Endpoint Protection

Configuration Manager (現在のブランチ) に適用

Endpoint Protection は、Configuration Manager階層内のクライアント コンピューターのマルウェア対策ポリシーとWindows Defenderファイアウォール セキュリティを管理します。

Configuration Managerで Endpoint Protection を使用する場合、次の利点があります。

• マルウェア対策ポリシーの構成、ファイアウォール設定のWindows Defender、選択したコンピューター グループへのMicrosoft Defender for Endpointの管理。
• Configuration Managerソフトウェア更新プログラムを使用して、最新のマルウェア対策定義ファイルをダウンロードして、クライアント コンピューターを最新の状態に保ちます。
• 電子メール通知の送信、コンソール内監視の使用、レポートの表示。 これらのアクションは、クライアント コンピューターでマルウェアが検出されたときに管理ユーザーに通知します。

Windows 10 および Windows Server 2016 コンピューター以降、Microsoft Defender ウイルス対策は既にインストールされています。 これらのオペレーティング システムでは、Configuration Manager クライアントのインストール時に、Microsoft Defender ウイルス対策の管理クライアントがインストールされます。 Windows 8.1以前のコンピューターでは、Endpoint Protection クライアントが Configuration Manager クライアントと共にインストールされます。 Microsoft Defenderウイルス対策と Endpoint Protection クライアントには、次の機能があります。

• マルウェアとスパイウェアの検出と修復
• ルートキットの検出と修復
• 重大な脆弱性評価と自動定義とエンジンの更新
• ネットワーク検査システムによるネットワーク脆弱性検出
• Cloud Protection Service との統合により、マルウェアをMicrosoftに報告します。 このサービスに参加すると、Endpoint Protection クライアントまたは Microsoft Defender ウイルス対策は、コンピューターで未確認のマルウェアが検出されたときに、マルウェア保護センターから最新の定義をダウンロードします。

注:

Endpoint Protection クライアントは、Hyper-V を実行するサーバーと、サポートされているオペレーティング システムを持つゲスト仮想マシンにインストールできます。 CPU の過剰な使用を防ぐために、Endpoint Protection アクションにはランダム化された遅延が組み込まれているため、保護サービスが同時に実行されません。

Configuration Manager コンソールで Endpoint Protection を使用してWindows Defenderファイアウォール設定を管理することもできます。

マルウェアの管理

Configuration Managerの Endpoint Protection を使用すると、Endpoint Protection クライアント構成の設定を含むマルウェア対策ポリシーを作成できます。 これらのマルウェア対策ポリシーをクライアント コンピューターに展開します。 次に、[監視] ワークスペースの [セキュリティ] の下にある [エンドポイント保護の状態] ノードでコンプライアンスを監視します。 また、[レポート] ノードで Endpoint Protection レポートを 使用します。

詳細については、次の記事を参照してください。

• マルウェア対策ポリシーを作成して展開する方法: 構成できる設定の一覧を使用して、マルウェア対策ポリシーを作成、展開、監視します。

• Endpoint Protection を監視する方法: アクティビティ レポート、感染したクライアント コンピューターなどを監視する。

• マルウェア対策ポリシーとファイアウォール設定を管理する方法: クライアント コンピューターで検出されたマルウェアを修復する。

• Endpoint Protection のログ ファイル

Windows Defender ファイアウォールを管理する

Configuration Managerの Endpoint Protection は、クライアント コンピューター上のWindows Defender ファイアウォールの基本的な管理を提供します。 ネットワーク プロファイルごとに、次の設定を構成できます。

• Windows Defender ファイアウォールを有効または無効にします。

• 許可されているプログラムの一覧の接続を含め、受信接続をブロックします。

• ファイアウォールが新しいプログラムをブロックWindows Defenderユーザーに通知します。

注:

Endpoint Protection では、Windows Defender ファイアウォールの管理のみがサポートされています。

詳細については、「Windows Defender ファイアウォール ポリシーを作成して展開する方法」を参照してください。

Microsoft Defender for Endpoint

Configuration Managerは、エンドポイントのWindows Defenderと呼ばれるMicrosoft Defender for Endpointを管理および監視します。 Microsoft Defender for Endpoint サービスは、ネットワークに対する高度な攻撃を検出、調査、対応するのに役立ちます。 詳細については、「エンドポイントのMicrosoft Defender」を参照してください。

Endpoint Protection ワークフロー

次の図を使用して、Configuration Manager階層に Endpoint Protection を実装するワークフローを理解するのに役立ちます。

推奨事項

Configuration Managerの Endpoint Protection に関する次の推奨事項を使用します。

カスタム クライアント設定を構成する

Endpoint Protection のクライアント設定を構成するときは、既定のクライアント設定を使用しないでください。 既定値は、階層内のすべてのコンピューターに設定を適用します。 代わりに、カスタム クライアント設定を構成し、階層内のコンピューターのコレクションにこれらの設定を割り当てます。

カスタム クライアント設定を構成する場合は、次の操作を実行できます。

• 組織のさまざまな部分のマルウェア対策とセキュリティ設定をカスタマイズします。
• 階層全体に展開する前に、少数のコンピューター グループで Endpoint Protection を実行する効果をテストします。
• さらにクライアントをコレクションに追加して、Endpoint Protection 設定のデプロイを段階的に行います。

ソフトウェア更新プログラムを使用した定義更新プログラムの配布

Configuration Managerソフトウェア更新プログラムを使用して定義更新プログラムを配布する場合は、他のソフトウェア更新プログラムを含まないパッケージに定義の更新プログラムを配置します。 この方法では、定義更新パッケージのサイズを小さく保ち、配布ポイントへのレプリケートをより迅速に行うことができます。

次の手順

シナリオ例: Endpoint Protection を使用してマルウェアからコンピューターを保護する