Endpoint Protection 向けカスタム クライアント設定の構成

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

この手順では、Endpoint Protection のカスタム クライアント設定を構成します。この設定は、階層内のデバイスのコレクションに展開できます。

重要

既定の Endpoint Protection クライアント設定は、階層内のすべてのコンピューターに適用する必要がある場合にのみ構成します。

Endpoint Protection を有効にしてカスタム クライアント設定を構成するには

  1. Configuration Manager コンソールで、[管理] をクリックします。

  2. [ 管理 ] ワークスペースで、[ クライアント設定] をクリックします。

  3. [ ホーム ] タブの [ 作成 ] グループで、[ カスタム クライアント デバイス設定の作成] をクリックします。

  4. [ カスタム クライアント デバイス設定の作成] ダイアログ ボックスで、設定グループの名前と説明を指定し、[ Endpoint Protection] を選択します。

  5. 必要な Endpoint Protection クライアント設定を構成します。 構成できる Endpoint Protection クライアント設定の完全な一覧については、「 クライアント設定について」の「Endpoint Protection」セクションを参照してください。

    重要

    Endpoint Protection のクライアント設定を構成する前に、Endpoint Protection サイト システムの役割をインストールします。

  6. [ OK] をクリックして 、[ カスタム クライアント デバイス設定の作成] ダイアログ ボックスを閉じます。 新しいクライアント設定は、[管理] ワークスペースの [クライアント設定] ノードに表示されます。

  7. 次に、カスタム クライアント設定をコレクションにデプロイします。 デプロイするカスタム クライアント設定を選択します。 [ ホーム ] タブの [ クライアント設定] グループで、[ 展開] をクリックします。

  8. [ コレクションの選択 ] ダイアログ ボックスで、クライアント設定を展開するコレクションを選択し、[OK] をクリック します。 新しいデプロイは、詳細ウィンドウの [ デプロイ ] タブに表示されます。

クライアントは、次にクライアント ポリシーをダウンロードするときに、これらの設定で構成されます。 詳細については、「Configuration Manager クライアントのポリシー取得を開始する」を参照してください。

ディスク イメージで Endpoint Protection クライアントをプロビジョニングする方法

OS 展開のディスク イメージ ソースとして使用するコンピューターに Endpoint Protection クライアントConfiguration Managerインストールします。 このコンピューターは通常、参照コンピューターと呼ばれます。 OS イメージを作成した後、Configuration Manager OS デプロイを使用してイメージをデプロイします。

重要

Windows 10とWindows Server 2016以降、Windows Defenderは既定でインストールされます。 これらのバージョン以降のバージョンの Windows では、この手順は必要ありません。

参照コンピューターに Endpoint Protection クライアントをインストールして構成するには、次の手順に従います。

前提条件

次の一覧には、Endpoint Protection クライアント ソフトウェアを参照コンピューターにインストールするために必要な前提条件が含まれています。

  • Endpoint Protection クライアント インストール パッケージ ( scepinstall.exe) へのアクセス権が必要です。 このパッケージは、サイト サーバーの Configuration Manager インストール フォルダーの Client フォルダーにあります。

  • 組織の必要な構成で Endpoint Protection クライアントを展開するには、マルウェア対策ポリシーを作成してエクスポートします。 次に、Endpoint Protection クライアントを手動でインストールするときに、このポリシーを指定します。 詳細については、「 マルウェア対策ポリシーを作成して展開する方法」を参照してください。

    注:

    既定のクライアントマルウェア対策ポリシーをエクスポートすることはできません。

  • 最新の定義を使用して Endpoint Protection クライアントをインストールする場合は、Windows Defender セキュリティ インテリジェンスからダウンロードします。

参照コンピューターに Endpoint Protection クライアントをインストールする方法

コマンド プロンプトから参照コンピューターに Endpoint Protection クライアントをローカルにインストールします。 まず、scepinstall.exe インストール ファイルを 取得します。 詳細については、「 コマンド プロンプトから Endpoint Protection クライアントをインストールする」を参照してください。

必要に応じて、事前構成済みのマルウェア対策ポリシー、または以前にエクスポートしたマルウェア対策ポリシーも含めます。

コマンド プロンプトから Endpoint Protection クライアントをインストールするには

  1. Configuration Manager インストール フォルダーの Client フォルダーから、Endpoint Protection クライアント ソフトウェアをインストールするコンピューターにscepinstall.exeをコピーします。

  2. 管理者としてコマンド プロンプトを開きます。 インストーラーを使用してディレクトリをフォルダーに変更します。 次に、 を実行 scepinstall.exeし、必要なコマンド ライン プロパティを追加します。

    プロパティ 説明
    /s インストーラーをサイレント モードで実行する
    /q セットアップ ファイルをサイレント モードで抽出する
    /i インストーラーを正常に実行する
    /policy インストール中にクライアントを構成するマルウェア対策ポリシー ファイルを指定する
    /sqmoptin Microsoft カスタマー エクスペリエンス向上プログラム (CEIP) へのオプトイン

  3. 画面の指示に従って、クライアントのインストールを完了します。

  4. 最新の更新プログラム定義パッケージをダウンロードした場合は、パッケージをクライアント コンピューターにコピーし、定義パッケージをダブルクリックしてインストールします。

    注:

    Endpoint Protection クライアントのインストールが完了すると、クライアントは定義の更新チェックを自動的に実行します。 この更新チェックが成功した場合は、最新の定義更新プログラム パッケージを手動でインストールする必要はありません。

例: マルウェア対策ポリシーを使用してクライアントをインストールする

scepinstall.exe /policy <full path>\<policy file>

Endpoint Protection クライアントのインストールを確認する

参照コンピューターに Endpoint Protection クライアントをインストールした後、クライアントが正しく動作していることを確認します。

  1. 参照コンピューターで、Windows 通知領域からSystem Center Endpoint Protectionを開きます。

  2. [System Center Endpoint Protection] ダイアログ ボックスの [ホーム] タブで、[リアルタイム保護] が [オン] に設定されていることを確認します。

  3. [ウイルスとスパイウェアの定義] に [最新] が表示されていることを確認します。

  4. 参照コンピューターがイメージングの準備ができていることを確認するには、[ スキャン オプション] で [ 完全] を選択し、[ 今すぐスキャン] をクリックします。

イメージング用の Endpoint Protection クライアントを準備する

次の手順を実行して、イメージング用の Endpoint Protection クライアントを準備します。

  1. 参照コンピューターで、管理者としてサインインします。

  2. Windows SysInternals から PsExec をダウンロードしてインストールします。

  3. 管理者としてコマンド プロンプトを実行し、PsTools をインストールしたフォルダーにディレクトリを変更し、次のコマンドを入力します。

    psexec.exe -s -i regedit.exe

    重要

    この方法でレジストリ エディターを実行する場合は注意が必要です。 PsExec.exe LocalSystem コンテキストで実行されます。

  4. レジストリ エディターで、次のレジストリ キーを削除します。

    重要

    参照コンピューターをイメージングする前の最後の手順として、これらのレジストリ キーを削除します。 Endpoint Protection クライアントは、起動時にこれらのキーを再作成します。 参照コンピューターを再起動した場合は、レジストリ キーをもう一度削除します。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID

これで、イメージング用の参照コンピューターを準備する準備ができました。

Endpoint Protection クライアントを含む OS イメージを展開すると、デバイスに割り当てられたConfiguration Manager サイトに情報が自動的に報告されます。 クライアントは、対象となるマルウェア対策ポリシーをダウンロードして適用します。

関連項目

Configuration Managerでの OS の展開の詳細については、「OS イメージの管理」を参照してください。