手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
Defender for Endpoint にデバイスをオンボードする前に、送信接続を許可し、サービス URL の HTTPS 検査をバイパスすることで、ネットワークがサービスに接続するように構成されていることを確認してください。 このプロセスの最初の手順では、プロキシ サーバーまたはファイアウォール規則によって Defender for Endpoint へのアクセスが禁止されている場合に、許可されたドメイン の一覧に URL を追加します。 この記事には、以前のバージョンの Windows クライアントと Windows Server のプロキシとファイアウォールの要件に関する情報も含まれています。
注:
- 2024 年 5 月 8 日以降は、合理化された接続 (統合された URL のセット) を既定のオンボード方法として維持するか、(設定 > エンドポイント > の高度な機能) を使用して標準接続にダウングレードすることができます。 クラウドのIntuneまたはMicrosoft Defenderを使用してオンボードするには、関連するオプションをアクティブにする必要があります。 既にオンボードされているデバイスは自動的に再オンボードされません。 このような場合は、Intuneで新しいポリシーを作成します。ここで、最初に一連のテスト デバイスにポリシーを割り当てて接続が成功したことを確認してから、対象ユーザーを展開することをお勧めします。 Defender for Cloud のデバイスは、関連するオンボード スクリプトを使用して再オンボードできますが、新しくオンボードされたデバイスは自動的に合理化されたオンボードを受け取ります。
- Standard 接続を引き続き使用するかどうかに関係なく、現在および将来の機能のために、すべてのデバイスで新しい *.endpoint.security.microsoft.com 統合ドメインに到達できる必要があります。
- 新しいリージョンでは、既定で合理化された接続が使用され、Standard にダウングレードするオプションはありません。 詳細については、「Microsoft Defender for Endpointの合理化された接続を使用したデバイスのオンボード」を参照してください。
プロキシ サーバー内の Microsoft Defender for Endpoint サービス URL へのアクセスを有効にします。
次のダウンロード可能なスプレッドシートには、ネットワーク内のデバイスが接続できる必要があるサービスとその関連 URL が一覧表示されています。 これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 必要に応じて、特に 許可 ルールを作成する必要があります。
| ドメイン リストのスプレッドシート | 説明 |
|---|---|
| 統合 URL リストのMicrosoft Defender for Endpoint (合理化) | 統合 URL のスプレッドシート。 スプレッドシートはこちらからダウンロードできます。 該当する OS: 完全な一覧については、「 合理化された接続」を参照してください。 - Windows 10 1809 以降 - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2、Windows Server 2016 R2 は Defender for Endpoint モダン統合ソリューションを実行しています (MSI によるインストールが必要です)。 - 101.23102 を実行している macOS でサポートされているバージョン。* + - 101.23102 を実行している Linux でサポートされているバージョン。* + 最小コンポーネント バージョン: - マルウェア対策クライアント: 4.18.2211.5 - エンジン: 1.1.19900.2 - セキュリティ インテリジェンス: 1.391.345.0 - Xplat バージョン: 101.23102.* + - センサー/ KB バージョン: >10.8040.*/ 2022 年 3 月 8 日以降 以前にオンボードされたデバイスを合理化された方法に移行する場合は、「デバイス接続の移行」を参照してください。 Windows 10バージョン 1607、1703、1709、1803 (RS1-RS4) は合理化されたオンボード パッケージでサポートされていますが、より長い URL リストが必要です (更新された URL シートを参照)。 これらのバージョンでは、再オンボードはサポートされていません (最初に完全にオフボードする必要があります)。 Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Unified Agent (MMA) にアップグレードされていないサーバーで実行されているデバイスは、MMA オンボード方法を引き続き使用する必要があります。 |
| 商用のお客様向けのMicrosoft Defender for Endpoint URL リスト (標準) | 商用顧客向けサービスの場所、地理的な場所、OS に関する特定の DNS レコードのスプレッドシート。 プラン 1 とプラン 2 Microsoft Defender for Endpointは、同じプロキシ サービス URL を共有します。 ファイアウォールで、地理列が WW であるすべての URL を開きます。 地理列が WW ではない行の場合は、特定のデータの場所の URL を開きます。 データの場所の設定を確認するには、「Microsoft Defender for Endpoint のデータ保存場所の確認とデータ保持設定の更新」を参照してください。 任意の種類のネットワーク検査から URL を |
| Gov/GCC/DoD 向けの Microsoft Defender for Endpoint の URL リスト | Gov/GCC/DoD のお客様向けのサービスの場所、地理的な場所、OS の特定の DNS レコードのスプレッドシート。 ここにスプレッドシートをダウンロードします。 |
重要
- Connectionsは、オペレーティング システムまたは Defender クライアント サービスのコンテキストから作成されるため、プロキシはこれらの宛先の認証を必要とせず、セキュリティで保護されたチャネルを壊す検査 (HTTPS スキャン/SSL 検査) を実行する必要はありません。
- Microsoft はプロキシ サーバーを提供していません。 これらの URL には、構成したプロキシ サーバーを介してアクセスできます。
- Defender for Endpoint のセキュリティとコンプライアンス標準に準拠して、データはテナントの物理的な場所に従って処理され、保存されます。 クライアントの場所に基づいて、トラフィックは関連付けられているいずれかの IP リージョン (Azure データセンター リージョンに対応) を経由する場合があります。 詳細については、「 データ ストレージとプライバシー」を参照してください。
Microsoft Monitoring Agent (MMA) - 以前のバージョンの Windows クライアントまたは Windows Server の追加のプロキシとファイアウォールの要件
Windows 7 SP1、Windows 8.1、および Windows Server 2008 R2 の Log Analytics エージェント (Microsoft Monitoring Agent とも呼ばれます) を介した Defender for Endpoint 通信を許可するには、次の宛先が必要です。
| エージェント リソース | ポート | 方向 | HTTP 検査をバイパス |
|---|---|---|---|
*.ods.opinsights.azure.com |
ポート 443 | 送信 | はい |
*.oms.opinsights.azure.com |
ポート 443 | 送信 | はい |
*.blob.core.windows.net |
ポート 443 | 送信 | はい |
*.azure-automation.net |
ポート 443 | 送信 | はい |
上記のドメイン内のサブスクリプションで使用されている正確な宛先を確認するには、「 Microsoft Monitoring Agent (MMA) サービス URL 接続」を参照してください。
注:
MMA ベースのソリューションを使用するサービスでは、新しい合理化された接続ソリューション (統合 URL と静的 IP を使用するためのオプション) を利用することはできません。 Windows Server 2016と R2 Windows Server 2012の場合は、新しい統合ソリューションに更新する必要があります。 新しい統合ソリューションを使用してこれらのオペレーティング システムをオンボードする手順については、「Windows サーバーのオンボード」または「Microsoft Defender for Endpointのサーバー移行シナリオ」で、既にオンボードされているデバイスを新しい統合ソリューションに移行します。
インターネットにアクセスしないデバイスの場合/プロキシなし
インターネットに直接接続されていないデバイスの場合は、プロキシ ソリューションを使用することをお勧めします。 特定のケースでは、IP 範囲へのアクセスを許可するファイアウォールまたはゲートウェイ デバイスを使用できます。 詳細については、「 効率的なデバイス接続」を参照してください。
重要
- Microsoft Defender for Endpointはクラウド セキュリティ ソリューションです。 "インターネットにアクセスできないデバイスのオンボード" とは、エンドポイントのインターネット アクセスをプロキシまたはその他のネットワーク デバイスを介して構成する必要があり、DNS 解決が常に必要であることを意味します。 Microsoft Defender for Endpointでは、Defender クラウド サービスへの直接接続またはプロキシ接続がないエンドポイントはサポートされていません。 システム全体のプロキシ構成をお勧めします。
- 切断された環境の Windows または Windows Server は、内部ファイルまたは Web サーバーを介して証明書信頼Listsオフラインで更新できる必要があります。
- オフラインでのCTL の更新の詳細については、「 CTL ファイルをダウンロードするようにファイルまたは Web サーバーを構成する」を参照してください。
次の手順
手順 2: プロキシを使用して Defender for Endpoint サービスに接続するようにデバイスを構成します。