Microsoft Defender for Endpoint

Configuration Manager (現在のブランチ) に適用

Endpoint Protection は、 Microsoft Defender for Endpoint の管理と監視に役立ちます。 Microsoft Defender for Endpoint は、企業がネットワークに対する高度な攻撃を検出、調査、対応するのに役立ちます。 Configuration Manager ポリシーは、Windows 10 以降のクライアントのオンボードと監視に役立ちます。

Microsoft Defender for Endpoint のクラウドベースのポータルは 、Microsoft Defender Security Center です。 Configuration Manager では、クライアント オンボード構成ファイルを追加して展開することで、展開の状態と Microsoft Defender for Endpoint エージェントの正常性を監視できます。 Microsoft Defender for Endpoint は、Configuration Manager クライアントを実行している PC または Microsoft Intune によって管理されている PC でサポートされています。

前提条件

• Microsoft Defender for Endpoint のサブスクリプション
• Configuration Manager クライアントを実行しているクライアント コンピューター
• OS を使用しているクライアントは、以下の サポートされているクライアント オペレーティング システム のセクションに記載されています。
• 管理ユーザー アカウントには、 Endpoint Protection Manager セキュリティ ロールが必要です。

サポートされているクライアント オペレーティング システム

Configuration Manager を使用して、次のオペレーティング システムをオンボードできます。

• Windows 11
• Windows 10 バージョン 1709 以降
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server Semi-Annual チャネル (SAC)、バージョン 1803 以降
• Windows Server 2016
• Windows Server 2012 R2

Configuration Manager 2207 以降のバージョンを使用して Microsoft Defender for Endpoint にオンボードする手順

Configuration Manager を使用して Microsoft Defender for Endpoint デバイスのオンボード情報を更新する手順

Configuration Manager 2207 以降のバージョンを使用した Microsoft Defender for Endpoint へのオンボード

オペレーティング システムによって、Microsoft Defender for Endpoint へのオンボードのニーズが異なります。 Windows Server バージョン 1803 などの上位レベルのデバイスには、オンボード構成ファイルが必要です。 Current Branch 2207 以降、ダウンレベルのサーバー オペレーティング システム デバイスの場合は、クライアント設定で Microsoft Defender for Endpoint (MDE) クライアント (推奨) または Microsoft Monitoring Agent (MMA) (レガシ) を選択できます。 Windows 8.1 デバイスの場合は、クライアント設定で Microsoft Monitoring Agent (MMA) (レガシ) を使用する必要があります。

MMA を使用する場合は、 オンボードするワークスペース キー と ワークスペース ID が 必要です。 Configuration Manager では、オンボードされたデバイスで必要なときに Microsoft Monitoring Agent (MMA) もインストールされますが、エージェントは自動的に更新されません。

上位レベルのオペレーティング システムには、次のものが含まれます。

• Windows 10 バージョン 1607 以降
• Windows 11
• Windows Server Semi-Annual チャネル (SAC) バージョン 1803 以降
• Windows Server 2019
• Windows Server 2022

MDE クライアントをサポートする下位レベルのオペレーティング システムは次のとおりです。

• Windows Server 2012 R2
• Windows Server 2016

MMA エージェントを必要とする下位レベルのオペレーティング システム:

• Windows 8.1

Configuration Manager を使用してデバイスを Microsoft Defender for Endpoint にオンボードする場合は、ターゲット コレクションまたは複数のコレクションに Defender ポリシーを展開します。 ターゲット コレクションに、サポートされている任意の数のオペレーティング システムを実行しているデバイスが含まれている場合があります。 これらのデバイスをオンボードする手順は、オペレーティング システムが MDE クライアントのみをサポートするデバイスと MDE クライアントをサポートするデバイスを含むコレクションを対象としている場合、またはコレクションに MMA を必要とするダウンレベルのクライアントも含まれているかどうかによって異なります。

• コレクションに MDE クライアントを必要とする上位レベルのデバイスまたはダウンレベルのサーバー オペレーティング システム デバイス (クライアント設定に基づく) のみが含まれている場合は、 Microsoft Defender for Endpoint Client (推奨) を使用してオンボード手順を使用 できます。
• ターゲット コレクションに MMA (クライアント設定に基づく) または Windows 8.1 デバイスを必要とするダウンレベルのサーバー オペレーティング システム デバイスが含まれている場合は、手順に従って Microsoft Monitoring Agent を使用してデバイスをオンボードします。

MDE クライアントを使用して Microsoft Defender for Endpoint にデバイスをオンボードする (推奨)

上位レベルのクライアントでは、Microsoft Defender for Endpoint にオンボードするためのオンボード構成ファイルが必要です。 上位レベルのオペレーティング システムには、次のものが含まれます。

• Windows 11
• Windows 10 バージョン 1607 以降
• Windows Server Semi-Annual チャネル (SAC) バージョン 1803 以降
• Windows Server 2019
• Windows Server 2022

MDE クライアントをサポートする下位レベルのオペレーティング システムは次のとおりです。

• Windows Server 2012 R2
• Windows Server 2016

前提条件

Windows Server 2012 R2 の前提条件

最新の月次ロールアップ パッケージを使用してマシンを完全に更新した場合、追加の前提条件は ありません。

インストーラー パッケージは、次のコンポーネントが更新プログラムによって既にインストールされているかどうかを確認します。

• カスタマー エクスペリエンスと診断テレメトリの更新
• Windows での Universal C Runtime の更新

Windows Server 2016 の前提条件

• 2021 年 9 月 14 日以降のサービス スタック更新プログラム (SSU) をインストールする必要があります。
• 2018 年 9 月 20 日以降の最新の累積的な更新プログラム (LCU) をインストールする必要があります。 使用可能な最新の SSU と LCU をサーバーにインストールすることをお勧めします。 - Microsoft Defender ウイルス対策機能を有効またはインストールし、最新の状態にする必要があります。 Windows Update を使用して、最新のプラットフォーム バージョンをダウンロードしてインストールできます。 または、Microsoft Update カタログ もしくは MMPC から手動で更新プログラム パッケージをダウンロードします。

上位レベルのデバイスのオンボード構成ファイルを取得する

1. Microsoft Defender セキュリティ センターに移動し、サインインします。
2. [設定] を選択し、[エンドポイント] 見出しの [オンボード] を選択します。
3. オペレーティング システムの場合は、 Windows 10 と 11 を選択します。
4. 展開方法として [Microsoft Endpoint Configuration Manager current branch]\(Microsoft エンドポイント構成マネージャーの現在のブランチ以降 \) を選択します。
5. ダウンロード パッケージ を選択します。
6. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。

   注:

   この手順では、Windows 10 と 11 のオンボード ファイルをダウンロードしますが、このファイルは、アップレベルのサーバー オペレーティング システムにも使用されます。

上位レベルのデバイスをオンボードする

1. Configuration Manager コンソールで、[ 管理>クライアント設定] に移動します。
2. カスタム クライアント デバイス設定を作成するか、必要なクライアント設定のプロパティに移動し、[Endpoint Protection] を選択します
3. Windows Server 2012 R2 および Windows Server 2016 の Microsoft Defender for Endpoint Client の設定の場合、既定値は Microsoft Monitoring Agent (レガシ) として設定され、MDE クライアント (推奨) に変更する必要があります。
4. Configuration Manager コンソールで、 資産とコンプライアンス>Endpoint Protection>Microsoft Defender ATP ポリシー に移動し、[ Microsoft Defender ATP ポリシーの作成] を選択します。 ポリシー ウィザードが開きます。
5. Microsoft Defender for Endpoint ポリシーの [名前] と [説明 ] を入力し、[ オンボード] を選択します。
6. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。
7. 分析のためにマネージド デバイスから収集および共有されるファイル サンプルを指定します。
   • なし
   • すべてのファイルの種類
8. 概要を確認し、ウィザードを完了します。
9. 作成したポリシーを右クリックし、[ 展開 ] を選択して、Microsoft Defender for Endpoint ポリシーをクライアントにターゲットにします。

MDE クライアントと MMA を使用したデバイスの Microsoft Defender for Endpoint へのオンボード

サポートされているオペレーティング システムのいずれかを実行しているデバイスを Microsoft Defender for Endpoint にオンボードするには、構成ファイル、ワークスペース キー、ワークスペース ID を Configuration Manager に提供します。

構成ファイル、ワークスペース ID、ワークスペース キーを取得する

1. Microsoft Defender for Endpoint オンライン サービスに移動し、サインインします。

2. [設定] を選択し、[エンドポイント] 見出しの [オンボード] を選択します。

3. オペレーティング システムの場合は、 Windows 10 と 11 を選択します。

4. 展開方法として [Microsoft Endpoint Configuration Manager current branch]\(Microsoft エンドポイント構成マネージャーの現在のブランチ以降 \) を選択します。

5. ダウンロード パッケージ を選択します。

   

6. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。

7. [設定] を選択し、[デバイス管理] 見出しの [オンボード] を選択します。

8. オペレーティング システムの場合は、一覧から Windows 7 SP1 と 8.1 または Windows Server 2008 R2 Sp1、2012 R2、2016 のいずれかを選択します。

   • 選択したこれらのオプションに関係なく、 ワークスペース キー と ワークスペース ID は同じになります。

9. [接続の構成] セクションから、ワークスペース キーとワークスペース ID の値をコピーします。

   重要

   Microsoft Defender for Endpoint 構成ファイルには機密情報が含まれており、セキュリティで保護する必要があります。

デバイスのオンボード

1. Configuration Manager コンソールで、[ 管理>クライアント設定] に移動します。

2. カスタム クライアント デバイス設定を作成するか、必要なクライアント設定のプロパティに移動し、[Endpoint Protection] を選択します

3. Windows Server 2012 R2 および Windows Server 2016 の設定の Microsoft Defender for Endpoint Client の場合は、値が Microsoft Monitoring Agent (レガシ) として設定されていることを確認します。

4. Configuration Manager コンソールで、 資産とコンプライアンス>Endpoint Protection>Microsoft Defender ATP ポリシーに移動します。

5. [ Microsoft Defender ATP ポリシーの作成] を選択して、ポリシー ウィザードを開きます。

6. Microsoft Defender for Endpoint ポリシーの [名前] と [説明 ] を入力し、[ オンボード] を選択します。

7. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

8. ワークスペース キーとワークスペース ID を指定し、[次へ] を選択します。

   • ワークスペース キーとワークスペース ID が正しいフィールドにあることを確認します。 コンソールの順序は、Microsoft Defender for Endpoint オンライン サービスの順序とは異なる場合があります。

9. 分析のためにマネージド デバイスから収集および共有されるファイル サンプルを指定します。

   • なし
   • すべてのファイルの種類

10. 概要を確認し、ウィザードを完了します。

11. 作成したポリシーを右クリックし、[ 展開 ] を選択して、Microsoft Defender for Endpoint ポリシーをクライアントにターゲットにします。

監視する

1. Configuration Manager コンソールで、[監視] > [セキュリティ] の順に移動し、[Microsoft Defender ATP] を選択します。

2. Microsoft Defender for Endpoint ダッシュボードを確認します。

   • Microsoft Defender ATP エージェントのオンボード状態: アクティブな Microsoft Defender for Endpoint ポリシーがオンボードされている対象となる管理対象クライアント コンピューターの数と割合

   • Microsoft Defender ATP エージェントの正常性: Microsoft Defender for Endpoint エージェントの状態を報告するコンピューター クライアントの割合

     • 正常 - 正常に動作

     • 非アクティブ - 期間中にサービスに送信されるデータなし

     • エージェントの状態 - Windows のエージェントのシステム サービスが実行されていません

     • オンボードされていない - ポリシーが適用されましたが、エージェントがオンボードでポリシーを報告していない

オフボード構成ファイルを作成する

1. Microsoft Defender セキュリティ センターにサインインします。

2. [ 設定] を選択し、[エンドポイント] 見出しの [ オフボード ] を 選択します。

3. オペレーティング システム で Windows 10 と 11 を選択し、展開方法として Microsoft Endpoint Configuration Manager Current Branch 以降 を選択します。

   • Windows 10 および 11 オプションを使用すると、コレクション内のすべてのデバイスがオフボード状態になり、必要に応じ MMA がアンインストールされます。

4. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。 オフボード ファイルは 30 日間有効です。

5. Configuration Manager コンソールで、 資産とコンプライアンス>Endpoint Protection>Microsoft Defender ATP ポリシー に移動し、[ Microsoft Defender ATP ポリシーの作成] を選択します。 ポリシー ウィザードが開きます。

6. Microsoft Defender for Endpoint ポリシーの [名前] と [説明 ] を入力し、[ オフボード] を選択します。

7. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

8. 概要を確認し、ウィザードを完了します。

[ 展開] を選択して、Microsoft Defender for Endpoint ポリシーをクライアントにターゲットにします。

既存のデバイスのオンボード情報の更新

組織は、Microsoft Configuration Manager を使用してデバイスのオンボード情報を更新する必要がある場合があります。

これは、Microsoft Defender for Endpoint のオンボード ペイロードが変更された場合、または Microsoft サポートから指示された場合に必要になる場合があります。

オンボード情報を更新すると、次回の再起動時に新しいオンボード ペイロードの利用を開始するようにデバイスに指示 されます。

このプロセスでは、既存のオンボード ポリシーを更新するためのアクションが侵害され、既存のすべてのデバイスで 1 回限りのアクションが実行され、オンボード ペイロードが更新されます。 グループ ポリシー オンボード スクリプトを使用して、古いペイロードから新しいペイロードへのデバイスの 1 回限りのアップリフトを実行します。

新しいオンボード ペイロードを検証する

1. Microsoft Defender for Endpoint ポータルから グループ ポリシー オンボード パッケージをダウンロードします。

2. 新しいオンボード ペイロードの検証用のコレクションを作成する

3. オンボード ペイロードを対象とする既存の Microsoft Defender for Endpoint コレクションからこのコレクションを除外します。

4. グループ ポリシー オンボード スクリプトをテスト コレクションにデプロイします。

5. デバイスが新しいオンボード ペイロードを利用していることを確認します。

新しいオンボード ペイロードに移行する

1. Microsoft Defender for Endpoint ポータルから Microsoft Configuration Manager オンボード パッケージをダウンロードします。

2. 新しいオンボード ペイロードを使用して、既存の Microsoft Defender for Endpoint オンボード ポリシーを更新します。

3. [新しいオンボード ペイロードを検証する] から、Microsoft Defender for Endpoint オンボード ポリシーの既存のターゲット コレクションにスクリプトをデプロイします。

4. デバイスが新しいオンボード ペイロードを使用し、スクリプトからペイロードを正常に使用していることを検証します

次の手順

• Microsoft Defender for Endpoint

• Microsoft Defender for Endpoint の問題のトラブルシューティング