Configuration Manager を使用した Windows 10 デバイスのオンボードOnboard Windows 10 devices using Configuration Manager

適用対象:Applies to:

System Center Configuration Manager を使用したオンボード デバイスOnboard devices using System Center Configuration Manager

  1. サービス オンボーディング ウィザードからダウンロードした Configuration Manager 構成 パッケージ.zip ファイル (DeviceComplianceOnboardingPackage.zip) を開きます。Open the Configuration Manager configuration package .zip file (DeviceComplianceOnboardingPackage.zip) that you downloaded from the service onboarding wizard. また、Microsoft コンプライアンス センターからパッケージ を取得できますYou can also get the package from Microsoft Compliance center.

  2. ナビゲーション ウィンドウで、[設定デバイス オンボーディング > オンボーディング] > を選択しますIn the navigation pane, select Settings > Device Onboarding > Onboarding.

  3. [展開方法 ] フィールド、[Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602] を選択しますIn the Deployment method field, select Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  4. [ パッケージのダウンロード] を選択し、.zip ファイルを保存します。Select Download package, and save the .zip file.

  5. .zip ファイルの内容を、パッケージを展開するネットワーク管理者がアクセスできる共有の読み取り専用の場所に展開します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. DeviceComplianceOnboardingScript.cmd という名前のファイルが必要ですYou should have a file named DeviceComplianceOnboardingScript.cmd.

  6. 「System Center 2012 R2 Configuration Manager のパッケージとプログラム」の記事の手順に従ってパッケージを展開します。Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

  7. パッケージを展開する定義済みのデバイス コレクションを選択します。Choose a predefined device collection to deploy the package to.

注意

Microsoft 365 Endpoint データ損失防止は、アウトオブボックス エクスペリエンス (OOBE) フェーズ中のオンボーディングをサポートしない。Microsoft 365 Endpoint data loss prevention doesn't support onboarding during the Out-Of-Box Experience (OOBE) phase. Windows のインストールまたはアップグレードを実行した後、ユーザーが OOBE を完了してください。Make sure users complete OOBE after running Windows installation or upgrading.

ヒント

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。After onboarding the device, you can choose to run a detection test to verify that an device is properly onboarded to the service. 詳細については、「新しくオンボードされた Microsoft Defender ATP デバイスで検出テストを実行する 」を参照してくださいFor more information, see Run a detection test on a newly onboarded Microsoft Defender ATP device.

Configuration Manager アプリケーションで検出ルールを作成して、デバイスがオンボードされた場合に継続的にチェックを行える点に注意してください。Note that it is possible to create a detection rule on a Configuration Manager application to continuously check if a device has been onboarded. アプリケーションは、パッケージやプログラムとは異なる種類のオブジェクトです。An application is a different type of object than a package and program. デバイスがまだオンボードされていない場合 (保留中の OOBE の完了その他の理由により)、Configuration Manager は、ルールが状態の変更を検出するまで、デバイスのオンボードを再試行します。If a device is not yet onboarded (due to pending OOBE completion or any other reason), Configuration Manager will retry to onboard the device until the rule detects the status change.

この動作は、"OnboardingState" レジストリ値 (タイプ REG_DWORD) が 1 の場合に検出ルールチェックを作成することで実現できます。This behavior can be accomplished by creating a detection rule checking if the "OnboardingState" registry value (of type REG_DWORD) = 1. このレジストリ値は、"HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" の下にあります。This registry value is located under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". 詳細については 、「Configure Detection Methods in System Center 2012 R2 Configuration Manager」を参照してくださいFor more information, see Configure Detection Methods in System Center 2012 R2 Configuration Manager.

サンプル コレクション設定の構成Configure sample collection settings

デバイスごとに構成値を設定して、Microsoft Defender Security Center を介して詳細分析用のファイルを送信する要求が行われたときに、デバイスからサンプルを収集できるかどうかを示します。For each device, you can set a configuration value to state whether samples can be collected from the device when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

注意

これらの構成設定は、通常、Configuration Manager を介して行われます。These configuration settings are typically done through Configuration Manager.

Configuration Manager で構成アイテムのコンプライアンス ルールを設定して、デバイスのサンプル共有設定を変更できます。You can set a compliance rule for configuration item in Configuration Manager to change the sample share setting on a device.

このルールは、対象デバイスのレジストリ キーの値を設定して、苦情を確実に受け取るコンプライアンス ルール構成項目を修復する必要があります。This rule should be a remediating compliance rule configuration item that sets the value of a registry key on targeted devices to make sure they’re complaint.

構成は、次のレジストリ キー エントリを使用して設定されます。The configuration is set through the following registry key entry:

Path: “HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”
Name: "AllowSampleCollection"
Value: 0 or 1

ここで、Where:
キーの種類は D-WORD です。Key type is a D-WORD.
使用可能な値は次のいずれかです。Possible values are:

  • 0 - このデバイスからのサンプル共有を許可しない0 - doesn't allow sample sharing from this device
  • 1 - このデバイスからすべての種類のファイルを共有できます1 - allows sharing of all file types from this device

レジストリ キーが存在しない場合の既定値は 1 です。The default value in case the registry key doesn’t exist is 1.

System Center Configuration Manager コンプライアンスの詳細については、「System Center 2012 R2 Configuration Managerのコンプライアンス設定の概要」を参照してください。For more information about System Center Configuration Manager Compliance, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.

デバイスをサービスにオンボーディングした後、以下の推奨構成設定でデバイスを有効にすることで、含まれている脅威保護機能を活用することが重要です。After onboarding devices to the service, it's important to take advantage of the included threat protection capabilities by enabling them with the following recommended configuration settings.

デバイス コレクションの構成Device collection configuration

バージョン 2002 以降のエンドポイント構成マネージャーを使用している場合は、展開を拡大してサーバーまたはダウンレベルのクライアントを含める方法を選択できます。If you're using Endpoint Configuration Manager, version 2002 or later, you can choose to broaden the deployment to include servers or down-level clients.

次世代の保護構成Next generation protection configuration

次の構成設定をお勧めします。The following configuration settings are recommended:

スキャンScan

  • USB ドライブなどのリムーバブル 記憶域デバイスをスキャンする: はいScan removable storage devices such as USB drives: Yes

リアルタイム保護Real-time Protection

  • 動作監視を有効にする: はいEnable Behavioral Monitoring: Yes
  • ダウンロード時およびインストール前に望ましくない可能性があるアプリケーションに対する保護を有効にする: はいEnable protection against Potentially Unwanted Applications at download and prior to installation: Yes

クラウド保護サービスCloud Protection Service

  • Cloud Protection Service メンバーシップの種類: 高度なメンバーシップCloud Protection Service membership type: Advanced membership

攻撃表面の縮小 使用可能なすべてのルールを [監査] に構成します。Attack surface reduction Configure all available rules to Audit.

注意

これらのアクティビティをブロックすると、正当なビジネス プロセスが中断される可能性があります。Blocking these activities may interrupt legitimate business processes. 最善の方法は、すべてを監査に設定し、有効にしても安全な設定を特定し、誤検知検出を持つエンドポイントでこれらの設定を有効にします。The best approach is setting everything to audit, identifying which ones are safe to turn on, and then enabling those settings on endpoints which do not have false positive detections.

ネットワーク保護Network protection

監査モードまたはブロック モードでネットワーク保護を有効にする前に、サポート ページから入手できるマルウェア対策プラットフォーム更新プログラムがインストール されていることを確認してくださいPrior to enabling network protection in audit or block mode, ensure that you've installed the antimalware platform update, which can be obtained from the support page.

フォルダー アクセスの制御Controlled folder access

監査モードで機能を 30 日以上有効にします。Enable the feature in audit mode for at least 30 days. この期間が終了した後、検出を確認し、保護されたディレクトリへの書き込みを許可するアプリケーションの一覧を作成します。After this period, review detections and create a list of applications that are allowed to write to protected directories.

詳細については、「管理フォルダー アクセス の評価」を参照してくださいFor more information, see Evaluate controlled folder access.

Configuration Manager を使用したオフボード デバイスOffboard devices using Configuration Manager

セキュリティ上の理由から、Offboard デバイスに使用されるパッケージは、ダウンロード日から 30 日後に期限切れになります。For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. デバイスに送信された期限切れのオフボード パッケージは拒否されます。Expired offboarding packages sent to a device will be rejected. オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。When downloading an offboarding package, you will be notified of the packages expiry date and it will also be included in the package name.

注意

オンボーディングポリシーとオフボード ポリシーを同じデバイスに同時に展開し、それ以外の場合は予期しない競合を引き起こす可能性があります。Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

Microsoft Endpoint Configuration Manager カレント ブランチを使用するオフボード デバイスOffboard devices using Microsoft Endpoint Configuration Manager current branch

Microsoft Endpoint Configuration Manager カレント ブランチを使用する場合は、「 オフボード構成ファイルを作成する」を参照してくださいIf you use Microsoft Endpoint Configuration Manager current branch, see Create an offboarding configuration file.

System Center 2012 R2 Configuration Manager を使用するオフボード デバイスOffboard devices using System Center 2012 R2 Configuration Manager

  1. Microsoft コンプライアンス センターからオフボード パッケージ を取得しますGet the offboarding package from Microsoft Compliance center:

  2. ナビゲーション ウィンドウで、[設定デバイスオン ボーディング オフボード] > > を選択しますIn the navigation pane, select Settings > Device onboarding> Offboarding.

  3. オペレーティング システムとして [Windows 10] を選択します。Select Windows 10 as the operating system.

  4. [展開方法 ] フィールド、[Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602] を選択しますIn the Deployment method field, select Microsoft Endpoint Configuration Manager 2012/2012 R2/1511/1602.

  5. [ パッケージのダウンロード] を選択し、.zip ファイルを保存します。Select Download package, and save the .zip file.

  6. .zip ファイルの内容を、パッケージを展開するネットワーク管理者がアクセスできる共有の読み取り専用の場所に展開します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. -MM-DD.cmd DeviceComplianceOffboardingScript_valid_until_YYYYという名前のファイルが必要ですYou should have a file named DeviceComplianceOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  7. 「System Center 2012 R2 Configuration Manager のパッケージとプログラム」の記事の手順に従ってパッケージを展開します。Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

  8. パッケージを展開する定義済みのデバイス コレクションを選択します。Choose a predefined device collection to deploy the package to.

重要

Offboarding を使用すると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータ (通知への参照を含む) は最大 6 か月間保持されます。Offboarding causes the device to stop sending sensor data to the portal but data from the device, including reference to any alerts it has had will be retained for up to 6 months.

デバイス構成の監視Monitor device configuration

Microsoft Endpoint Configuration Manager の現在のブランチを使用している場合は、Configuration Manager コンソールで組み込みの Microsoft Defender ATP ダッシュボードを使用します。If you're using Microsoft Endpoint Configuration Manager current branch, use the built-in Microsoft Defender ATP dashboard in the Configuration Manager console. 詳細については 、「Microsoft Defender Advanced Threat Protection - Monitor」を参照してくださいFor more information, see Microsoft Defender Advanced Threat Protection - Monitor.

System Center 2012 R2 Configuration Manager を使用している場合、監視は次の 2 つの部分で構成されます。If you're using System Center 2012 R2 Configuration Manager, monitoring consists of two parts:

  1. 構成パッケージが正しく展開され、ネットワーク内のデバイスで実行 (または正常に実行) されていることを確認します。Confirming the configuration package has been correctly deployed and is running (or has successfully run) on the devices in your network.

  2. デバイスが Microsoft 365 Endpoint データ損失防止サービスに準拠しているのを確認します (これにより、デバイスはオンボーディング プロセスを完了し、引き続きサービスにデータを報告できます)。Checking that the devices are compliant with the Microsoft 365 Endpoint data loss prevention service (this ensures the device can complete the onboarding process and can continue to report data to the service).

構成パッケージが正しく展開されていることを確認するConfirm the configuration package has been correctly deployed

  1. Configuration Manager コンソールで、ナビゲーション ウィンドウ 下部にある [監視] をクリックします。In the Configuration Manager console, click Monitoring at the bottom of the navigation pane.

  2. [概要 ] を選択 し、[ 展開] を選択しますSelect Overview and then Deployments.

  3. パッケージ名を使用して展開を選択します。Select on the deployment with the package name.

  4. [完了統計] と [コンテンツ の状態] の下の 状態インジケーター を確認しますReview the status indicators under Completion Statistics and Content Status.

    失敗した展開 (エラー、要件が満たされていないデバイス、または失敗した状態) がある場合は、デバイスのトラブルシューティングが必要な場合があります。 If there are failed deployments (devices with Error, Requirements Not Met, or Failed statuses), you may need to troubleshoot the devices. 詳細については、「Microsoft Defender Advanced Threat Protection オンボーディングの問題のトラブルシューティング 」を参照してくださいFor more information, see, Troubleshoot Microsoft Defender Advanced Threat Protection onboarding issues.

    エラーがない展開が正常に実行されたことを示す Configuration Manager

デバイスが Microsoft 365 Endpoint データ損失防止サービスに準拠しているのを確認するCheck that the devices are compliant with the Microsoft 365 Endpoint data loss prevention service

System Center 2012 R2 Configuration Manager で構成アイテムのコンプライアンス ルールを設定して、展開を監視できます。You can set a compliance rule for configuration item in System Center 2012 R2 Configuration Manager to monitor your deployment.

注意

この手順とレジストリ エントリは、エンドポイント DLP および Advanced Threat Protection に適用されます。This procedure and registry entry applies to Endpoint DLP as well as Advanced Threat Protection.

このルールは 、対象となる デバイスのレジストリ キーの値を監視する、修復されていないコンプライアンス ルール構成アイテムである必要があります。This rule should be a non-remediating compliance rule configuration item that monitors the value of a registry key on targeted devices.

次のレジストリ キー エントリを監視します。Monitor the following registry key entry:

Path: “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
Name: “OnboardingState”
Value: “1”

詳細については 、「System Center 2012 R2 Configuration Manager のコンプライアンス設定の概要」を参照してくださいFor more information, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.