手順 2: プロキシを使用して Defender for Endpoint サービスに接続するようにデバイスを構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
重要
IPv6 専用トラフィック用に構成されているデバイスはサポートされていません。
Microsoft Defender ATP センサーでは、センサー データをレポートし、Microsoft Defender for Endpoint サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。 埋め込まれた Defender for Endpoint センサーは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。
ヒント
インターネットへのゲートウェイとして転送プロキシを使用する組織では、ネットワーク保護を使用して転送プロキシの背後を調査できます。
WinHTTP 構成設定は、Windows インターネット (WinINet) 閲覧プロキシ設定とは無関係です ( WinINet と WinHTTP を参照)。 プロキシ サーバーを検出できるのは、次の検出方法を使用することだけです。
自動検出メソッド:
透過プロキシ
Web プロキシ自動発見プロトコル (WPAD)
注:
ネットワーク トポロジで透過プロキシまたは WPAD を使用している場合は、特別な構成は必要ありません。
手動の静的プロキシの構成:
レジストリ ベースの構成
netsh コマンドを使用して構成された WinHTTP – 安定したトポロジのデスクトップ (同じプロキシの背後にある企業ネットワークのデスクトップなど) だけに適しています。
注:
Defender ウイルス対策 EDR プロキシは個別に設定できます。 以下のセクションでは、これらの違いに注意してください。
レジストリ ベースの静的プロキシを使用して、プロキシ サーバーを手動で構成します。
コンピューターがインターネットへの接続を許可されていない場合は、診断データを報告し、Defender for Endpoint サービスと通信するために Defender for Endpoint 検出および応答 (EDR) センサー用のレジストリ ベースの静的プロキシを構成します。
注:
Windows 10、Windows 11、Windows Server 2019、または Windows Server 2022 でこのオプションを使用する場合は、次のビルド (またはそれ以降) と累積的な更新プログラムのロールアップを使用してください。
- Windows 11
- Windows 10 Version 1809または Windows Server 2019、または Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10 バージョン1909 - https://support.microsoft.com/kb/4601380
- Windows 10 Education Version 2004 - https://support.microsoft.com/kb/4601382
- Windows 10 Version 20H2 - https://support.microsoft.com/kb/4601382
これらの更新プログラムは、CnC (Command and Control) チャネルの接続性と信頼性を向上しさせます。
静的プロキシはグループ ポリシー (GP) を使用して構成できます。EDR を使用するには、グループ ポリシー値の下の両方の設定をプロキシ サーバーに構成する必要があります。 グループ ポリシーは、[管理用テンプレート] で使用できます。
管理用テンプレート>Windows コンポーネント > のデータ収集とプレビュー ビルド 接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用を構成します>。
[有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します。
![[グループ ポリシー設定 1 の状態] ウィンドウ](media/atp-gpo-proxy1.png)
管理用テンプレート > Windows コンポーネント > データ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリを構成します。
プロキシを構成します。
![[グループ ポリシー設定 2 の状態] ウィンドウ](media/atp-gpo-proxy2.png)
![[グループ ポリシー設定 1 の状態] ウィンドウ](media/atp-gpo-proxy1.png#lightbox)
![[グループ ポリシー設定 2 の状態] ウィンドウ](media/atp-gpo-proxy2.png#lightbox)
| グループ ポリシー | レジストリ キー | レジストリ エントリ | 値 |
|---|---|---|---|
| 接続されたユーザー エクスペリエンスとテレメトリ サービス用に認証されたプロキシ使用状況を構成する | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| 接続されたユーザー エクスペリエンスと利用統計情報を構成する | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port 例: 10.0.0.6:8080 (REG_SZ) |
注:
完全にオフラインのデバイスで 'TelemetryProxyServer' 設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、 の1値を持つ追加のレジストリ設定PreferStaticProxyForHttpRequestを追加する必要があります。
"PreferStaticProxyForHttpRequest" の親レジストリ パスの場所は "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" です
次のコマンドを使用して、レジストリ値を正しい場所に挿入できます。
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
上記のレジストリ値は、MsSense.exe バージョン 10.8210.* 以降、またはバージョン 10.8049.* 以降でのみ適用されます。
Microsoft Defender ウイルス対策の静的プロキシを構成する
Microsoft Defender ウイルス対策のクラウドで提供される保護では、新しい脅威や新たな脅威に対してほぼ瞬時に自動化された保護が提供されます。 Defender ウイルス対策がアクティブなマルウェア対策ソリューションである場合、カスタム インジケーターには接続が必要であることに注意してください。 ブロック モードの EDR の場合は、Microsoft 以外のソリューションを使用する際の主要なマルウェア対策ソリューションを備えています。
[管理用テンプレート] で使用できるグループ ポリシーを使用して静的プロキシを構成します:
管理用テンプレート>Windows コンポーネント > Microsoft Defenderウイルス対策 > ネットワークに接続するためのプロキシ サーバーを定義します。
これを [有効] に 設定し、プロキシ サーバーを定義します。 URL には http:// または https:// が必要です。 https:// でサポートされているバージョンについては、「Microsoft Defender ウイルス対策更新プログラムの管理」を参照してください。
レジストリ キー
HKLM\Software\Policies\Microsoft\Windows Defenderの下で、ポリシーはレジストリ値ProxyServerを REG_SZとして設定します。レジストリ値
ProxyServerは、次の文字列形式を取ります:<server name or ip>:<port>
注:
完全にオフラインのデバイスで静的プロキシ設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、dword 値が 0 の追加レジストリ設定 SSLOptions を追加する必要があります。 "SSLOptions" の親レジストリ パスの場所は "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" です
Microsoft Defender ウイルス対策は、回復力の目的とクラウドで提供される保護のリアルタイム性のために、最後に動作したことが確認されたプロキシをキャッシュします。 プロキシ ソリューションで SSL インスペクションが実行されていないことを確認します。 これにより、セキュリティで保護されたクラウド接続が壊れる可能性があります。
Microsoft Defender ウイルス対策は、更新プログラムをダウンロードするために、静的プロキシを使用して Windows Update または Microsoft Update に接続することはありません。 代わりに、構成済みのフォールバック順序に従って Windows Update または構成済みの内部更新プログラム ソースを使用するように構成されている場合は、システム全体のプロキシを使用します。
必要に応じて、ネットワークに接続するための管理用テンプレート > Windows コンポーネント > Microsoft Defenderウイルス対策>プロキシの自動構成 (.pac) の定義を使用できます。 複数のプロキシを使用して高度な構成を設定する必要がある場合は、[管理用テンプレート>] [Windows コンポーネント] > Microsoft Defender [ウイルス対策] を>使用して、プロキシ サーバーをバイパスし、Microsoft Defenderウイルス対策がそれらの宛先にプロキシ サーバーを使用できないようにアドレスを定義します。
PowerShell を Set-MpPreference コマンドレットと一緒に使用して、次のオプションを構成できます:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
注:
プロキシを正しく使用するには、次の 3 つの異なるプロキシ設定を構成します:
- Microsoft Defender for Endpoint (MDE)
- AV (ウイルス対策)
- エンドポイントでの検出と応答 (EDR)
netsh コマンドを使用してプロキシ サーバーを手動で構成する
netsh を使用して、システム全体の静的プロキシを構成します。
注:
- これは、既定のプロキシで WinHTTP を使用する Windows サービスを含むすべてのアプリケーションに影響します。
管理者特権でコマンド プロンプトを開きます。
- [スタート] をクリックし、「cmd」と入力します。
- [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
次のコマンドを入力して、Enter キーを押します。
netsh winhttp set proxy <proxy>:<port>例:
netsh winhttp set proxy 10.0.0.6:8080
winhttp プロキシをリセットするには、次のコマンドを入力し、Enter キーを押します。
netsh winhttp reset proxy
詳細については、「Netsh コマンドの構文、コンテキスト、およびフォーマット」を参照してください。
次の手順
手順 3: Microsoft Defender for Endpoint サービス URL へのクライアント接続を確認する
関連記事
- 切断された環境、プロキシ、Microsoft Defender for Endpoint
- グループ ポリシー設定を使用して Microsoft Defender ウイルス対策を管理する
- Windows デバイスのオンボード
- Microsoft Defender for Endpoint の問題のトラブルシューティング
- Microsoft Defender for Endpointにインターネットにアクセスせずにデバイスをオンボードする
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示