手順 1: Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
Defender for Endpoint にデバイスをオンボードする前に、サービスに接続するようにネットワークが構成されていることを確認してください。 このプロセスの最初の手順では、プロキシ サーバーまたはファイアウォール規則によって Defender for Endpoint へのアクセスが禁止されている場合に、許可されたドメイン の一覧に URL を追加します。 この記事には、以前のバージョンの Windows クライアントと Windows Server のプロキシとファイアウォールの要件に関する情報も含まれています。
注:
- 2024 年 5 月 8 日以前に作成されたテナントには、既定のオンボード方法として合理化された接続 (一連の URL の統合) を選択するか、設定を通じて標準のままにするオプションがあります。 前提条件が満たされていることを確認し、既定のオンボード パッケージを合理化に設定する準備ができたら、Microsoft Defender ポータルで次の高度な機能設定を有効にすることができます ([エンドポイントの>詳細設定] の設定>)。 Intune & Microsoft Defender for Cloud を使用してオンボードするには、関連するオプションをアクティブにする必要があります。 既にオンボードされているデバイスは自動的に再オンボードされません。Intuneで新しいポリシーを作成する必要があります。ここで、対象ユーザーを拡張する前に、接続が成功したことを確認するために、最初に一連のテスト デバイスにポリシーを割り当てることをお勧めします。 Defender for Cloud のデバイスは、関連するオンボード スクリプトを使用して再オンボードできます。
- パブリック プレビューの一部として、テナントで既に合理化された接続が有効になっている場合は、有効なままになります。
- 2024 年 5 月 8 日以降に作成された新しいテナントは、既定で合理化された接続になります。 詳細については、Microsoft Defender for Endpointの合理化された接続を使用したデバイスのオンボードに関するページを参照してください。
プロキシ サーバー内の Microsoft Defender for Endpoint サービス URL へのアクセスを有効にします。
次のダウンロード可能なスプレッドシートには、ネットワーク内のデバイスが接続できる必要があるサービスとその関連 URL が一覧表示されています。 これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 必要に応じて、専用の 許可 ルールを作成する必要があります。
| ドメイン リストのスプレッドシート | 説明 |
|---|---|
| 統合 URL リストのMicrosoft Defender for Endpoint (合理化) |
統合 URL のスプレッドシート。 ここにスプレッドシートをダウンロードします。 該当する OS: 完全な一覧については、「 合理化された接続」を参照してください。 - Windows 10 1809 以降 - Windows 11 - Windows Server 2019 - Windows Server 2022 - Windows Server 2012 R2、Windows Server 2016 R2 は Defender for Endpoint モダン統合ソリューションを実行しています (MSI によるインストールが必要です)。 - 101.23102 を実行している macOS でサポートされているバージョン。* + - 101.23102 を実行している Linux でサポートされているバージョン。* + 最小コンポーネント バージョン: - マルウェア対策クライアント: 4.18.2211.5 - エンジン: 1.1.19900.2 - セキュリティ インテリジェンス: 1.391.345.0 - Xplat バージョン: 101.23102.* + - センサー/ KB バージョン: >10.8040.*/ 2022 年 3 月 8 日以降 以前にオンボードされたデバイスを合理化された方法に移行する場合は、「デバイス接続の移行」を参照してください。 Windows 10バージョン 1607、1703、1709、1803 (RS1-RS4) は合理化されたオンボード パッケージでサポートされていますが、より長い URL リストが必要です (更新された URL シートを参照)。 これらのバージョンでは、再オンボードはサポートされていません (最初に完全にオフボードする必要があります)。 Windows 7、Windows 8.1、Windows Server 2008 R2 MMA、Unified Agent (MMA) にアップグレードされていないサーバーで実行されているデバイスは、MMA オンボード方法を引き続き使用する必要があります。 |
| 商用のお客様向けのMicrosoft Defender for Endpoint URL リスト (標準) | 商用顧客向けサービスの場所、地理的な場所、OS に関する特定の DNS レコードのスプレッドシート。 プラン 1 とプラン 2 Microsoft Defender for Endpointは、同じプロキシ サービス URL を共有します。 ファイアウォールで、地理列が WW であるすべての URL を開きます。 地理列が WW ではない行の場合は、特定のデータの場所の URL を開きます。 データの場所の設定を確認するには、「Microsoft Defender for Endpoint のデータ保存場所の確認とデータ保持設定の更新」を参照してください。 任意の種類のネットワーク検査から URL を |
| Gov/GCC/DoD 向けの Microsoft Defender for Endpoint の URL リスト | Gov/GCC/DoD のお客様向けのサービスの場所、地理的な場所、OS の特定の DNS レコードのスプレッドシート。 ここにスプレッドシートをダウンロードします。 |
重要
- Connectionsは、オペレーティング システムまたは Defender クライアント サービスのコンテキストから作成されるため、プロキシはこれらの宛先の認証を必要とせず、セキュリティで保護されたチャネルを壊す検査 (HTTPS スキャン/SSL 検査) を実行する必要はありません。
- Microsoft はプロキシ サーバーを提供していません。 これらの URL には、構成したプロキシ サーバーを介してアクセスできます。
- Defender for Endpoint のセキュリティとコンプライアンス標準に準拠して、データはテナントの物理的な場所に従って処理され、保存されます。 クライアントの場所に基づいて、トラフィックは関連付けられているいずれかの IP リージョン (Azure データセンター リージョンに対応) を経由する場合があります。 詳細については、「 データ ストレージとプライバシー」を参照してください。
Microsoft Monitoring Agent (MMA) - 以前のバージョンの Windows クライアントまたは Windows Server の追加のプロキシとファイアウォールの要件
次の追加の宛先は、Windows 7 SP1、Windows 8.1、および Windows Server 2008 R2 の Log Analytics エージェント (Microsoft Monitoring Agent とも呼ばれます) を介した Defender for Endpoint 通信を許可するために必要です。
| エージェント リソース | ポート | 方向 | HTTP 検査をバイパス |
|---|---|---|---|
*.ods.opinsights.azure.com |
ポート 443 | 送信 | はい |
*.oms.opinsights.azure.com |
ポート 443 | 送信 | はい |
*.blob.core.windows.net |
ポート 443 | 送信 | はい |
*.azure-automation.net |
ポート 443 | 送信 | はい |
注:
MMA ベースのソリューションを使用するサービスでは、新しい合理化された接続ソリューション (統合 URL と静的 IP を使用するためのオプション) を利用することはできません。 Windows Server 2016と R2 Windows Server 2012の場合は、新しい統合ソリューションに更新する必要があります。 新しい統合ソリューションを使用してこれらのオペレーティング システムをオンボードする手順については、「Windows サーバーのオンボード」または「Microsoft Defender for Endpointのサーバー移行シナリオ」で、既にオンボードされているデバイスを新しい統合ソリューションに移行します。
インターネットにアクセスしないデバイスの場合/プロキシなし
インターネットに直接接続されていないデバイスの場合は、プロキシ ソリューションを使用することをお勧めします。 特定のケースでは、IP 範囲へのアクセスを許可するファイアウォールまたはゲートウェイ デバイスを利用できます。 詳細については、「 効率的なデバイス接続」を参照してください。
重要
- Microsoft Defender for Endpointはクラウド セキュリティ ソリューションです。 "インターネットにアクセスできないデバイスのオンボード" とは、エンドポイントのインターネット アクセスをプロキシまたはその他のネットワーク デバイスを介して構成する必要があり、DNS 解決が常に必要であることを意味します。 Microsoft Defender for Endpointでは、Defender クラウド サービスへの直接接続またはプロキシ接続がないエンドポイントはサポートされていません。 システム全体のプロキシ構成をお勧めします。
- 切断された環境の Windows または Windows Server は、内部ファイルまたは Web サーバーを介して証明書信頼Listsオフラインで更新できる必要があります。
- オフラインでのCTL の更新の詳細については、「 CTL ファイルをダウンロードするようにファイルまたは Web サーバーを構成する」を参照してください。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示