デバイスを Microsoft Defender for Business にオンボードする

Windows 10 と 11

Windows クライアント デバイスを Defender for Business にオンボードするには、次のいずれかのオプションを選択します。

• ローカル スクリプト (Microsoft Defender ポータルでデバイスを手動でオンボードする場合)
• グループ ポリシー (組織内でグループ ポリシーを既に使用している場合)
• Microsoft Intune (Intune を既に使用している場合)

Windows 10 および 11 のローカル スクリプト

ローカル スクリプトを使用して、Windows クライアント デバイスをオンボードできます。 デバイスでオンボード スクリプトを実行すると、Microsoft Entra ID を使用して信頼が作成され (その信頼がまだ存在しない場合)、デバイスが Microsoft Intune に登録され (まだ登録されていない場合)、デバイスが Defender for Business にオンボードされます。 現在 Intune を使用していない場合は、ローカル スクリプト メソッドが Defender for Business のお客様に推奨されるオンボード方法です。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. [ Windows 10 および 11] を選択します。

4. [ 接続の種類] で、[ 合理化] を選択します。

5. [ デプロイ方法 ] セクションで、[ ローカル スクリプト] を選択し、[ オンボード パッケージのダウンロード] を選択します。 オンボード パッケージはリムーバブル ドライブに保存することをお勧めします。

6. Windows デバイスで、構成パッケージの内容をデスクトップ フォルダーなどの場所に抽出します。 という名前 WindowsDefenderATPLocalOnboardingScript.cmdのファイルが必要です。

7. 管理者としてコマンド プロンプトを開きます。

8. スクリプト ファイルの場所を入力します。 たとえば、ファイルをデスクトップ フォルダーにコピーした場合は、 と入力 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdし、Enter キーを押します (または [OK] を選択します)。

9. スクリプトの実行後、 検出テストを実行します。

Windows 10 および 11 のグループ ポリシー

グループ ポリシーを使用して Windows クライアントをオンボードする場合は、「 グループ ポリシーを使用した Windows デバイスのオンボード」のガイダンスに従ってください。 この記事では、Microsoft Defender for Endpoint にオンボードする手順について説明します。 Defender for Business にオンボードする手順も同様です。

Windows 10 および 11 用 Intune

Intune 管理センター (https://intune.microsoft.com) を使用して、Intune で Windows クライアントやその他のデバイスをオンボードできます。 Intune にデバイスを登録するために使用できる方法はいくつかあります。 次のいずれかの方法を使用することをお勧めします。

• 会社所有または会社が管理するデバイスの Windows 自動登録を有効にする
• Intune で独自の Windows 10/11 デバイスを登録するようにユーザーに依頼する

Windows 10 および 11 の自動登録を有効にする

自動登録を設定すると、ユーザーは自分の職場アカウントをデバイスに追加します。 バックグラウンドでは、デバイスは Microsoft Entra ID を登録して参加させ、Intune に登録します。

1. Azure portal (https://portal.azure.com/) に移動し、サインインします。

2. Microsoft Entra ID>Mobility (MDM と MAM)>Microsoft Intune を選択します。

3. MDM ユーザー スコープと MAM ユーザー スコープを構成します。

   

   • MDM ユーザー スコープでは、すべてのユーザーが自動的に Windows デバイスを登録できるように、[ すべて ] を選択することをお勧めします。

   • [MAM ユーザー スコープ] セクションでは、URL に次の既定値を使用することをお勧めします。

     • MDM 使用条件 URL
     • MDM 探索 URL
     • MDM 準拠 URL

4. [保存] を選択します。

5. Intune に登録したデバイスは、Defender for Business のデバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

ユーザーに Windows 10 および 11 デバイスの登録を依頼する

1. 登録のしくみについては、次のビデオをご覧ください。
   
   

2. この記事を組織内のユーザーと共有する: Intune で Windows 10/11 デバイスを登録する。

3. Intune に登録したデバイスは、Defender for Business のデバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

Windows 10 または 11 デバイスで検出テストを実行する

Defender for Business に Windows デバイスをオンボードしたら、デバイスで検出テストを実行して、すべてが正常に動作していることを確認できます。

1. Windows デバイスで、フォルダーを作成します: C:\test-MDATP-test。

2. 管理者としてコマンド プロンプトを開き、次のコマンドを実行します。

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、約 10 分以内に新しくオンボードされたデバイスの Microsoft Defender ポータル (https://security.microsoft.com) に新しいアラートが表示されます。

Mac

Mac をオンボードするには、次のいずれかの方法があります。

• Mac 用のローカル スクリプト (推奨)
• Intune for Mac (Intune を既に使用している場合)

Mac 用のローカル スクリプト

Mac でローカル スクリプトを実行すると、Microsoft Entra ID を使用して信頼が作成され (その信頼がまだ存在しない場合)、Mac が Microsoft Intune に登録され (まだ登録されていない場合)、Mac が Defender for Business にオンボードされます。 この方法を使用して、一度に最大 10 台のデバイスをオンボードすることをお勧めします。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. [macOS] を選択します。

4. [ 接続の種類] で、[ 合理化] を選択します。

5. [ デプロイ方法 ] セクションで、[ ローカル スクリプト] を選択し、[ オンボード パッケージのダウンロード] を選択します。 パッケージをリムーバブル ドライブに保存します。 [ インストール パッケージのダウンロード] を選択し、リムーバブル デバイスに保存します。

6. Mac で、インストール パッケージ wdav.pkg を としてローカル ディレクトリに保存します。

7. オンボード パッケージを、インストール パッケージ WindowsDefenderATPOnboardingPackage.zip に使用したのと同じディレクトリに保存します。

8. Finder を使用して保存した場所に wdav.pkg 移動し、開きます。

9. [ 続行] を選択し、ライセンス条項に同意し、メッセージが表示されたらパスワードを入力します。

10. Microsoft からのドライバーのインストールを許可するように求められます ( [システム拡張機能がブロックされました] または [ インストールが保留]、またはその両方)。 ドライバーのインストールを許可する必要があります。 [セキュリティ設定を開く] または [システム環境設定>を開く] [セキュリティ & プライバシー] を選択し、[許可] を選択します。

11. オンボード パッケージを実行するには、次の Bash コマンドを使用します。

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Mac が Intune に登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

Intune for Mac

Intune を既に使用している場合は、Intune 管理センター (https://intune.microsoft.com) を使用して Mac コンピューターを登録できます。 Mac を Intune に登録する方法はいくつかあります。 次のいずれかの方法をお勧めします。

• 会社所有の Mac のオプションを選択する
• Intune に自分の Mac を登録するようにユーザーに依頼する

会社所有 Mac のオプション

会社が管理する Mac デバイスを Intune に登録するには、次のいずれかのオプションを選択します。

Intune に自分の Mac を登録するようにユーザーに依頼する

ユーザーが自分のデバイスを Intune に登録することを希望する場合は、次の手順に従ってユーザーに指示します。

1. ポータル サイト Web サイト (https://portal.manage.microsoft.com/) に移動し、サインインします。

2. ポータル サイト Web サイトの指示に従って、デバイスを追加します。

3. にポータル サイト アプリをインストールし、アプリ https://aka.ms/EnrollMyMacの指示に従います。

Mac がオンボードされていることを確認する

1. デバイスが会社に関連付けられていることを確認するには、Bash で次の Python コマンドを使用します。

   mdatp health --field org_id.

2. macOS 10.15 (Catalina) 以降を使用している場合は、デバイスを保護するために Defender for Business の同意を付与します。 [システム環境設定>] [セキュリティ] & [プライバシー]>[フル>ディスク アクセス] の順に移動します。 ダイアログの下部にあるロック アイコンを選択して変更を行い、 Microsoft Defender for Business (または Defender for Endpoint (表示される場合) を選択します。

3. デバイスがオンボードされていることを確認するには、Bash で次のコマンドを使用します。

   mdatp health --field real_time_protection_enabled

デバイスが Intune に登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

モバイル デバイス

次の方法を使用して、Android や iOS デバイスなどのモバイル デバイスをオンボードできます。

• Microsoft Defender アプリを使用する
• Microsoft Intune を使用する

Microsoft Defender アプリを使用する

モバイル脅威防御機能 が Defender for Business のお客様に一般提供されるようになりました。 これらの機能を使用すると、Microsoft Defender アプリを使用してモバイル デバイス (Android や iOS など) をオンボードできるようになりました。 この方法では、ユーザーは Google Play または Apple App Store からアプリをダウンロードし、サインインし、オンボード手順を完了します。

Microsoft Intune を使用する

サブスクリプションに Microsoft Intune が含まれている場合は、Android や iOS/iPadOS デバイスなどのモバイル デバイスのオンボードに使用できます。 これらのデバイスを Intune に登録する方法については、次のリソースを参照してください。

• Android デバイスを登録する
• iOS または iPadOS デバイスを登録する

デバイスが Intune に登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

サーバー

サーバーのオペレーティング システムを選択します。

• Windows Server
• Linux Server

Windows Server

ローカル スクリプトを使用して、Windows Server のインスタンスを Defender for Business にオンボードできます。

Windows Server のローカル スクリプト

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. Windows Server 1803、2019、2022 などのオペレーティング システムを選択し、[展開方法] セクションで [ローカル スクリプト] を選択します。

   Windows Server 2012 R2 と 2016 を選択した場合は、インストール パッケージとオンボード パッケージの 2 つのパッケージをダウンロードして実行できます。 インストール パッケージには、Defender for Business エージェントをインストールする MSI ファイルが含まれています。 オンボード パッケージには、Windows Server エンドポイントを Defender for Business にオンボードするためのスクリプトが含まれています。

4. [オンボーディング パッケージをダウンロードする] を選択します。 オンボード パッケージはリムーバブル ドライブに保存することをお勧めします。

   Windows Server 2012 R2 と 2016 を選択した場合は、[インストール パッケージのダウンロード] も選択し、パッケージをリムーバブル ドライブに保存します

5. Windows Server エンドポイントで、インストール/オンボード パッケージの内容を Desktop フォルダーなどの場所に抽出します。 という名前 WindowsDefenderATPLocalOnboardingScript.cmdのファイルが必要です。

   Windows Server 2012 R2 または Windows Server 2016 をオンボードする場合は、最初にインストール パッケージを抽出します。

6. 管理者としてコマンド プロンプトを開きます。

7. Windows Server 2012R2 または Windows Server 2016 をオンボードする場合は、次のコマンドを実行します。

   Msiexec /i md4ws.msi /quiet

   Windows Server 1803、2019、または 2022 をオンボードする場合は、この手順をスキップして手順 8 に進みます。

8. スクリプト ファイルの場所を入力します。 たとえば、ファイルをデスクトップ フォルダーにコピーした場合は、 と入力 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdし、Enter キーを押します (または [OK] を選択します)。

9. [Windows Server で検出テストを実行する] に移動します。

Windows Server で検出テストを実行する

Windows Server エンドポイントを Defender for Business にオンボードした後、検出テストを実行して、すべてが正しく動作していることを確認できます。

1. Windows Server デバイスで、 フォルダーを作成します。 C:\test-MDATP-test

2. 管理者としてコマンド プロンプト ウィンドウを開きます。

3. コマンド プロンプト ウィンドウで、次の PowerShell コマンドを実行します:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、約 10 分以内に新しくオンボードされたデバイスの Microsoft Defender ポータル (https://security.microsoft.com) に新しいアラートが表示されます。

Linux Server

Linux Server エンドポイントのオンボード

次の方法を使用して、Linux Server のインスタンスを Defender for Business にオンボードできます。

• ローカル スクリプト: 「 Linux で Microsoft Defender for Endpoint を手動でデプロイする」を参照してください。
• Ansible: 「 Ansible を使用して Linux に Microsoft Defender for Endpoint をデプロイする」を参照してください。
• シェフ：「Chef を使用して Linux に Defender for Endpoint をデプロイする」を参照してください。
• 人形： 「 Puppet を使用して Linux に Microsoft Defender for Endpoint をデプロイする」を参照してください。