証する」を参照してください。

Microsoft Monitoring Agent (MMA) をインストールして構成する

はじめに

最小システム要件を確認するには、次の詳細を確認します。

• 2018 年 2 月の月次更新プログラムのロールアップをインストールする - Windows Update カタログからの直接ダウンロード リンクはこちら

• 2019 年 3 月 12 日以降のサービス スタック更新プログラムをインストールする - Windows Update カタログからの直接ダウンロード リンクはこちら

• SHA-2 コード署名サポート更新プログラムをインストールする - Windows Update カタログからの直接ダウンロード リンクはこちら

  注:

  Windows Server 2008 R2、Windows 7 SP1 Enterprise、および Windows 7 SP1 Pro にのみ適用されます。

• カスタマー エクスペリエンスと診断テレメトリの更新プログラムをインストールする

• Microsoft .Net Framework 4.5.2 以降をインストールする

  注:

  .NET 4.5 のインストールでは、インストール後にコンピューターの再起動が必要になる場合があります。

• Azure Log Analytics エージェントの最小システム要件を満たす。 詳細については、「Log Analytics を使用して環境内のコンピューターからデータを収集する」を参照してください。

インストールの手順

1. エージェントセットアップ ファイル ( Windows 64 ビット エージェント または Windows 32 ビット エージェント) をダウンロードします。

   注:

   MMA エージェントによる SHA-1 サポートの廃止により、MMA エージェントはバージョン 10.20.18029 以降である必要があります。

2. ワークスペース ID を取得します。

   • [Defender for Endpoint] ナビゲーション ウィンドウで、[設定>] [デバイス管理>のオンボード] の順に選択します。
   • オペレーティング システムを選択する
   • ワークスペース ID とワークスペース キーをコピーする

3. ワークスペース ID とワークスペース キーを使用して、エージェントをインストールするには、次のいずれかのインストール方法を選択します。

   • セットアップを使用してエージェントを手動でインストールします。

     [エージェントのセットアップ オプション] ページで、[エージェントを Azure Log Analytics (OMS) に接続する] を選択します。

   • コマンド ラインを使用してエージェントをインストールします。

   • スクリプトを使用してエージェントを構成します。

   注:

   米国政府機関のお客様の場合は、セットアップ ウィザードを使用している場合、またはコマンド ラインまたはスクリプトを使用する場合は、[Azure クラウド] で [Azure US Government] を選択する必要があります。"OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" パラメーターを 1 に設定します。

4. プロキシを使用してインターネットに接続する場合は、「プロキシとインターネット接続の設定を構成する」セクションを参照してください。

完了すると、オンボードされたエンドポイントがポータルに 1 時間以内に表示されます。

プロキシとインターネット接続の設定を構成する

サーバーでプロキシを使用して Defender for Endpoint と通信する必要がある場合は、次のいずれかの方法を使用して、プロキシ サーバーを使用するように MMA を構成します。

• プロキシ サーバーを使用するように MMA を構成する

• すべての接続にプロキシ サーバーを使用するように Windows を構成する

プロキシまたはファイアウォールが使用されている場合は、サーバーが SSL インターセプトなしで、Microsoft Defender for Endpointサービスのすべての URL に直接アクセスできることを確認してください。 詳細については、「Microsoft Defender for Endpoint サービス URL へのアクセスを有効にする」を参照してください。 SSL インターセプトを使用すると、システムが Defender for Endpoint サービスと通信できなくなります。

完了すると、オンボードされた Windows サーバーがポータルに 1 時間以内に表示されます。

Microsoft Defender for Cloud を使用して Windows サーバーをオンボードする

1. [Microsoft Defender XDR] ナビゲーション ウィンドウで、[設定>エンドポイント>] [デバイス管理>のオンボード] の順に選択します。

2. オペレーティング システムとして [Windows Server 2008 R2 SP1 ] を選択します。

3. [Microsoft Defender for Cloud のサーバーのオンボード] をクリックします。

4. Microsoft Defender for Cloud を使用したMicrosoft Defender for Endpointのオンボード手順に従い、Azure ARC を使用している場合は、「Microsoft Defender for Endpoint統合を有効にする」のオンボード手順に従ってください。

オンボード手順を完了したら、クライアントSystem Center Endpoint Protection構成して更新する必要があります。

注:

• サーバーが期待どおりに動作するようにMicrosoft Defenderを使用してオンボードするには、サーバーに適切なワークスペースとキーが Microsoft Monitoring Agent (MMA) 設定内で構成されている必要があります。
• 構成が完了すると、適切なクラウド管理パックがマシンにデプロイされ、センサー プロセス (MsSenseS.exe) がデプロイされて開始されます。
• これは、サーバーが OMS ゲートウェイ サーバーをプロキシとして使用するように構成されている場合にも必要です。

オンボードを確認する

Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint が実行されていることを検証します。

注:

Microsoft Defender ウイルス対策を実行する必要はありませんが、推奨されています。 別のウイルス対策ベンダー製品が主要なエンドポイント保護ソリューションである場合は、パッシブ モードで Defender ウイルス対策を実行できます。 パッシブ モードがオンになっていることを確認できるのは、Microsoft Defender for Endpoint センサー (SENSE) が実行されていることを確認した後のみです。

注:

Microsoft Defenderウイルス対策はWindows 10とWindows 11でのみサポートされているため、Windows Server 2008 R2 SP1 を実行する場合、手順 1 は適用されません。

1. 次のコマンドを実行して、Microsoft Defender ウイルス対策がインストールされていることを検証します。

   sc.exe query Windefend
   

   結果が 「指定されたサービスはインストール済みサービスとして存在しません」 の場合は、Microsoft Defender ウイルス対策をインストールする必要があります。 詳細については、「Windows 10でのウイルス対策のMicrosoft Defender」を参照してください。

   グループ ポリシーを使用して Windows サーバーのMicrosoft Defender ウイルス対策を構成および管理する方法については、「グループ ポリシー設定を使用してMicrosoft Defender ウイルス対策を構成および管理する方法」 を参照してください。

オンボーディングで問題が発生した場合は、「オンボードのトラブルシューティング」 を参照してください。

検出テストの実行

［新しくオンボードされたデバイスで検出テストを実行する］ の手順に従って、サーバーが Defender for the Endpoint サービスに報告していることを検証します。

管理ソリューションのないエンドポイントのオンボード

グループ ポリシーを使用する

手順 1: エンドポイントの対応する更新プログラムをダウンロードします。

1. c:\windows\sysvol\domain\scripts に移動します (ドメイン コントローラーのいずれかで変更コントロールが必要になる場合があります)。

2. MMA という名前のフォルダーをCreateします。

3. 次をダウンロードし、MMA フォルダーに配置します。

   • カスタマー エクスペリエンスと診断テレメトリの更新:
     • Windows Server 2008 R2 x64 の場合

   Windows Server 2008 R2 SP1 の場合は、次の更新プログラムも必要です。

   2018 年 2 月の月次ロールアップ - KB4074598 (Windows Server 2008 R2)

   Microsoft Update カタログ
   Windows Server 2008 R2 x64 の更新プログラムをダウンロードする

   .NET Framework 3.5.1 (KB315418)
   Windows Server 2008 R2 x64 の場合

   注:

   この記事では、x64 ベースのサーバー (MMA エージェント .exe x64 新しい SHA-2 準拠バージョン) を使用していることを前提としています。

手順 2: ファイル名DeployMMA.cmdをCreateします (メモ帳を使用) cmd ファイルに次の行を追加します。 ワークスペース ID とキーが必要であることに注意してください。

次のコマンドの例を示します。 次の値を置き換えます。

• KB - オンボードするエンドポイントに関連する該当する KB を使用する
• ワークスペース ID とキー - ID とキーを使用する

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

グループ ポリシー構成

"Microsoft Defender for Endpoint オンボード" などのデバイスをオンボードするための新しいグループ ポリシーをCreateします。

• "c:\windows\MMA" という名前のグループ ポリシー フォルダーをCreateする

  

  これにより、MMA と呼ばれる GPO を適用するすべてのサーバーに新しいフォルダーが追加され、c:\windows に格納されます。 これには、MMA のインストール ファイル、前提条件、およびインストール スクリプトが含まれます。

• Create、Net ログオンに格納されている各ファイルに対する [グループ ポリシー ファイル] 基本設定を選択します。

  

DOMAIN\NETLOGON\MMA\filename から C:\windows\MMA\filename にファイルがコピー されるため、インストール ファイルはサーバーに対してローカルになります。

このプロセスを繰り返しますが、[共通] タブを対象とする項目レベルを作成します。そのため、ファイルはスコープ内の適切なプラットフォーム/オペレーティング システムのバージョンにのみコピーされます。

Windows Server 2008 R2 の場合は、次のものが必要になります (また、コピーのみが行われます)。

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

これが完了したら、スタートアップ スクリプト ポリシーを作成する必要があります。

ここで実行するファイルの名前は c:\windows\MMA\DeployMMA.cmdです。 サーバーが起動プロセスの一部として再起動されると、カスタマー エクスペリエンスと診断テレメトリ KB の更新プログラムがインストールされ、次に MMA エージェントがインストールされ、ワークスペース ID とキーの設定中にサーバーがオンボードされます。

すべてのサーバーを再起動しない場合は、 即時タスク を使用してdeployMMA.cmdを実行することもできます。

これは、2 つのフェーズで実行できます。 最初に、GPO でファイルとフォルダーを 作成する - GPO が適用され、すべてのサーバーにインストール ファイルがあることを確認する時間をシステムに与えます。 次に、即時タスクを追加します。 これにより、再起動を必要とせずに同じ結果が得られます。

スクリプトには終了メソッドがあり、MMA がインストールされている場合は再実行されないため、毎日スケジュールされたタスクを使用して同じ結果を得ることもできます。 Configuration Managerコンプライアンス ポリシーと同様に、MMA が存在することを確認するために毎日チェックされます。

Server 2008 R2 を中心とする Server のオンボード ドキュメントで説明されているように、以下を参照してください。Windows Server 2008 R2 SP1 の場合は、次の要件を満たしていることを確認してください。

• 2018 年 2 月の月次更新プログラムのロールアップをインストールする
• .NET Framework 4.5 (またはそれ以降) またはKB3154518をインストールします

Windows Server 2008 R2 をオンボードする前に、KB が存在チェックしてください。 このプロセスを使用すると、サーバーの管理をConfiguration Managerしていない場合は、すべてのサーバーをオンボードできます。

オフボード エンドポイント

サービスから Windows エンドポイントをオフボードするには、次の 2 つのオプションがあります。

• MMA エージェントをアンインストールする
• Defender for Endpoint ワークスペースの構成を削除する

注:

オフボードを使用すると、Windows エンドポイントはポータルへのセンサー データの送信を停止しますが、エンドポイントからのデータ (以前のアラートへの参照を含む) は最大 6 か月間保持されます。

MMA エージェントをアンインストールする

Windows エンドポイントをオフボードするには、MMA エージェントをアンインストールするか、レポートから Defender for Endpoint ワークスペースにデタッチします。 エージェントのオフボード後、エンドポイントはセンサー データを Defender for Endpoint に送信しなくなります。 詳細については、「 エージェントを無効にするには」を参照してください。

Defender for Endpoint ワークスペースの構成を削除する

次のいずれかの方法を使用できます。

• MMA エージェントから Defender for Endpoint ワークスペース構成を削除する
• PowerShell コマンドを実行して構成を削除する

MMA エージェントから Defender for Endpoint ワークスペース構成を削除する

1. [Microsoft Monitoring Agent のプロパティ] で、[Azure Log Analytics (OMS)] タブを選択します。

2. [Defender for Endpoint] ワークスペースを選択し、[ 削除] をクリックします。

   

PowerShell コマンドを実行して構成を削除する

1. ワークスペース ID を取得します。

   1. ナビゲーション ウィンドウで、[設定のオンボード] を選択します>。
   2. 関連するオペレーティング システムを選択し、ワークスペース ID を取得します。

2. 管理者特権の PowerShell を開き、次のコマンドを実行します。 取得したワークスペース ID を使用し、 を置き換えます WorkspaceID。

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()
   

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。