Windows サーバーを Microsoft Defender for Endpoint にオンボードします

  • [アーティクル]

適用対象:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows サーバー半期エンタープライズ チャネル
  • Windows Server 2019 以降
  • Windows Server 2019 Core Edition
  • Windows Server 2022
  • Microsoft Defender for Endpoint

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Defender for Endpoint では、サポートが拡張され、Windows サーバー オペレーティング システムも含まれます。 このサポートにより、Microsoft Defender XDR コンソールを介して高度な攻撃検出と調査機能がシームレスに提供されます。 Windows Server のサポートにより、サーバーアクティビティに関するより深い分析情報、カーネルとメモリの攻撃検出の対象範囲が提供され、対応アクションが可能になります。

この記事では、特定の Windows サーバーをMicrosoft Defender for Endpointにオンボードする方法について説明します。

Windows サーバーのWindows セキュリティベースラインをダウンロードして使用する方法については、「Windows セキュリティ ベースライン」 を参照してください。

Windows サーバーのオンボードの概要

サーバーを正常にオンボードするには、次の一般的な手順を完了する必要があります。

Windows サーバー および Windows 10 デバイスのオンボード フローの図

注:

Windows Hyper-V Server エディションはサポートされていません。

サーバーのMicrosoft Defenderとの統合:

Microsoft Defender for Endpointは、サーバーのMicrosoft Defenderとシームレスに統合されます。 サーバーを自動的にオンボードし、クラウドのMicrosoft Defenderによって監視されたサーバーを Defender for Endpoint に表示させ、クラウド顧客のMicrosoft Defenderとして詳細な調査を行うことができます。 詳細については、「Defender for Cloud の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint

注:

Windows Server 2012 R2 と 2016 では、これらのマシンに最新の統合ソリューションを手動でインストールまたはアップグレードするか、統合を使用して、サーバー プランのそれぞれのMicrosoft Defenderの対象となるサーバーを自動的にデプロイまたはアップグレードできます。 切り替えの詳細については、「Defender for Cloud の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint」を参照してください

  • Microsoft Defender for Cloud を使用してサーバーを監視すると、Defender for Endpoint テナントが自動的に作成されます (米国のユーザーの場合は米国、ヨーロッパのユーザーの場合は EU、英国のユーザーの場合は英国)。 Defender for Endpoint によって収集されたデータは、プロビジョニング中に識別されたテナントの地理的な場所に格納されます。
  • Microsoft Defender for Cloud を使用する前に Defender for Endpoint を使用する場合、後で Microsoft Defender for Cloud と統合した場合でも、テナントの作成時に指定した場所にデータが格納されます。
  • 構成が完了すると、データの格納場所を変更することはできません。 データを別の場所に移動する必要がある場合は、Microsoft サポートに連絡してテナントをリセットする必要があります。
  • この統合を利用するサーバー エンドポイントの監視は、Office 365 GCC の顧客に対して無効になっています。
  • 以前は、Windows Server 2016および以前のバージョンの Windows Server で Microsoft Monitoring Agent (MMA) を使用すると、OMS/Log Analytics ゲートウェイで Defender クラウド サービスへの接続を提供することができました。 Windows Server 2019、Windows Server 2022、Windows 10 のMicrosoft Defender for Endpointなどの新しいソリューションでは、このゲートウェイはサポートされていません。
  • Microsoft Defender for Cloud を介してオンボードされた Linux サーバーでは、Defender ウイルス対策をパッシブ モードで実行するように初期構成が設定されます。

R2 とWindows Server 2016をWindows Server 2012します。

  • インストール パッケージとオンボード パッケージをダウンロードする
  • インストール パッケージを適用する
  • 対応するツールのオンボード手順に従う

Windows Server Semi-Annual Enterprise チャネルと Windows Server 2019:

  • オンボーディング パッケージをダウンロードする
  • 対応するツールのオンボード手順に従う

Windows Server 2012 R2 および Windows Server 2016

最新の統合ソリューションの新しいWindows Server 2012 R2 および 2016 機能

以前の実装 (2022 年 4 月より前) では、R2 Windows Server 2012オンボードが行われ、Windows Server 2016 Microsoft Monitoring Agent (MMA) の使用が必要です。

新しい統合ソリューション パッケージでは、依存関係とインストール手順を削除することで、サーバーのオンボードが容易になります。 また、大幅に拡張された機能セットも提供されます。 詳細については、「防御Windows Server 2012 R2 および 2016」を参照してください。

オンボーディングするサーバーに応じて、統合ソリューションは Microsoft Defender Antivirus および/または EDR センサーをインストールします。 次の表は、インストールされているコンポーネントと、既定で組み込まれているコンポーネントを示しています。

サーバーのバージョン AV EDR
Windows Server 2012 R2 はい。 はい。
Windows Server 2016 組み込み はい。
Windows Server 2019 以降。 組み込み 組み込み

以前に MMA を使用してサーバーをオンボードしたことがある場合は、「 サーバーの移行 」に記載されているガイダンスに従って、新しいソリューションに移行します。

重要

オンボードを続行する前に、「Windows Server 2012 R2 と 2016 の新しい統合ソリューション パッケージの既知の問題と制限事項」セクションを参照してください。

前提条件

Windows Server 2012 R2 の前提条件

最新の 月次ロールアップ パッケージを使用してマシンを完全に更新した場合、他の前提条件 はなく 、以下の要件は既に満たされています。

インストーラー パッケージは、次のコンポーネントが更新プログラムを介して既にインストールされているかどうかをチェックし、正常なインストールの最小要件が満たされているかどうかを評価します。

Windows Server 2016 の前提条件

使用可能な最新の SSU と LCU をサーバーにインストールすることをお勧めします。

サードパーティのセキュリティ ソリューションを使用して実行するための前提条件

サード パーティのマルウェア対策ソリューションを使用する場合は、パッシブ モードMicrosoft Defenderウイルス対策を実行する必要があります。 インストールとオンボードのプロセス中は、必ずパッシブ モードに設定する必要があります。

注:

McAfee Endpoint Security (ENS) または VirusScan Enterprise (VSE) を使用してサーバーにMicrosoft Defender for Endpointをインストールする場合は、ウイルス対策が削除または無効にされないように、McAfee プラットフォームのバージョンを更新Microsoft Defender必要があります。 必要な特定のバージョン番号を含む詳細については、 McAfee ナレッジ センターの記事を参照してください。

Windows Server 2012 R2 および 2016 のMicrosoft Defender for Endpointのパッケージを更新する

EDR センサー コンポーネントの定期的な製品改善と修正プログラムを受け取るには、Windows Update KB5005292 が適用または承認されていることを確認してください。 さらに、保護コンポーネントを最新の状態に保つには、「Microsoft Defender ウイルス対策更新プログラムの管理とベースラインの適用」 を参照してください。

Windows Server Update Services (WSUS) または Microsoft Endpoint Configuration Managerを使用している場合、この新しい "EDR センサーのMicrosoft Defender for Endpoint更新プログラム" はカテゴリ " で使用できます。Microsoft Defender for Endpoint"。

オンボード手順の概要

手順 1: インストールとオンボード パッケージをダウンロードする

インストール パッケージとオンボード パッケージの両方をポータルからダウンロードする必要があります。

注:

インストール パッケージは毎月更新されます。 使用する前に、必ず最新のパッケージをダウンロードしてください。 インストール後に更新するには、インストーラー パッケージをもう一度実行する必要はありません。 その場合は、アンインストールの要件であるため、インストーラーから最初にオフボードするように求められます。 Windows Server 2012 R2 および 2016 のMicrosoft Defender for Endpointのパッケージの更新に関するページを参照してください。

オンボード ダッシュボードの画像

注:

Windows Server 2012R2 では、Microsoft Defender ウイルス対策はインストール パッケージによってインストールされ、パッシブ モードに設定しない限りアクティブになります。 Windows Server 2016 では、まず Microsoft Defender ウイルス対策を機能としてインストールしなければならず (「MDE に切り替える」 を参照)、インストールを続行する前に完全に更新する必要があります。

Microsoft 以外のマルウェア対策ソリューションを実行している場合は、インストールする前に、Microsoft Defenderウイルス対策の除外 ([Defender プロセス] タブの [Microsoft Defender プロセス] の一覧から) を Microsoft 以外のソリューションに追加してください。 Microsoft 以外のセキュリティ ソリューションを Defender ウイルス対策の除外リストに追加することもお勧めします。

インストール パッケージ には、Microsoft Defender for Endpoint エージェントをインストールする MSI ファイルが含まれています。

オンボード パッケージには、次のファイルが含まれています。

  • WindowsDefenderATPOnboardingScript.cmd - オンボード スクリプトが含まれています

パッケージをダウンロードするには、次の手順に従います。

  1. Microsoft Defender XDRで、[設定] [エンドポイント オンボード] > に移動します>

  2. Windows Server 2012 R2 および 2016 を選択します。

  3. [インストール パッケージのダウンロード]を選択し、.msi ファイルを保存します。

  4. [オンボード パッケージのダウンロード]を選択し、.zip ファイルを保存します。

  5. Microsoft Defender Antivirus をインストールするために、いずれかの方法でインストールパッケージをインストールしてください。 インストールには管理アクセス許可が必要です。

重要

ローカル オンボード スクリプトは概念実証に適していますが、運用環境のデプロイには使用しないでください。 運用環境のデプロイでは、グループ ポリシーまたは Microsoft Endpoint Configuration Manager を使用することをお勧めします。

手順 2: インストールとオンボード パッケージを適用する

この手順では、デバイスを Microsoft Defender for Endpoint クラウド環境にオンボードする前に必要な防止および検出コンポーネントをインストールして、オンボード用にマシンを準備します。 すべての前提条件 が満たされていることを確認します。

注:

Microsoft Defender ウイルス対策はインストールされ、パッシブ モードに設定しない限りアクティブになります。

Microsoft Defender for Endpoint パッケージをインストールするオプション

前のセクションでは、インストール パッケージをダウンロードしました。 インストール パッケージには、すべての Microsoft Defender for Endpoint コンポーネントのインストーラーが含まれています。

エージェントをインストールするには、次のいずれかのオプションを使用できます。

コマンド ラインを使用して Microsoft Defender For Endpoint をインストールする

前の手順のインストール パッケージを使用して、Microsoft Defender for Endpoint をインストールします。

次のコマンドを実行して、Microsoft Defender for Endpoint をインストールします。

Msiexec /i md4ws.msi /quiet

アンインストールするには、まず適切なオフボード スクリプトを使用してマシンがオフボードされていることを確認します。 次に、[コントロール パネル] >[プログラム]> [プログラムと機能] を使用してアンインストールを実行します。

または、次のアンインストールコマンドを実行し、Microsoft Defender for Endpoint をアンインストールしてください。

Msiexec /x md4ws.msi /quiet

上記のコマンドを正常に実行するには、インストールに使用したものと同じパッケージを使用する必要があります。

/quiet スイッチは、すべての通知を抑制します。

注:

Microsoft Defender ウイルス対策は自動的にパッシブ モードになりません。 Microsoft 以外のウイルス対策/マルウェア対策ソリューションを実行している場合は、パッシブ モードで実行するようにMicrosoft Defender ウイルス対策を設定できます。 コマンド ライン インストールの場合、オプションの FORCEPASSIVEMODE=1 は、干渉を避けるためにMicrosoft Defender ウイルス対策 コンポーネントをパッシブ モードにすぐに設定します。 次に、オンボード後も Defender ウイルス対策がパッシブ モードのままになるようにし、EDR ブロックなどの機能をサポートするには、「ForceDefenderPassiveMode」 レジストリ キーを設定します。

Windows Server のサポートにより、サーバーアクティビティに関するより深い分析情報、カーネルとメモリの攻撃検出の対象範囲が提供され、対応アクションが可能になります。

スクリプトを使用して Microsoft Defender for Endpoint をインストールする

インストーラー ヘルパー スクリプトを使用すると、インストール、アンインストール、オンボードを自動化できます。

注:

インストール スクリプトが署名されています。 スクリプトを変更すると、署名が無効になります。 GitHub からスクリプトをダウンロードするときは、ソース ファイルを zip アーカイブとしてダウンロードし、それを抽出して install.ps1 ファイルを取得することをお勧めします ([コード] ページの メイン [コード] ドロップダウン メニューをクリックし、[ZIP のダウンロード] を選択します)。

このスクリプトは、前の MMA ベースのMicrosoft Defender for Endpoint ソリューションのサーバー移行シナリオで説明したシナリオや、以下で説明するようにグループ ポリシーを使用したデプロイなど、さまざまなシナリオで使用できます。

インストーラー スクリプトを使用してインストールを実行するときに、グループ ポリシーを使用してMicrosoft Defender for Endpointインストールとオンボード パッケージを適用する

  1. グループ ポリシーを作成します。
    グループ ポリシー管理コンソール (GPMC) を開き、構成するオブジェクトグループ ポリシー右クリックし、[新規] を選択します。 表示されるダイアログ ボックスに新しい GPO の名前を入力し、[ OK] を選択します

  2. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] を選択します

  3. [グループ ポリシー管理エディター] で、[コンピューター構成] に移動します。そして [ユーザー設定] をし、[コントロール パネルの設定] を行ないます。

  4. [スケジュールされたタスク] を右クリックします。[新規作成] をポイントし、[イミディエイト タスク] (Windows 7 以上) をクリックします。

  5. 開いた [タスク ] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション ] で [ ユーザーまたはグループの変更 ] を選択し、「SYSTEM」と入力し、[ 名前の確認 ] を選択して [OK] を選択します。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。

  6. [ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。

  7. [名前] フィールドに、スケジュールされたタスクの適切な名前 (たとえば Defender for Endpoint Deployment など) を入力します。

  8. [アクション] タブに移動し、[新規作成] を選択し、[プログラムの開始][アクション] フィールドで選択されていることを確認します。 [インストーラー スクリプト] はインストールを処理し、インストールが完了したらすぐにオンボード手順を実行します。 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe を選択し、引数を指定します。

     -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd

    注:

    推奨される実行ポリシー設定は、Allsigned です。 スクリプトがエンドポイントで SYSTEM として実行されている場合は、スクリプトの署名証明書をローカル コンピューターの信頼された発行元ストアにインポートする必要があります。

    共有install.ps1ファイルのファイル サーバーの完全修飾ドメイン名 (FQDN) を使用して、\\servername-or-dfs-space\share-name を UNC パスに置き換えます。 インストーラー パッケージ md4ws.msi は、同じディレクトリに配置する必要があります。 UNC パスのアクセス許可で、ログ ファイルの作成をサポートするために、パッケージをインストールしているコンピューター アカウントへの書き込みアクセスが許可されていることを確認します。 ログ ファイルの作成を無効にする (推奨しない) 場合は、-noETL -noMSILog パラメーターを使用できます。

    Microsoft Defender ウイルス対策が Microsoft 以外のマルウェア対策ソリューションと共存する場合は、$Passive パラメーターを追加して、インストール中にパッシブ モードを設定します。

  9. [OK] を選択し、開いている GPMC ウィンドウをすべて閉じます。

  10. GPO を組織単位 (OU) にリンクするには、右クリックして 既存の [GPO をリンク] を選択します。 表示されるダイアログ ボックスで、リンクする グループ ポリシー オブジェクトを選択します。 [OK] を選択します。

その他の構成設定については、「 サンプル コレクション設定の構成 」と 「その他の推奨される構成設定」を参照してください。

手順 3: オンボード手順を完了する

次の手順は、サードパーティ製のマルウェア対策ソリューションを使用している場合にのみ適用されます。 次の Microsoft Defender ウイルス対策パッシブ モード設定を適用する必要があります。 正しく構成されていることを検証します。

  1. 次のレジストリ エントリを設定します。

    • パス: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    • 名前: ForceDefenderPassiveMode
    • 種類REG_DWORD
    • 値: 1

    パッシブ モードの検証結果

Windows Server 2012 R2 および 2016 用の新しい統合ソリューション パッケージの既知の問題と制限事項

重要

新しいインストールを実行する前に、Microsoft Defender ポータル (https://security.microsoft.com) から最新のインストーラー パッケージを常にダウンロードし、前提条件が満たされていることを確認します。 インストール後、「Windows Server 2012 R2 および 2016 のMicrosoft Defender for Endpointのパッケージを更新する」セクションで説明されているコンポーネント更新プログラムを使用して、定期的に更新してください。

  • オペレーティング システムの更新プログラムでは、サービスのインストールでタイムアウトが発生するため、ディスクの速度が低下しているマシンにインストールの問題が発生する可能性があります。 インストールが失敗し、「c:\program files\windows defender\mpasdesc.dll- 310 WinDefend が見つかりませんでした」というメッセージが表示されます。 必要に応じて、失敗したインストールをクリアするには、最新のインストール パッケージと最新の install.ps1 スクリプトを使用します。
  • 静的 TelemetryProxyServer が使用され、証明書失効リスト (CRL) URL が SYSTEM アカウント コンテキストから到達できない場合に、クラウドへの R2 接続をWindows Server 2012に関する問題が特定されました。 問題を解決するために、EDR センサーがバージョン 10.8210.* 以降 ( KB5005292を使用) に更新されていることを確認します。 または、このような接続を提供する別のプロキシ オプション ("システム全体") を使用するか、SYSTEM アカウント コンテキストの WinInet 設定を使用して同じプロキシを構成します。
  • R2 Windows Server 2012では、Microsoft Defender ウイルス対策用のユーザー インターフェイスはありません。 さらに、Windows Server 2016 のユーザー インターフェイスでは、基本的な操作のみが許可されます。 デバイスの操作をローカルで実行するには、「PowerShell、WMI、MPCmdRun.exe を使用して Microsoft Defender for Endpoint を管理する」 を参照してください。 その結果、ユーザーが決定を下したり、特定のタスクを実行したりするように求められる場所など、ユーザーの操作に特に依存する機能が期待どおりに動作しない可能性があります。 保護機能に影響を与える可能性があるため、ユーザー インターフェイスを無効にするか、有効にしないか、マネージド サーバーでユーザー操作を必要としないことをお勧めします。
  • すべての攻撃面縮小ルールがすべてのオペレーティング システムに適用されるわけではありません。 「攻撃面の縮小ルール」を参照してください。
  • オペレーティング システムのアップグレードはサポートされていません。 アップグレードする前にオフボードしてからアンインストールします。 インストーラー パッケージは、新しいマルウェア対策プラットフォームまたは EDR センサー更新プログラム パッケージでまだ更新されていないインストールのアップグレードにのみ使用できます。
  • サーバー ロールの自動除外は、Windows Server 2012 R2 ではサポートされていませんが、オペレーティング システム ファイルの組み込みの除外はサポートされています。 除外の追加の詳細については、「Windows Server でMicrosoft Defenderウイルス対策の除外を構成する」を参照してください。
  • Microsoft Endpoint Configuration Manager (MECM) を使用して新しいソリューションを自動的にデプロイしてオンボードするには、バージョン 2207 以降である必要があります。 修正プログラムロールアップを使用してバージョン 2107 を使用して構成および展開することはできますが、これには追加の展開手順が必要です。 詳細については、「Microsoft Endpoint Configuration Manager移行シナリオ」を参照してください。

Windows Server Semi-Annual Enterprise Channel (SAC)、Windows Server 2019、Windows Server 2022

パッケージをダウンロード

  1. Microsoft Defender XDRで、[設定] [エンドポイント>] デバイス管理 > [オンボード] >に移動します。

  2. Windows Server 1803 および 2019 を選択します。

  3. ダウンロード パッケージ を選択します。 WindowsDefenderATPOnboardingPackage.zip として保存します。

  4. [オンボーディングステップを完了する] セクションに記載されている手順に従います。

オンボードとインストールを検証する

Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint が実行されていることを検証します。

検出テストを実行してオンボードを検証する

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

注:

Microsoft Defender ウイルス対策を実行する必要はありませんが、推奨されています。 別のウイルス対策ベンダー製品が主要なエンドポイント保護ソリューションである場合は、パッシブ モードで Defender ウイルス対策を実行できます。 パッシブ モードがオンになっていることを確認できるのは、Microsoft Defender for Endpoint センサー (SENSE) が実行されていることを確認した後のみです。

  1. 次のコマンドを実行して、Microsoft Defender ウイルス対策がインストールされていることを検証します。

    注:

    この検証手順は、アクティブなマルウェア対策ソリューションとしてMicrosoft Defenderウイルス対策を使用している場合にのみ必要です。

    sc.exe query Windefend

    結果が 「指定されたサービスはインストール済みサービスとして存在しません」 の場合は、Microsoft Defender ウイルス対策をインストールする必要があります。

    グループ ポリシーを使用して Windows サーバーのMicrosoft Defender ウイルス対策を構成および管理する方法については、「グループ ポリシー設定を使用してMicrosoft Defender ウイルス対策を構成および管理する方法」 を参照してください。

  2. 次のコマンドを実行して、Microsoft Defender for Endpoint が実行されていることを検証します。

    sc.exe query sense

    結果には、実行中が表示されます。 オンボーディングで問題が発生した場合は、「オンボードのトラブルシューティング」 を参照してください。

検出テストの実行

[新しくオンボードされたデバイスで検出テストを実行する] の手順に従って、サーバーが Defender for the Endpoint サービスに報告していることを検証します。

次の手順

デバイスをサービスに正常にオンボードしたら、Microsoft Defender for Endpoint の個々のコンポーネントを構成する必要があります。 さまざまなコンポーネントの有効化に関するガイドが表示されるように、 機能の構成 に関するページに従います。

Windows サーバーのオフボード

Windows Server 2012 R2、Windows Server 2016、Windows Server (SAC)、Windows Server 2019、および Windows Server 2019 Core エディションは、Windows 10クライアント デバイスで使用できるのと同じ方法でオフボードできます。

オフボード後、Windows Server 2012 R2 とWindows Server 2016で統合ソリューション パッケージをアンインストールできます。

他の Windows サーバー バージョンの場合、サービスから Windows サーバーをオフボードするには、次の 2 つのオプションがあります。

  • MMA エージェントをアンインストールする
  • Defender for Endpoint ワークスペースの構成を削除する

注:

MMA を必要とする Windows Server 2016 および Windows Server 2012 R2 用の以前の Microsoft Defender for Endpoint を実行している場合は、他の Windows サーバー バージョンのこれらのオフボード手順も適用されます。 新しい統合ソリューションに移行する手順は、「Microsoft Defender for Endpoint のサーバー移行シナリオ」 にあります。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。