Microsoft 365 への Windows デバイスのオンボードの概要

  • [アーティクル]

適用対象:

エンドポイントのデータ損失防止 (エンドポイント DLP) とインサイダー リスク管理では、Windows 10 および Windows 11 デバイスをサービスにオンボードして、監視データをサービスに送信できるようにする必要があります。

エンドポイント DLP は、Windows 10 または Windows 11 デバイスを監視し、機密性の高いアイテムが使用および共有されていることを検出します。 これにより、適切に使用および保護されていることを確認し、危険にさらされる可能性のある動作を防止するために必要な可視性と制御を得ることができます。 MicrosoftのすべてのDLP製品の詳細については、「データ損失防止の概要」を参照してください。 エンドポイント DLP の詳細については、「エンドポイント データ損失防止の説明」を参照してください。

エンドポイント DLP を使用すると、次のバージョンの Windows Server を実行しているデバイスをオンボードすることもできます。

注:

サポートされている Windows Server KB をインストールすると、サーバー上の 分類 機能が無効になります。 つまり、エンドポイント DLP はサーバー上のファイルを分類しません。 ただし、エンドポイント DLP は、これらの KB がサーバーにインストールされる前に分類されたサーバー上のファイルを保護します。 この保護を確保するには、バージョン 4.18.23100 (2023 年 10 月) 以降Microsoft Defenderインストールします。

既定では、Windows サーバーが最初にオンボードされるときに、エンドポイント DLP は有効になりません。 アクティビティ エクスプローラーでサーバーのエンドポイント DLP イベントを表示する前に、オンボードされたサーバーのエンドポイント DLP サポートを有効にする必要があります。

適切に構成すると、同じデータ損失保護ポリシーを Windows PC と Windows サーバーの両方に自動的に適用できます。

インサイダー リスク管理では、幅広いサービスとサードパーティの指標を使用して、リスクの高いユーザー アクティビティをすばやく特定、トリアージ、および対処するのに役立ちます。 Microsoft 365 および Microsoft Graph のログを使用することにより、インサイダー リスク管理では、特定のポリシーを定義してリスク指標を特定し、これらのリスクを軽減するためのアクションを実行できます。 詳細については、「インサイダー リスク管理の詳細」を参照してください。

デバイスのオンボードは、Microsoft 365 と Microsoft Defender for Endpoint (MDE) で共有されます。 既に MDE にデバイスをオンボードしている場合は、管理対象デバイスの一覧に表示され、これらの特定のデバイスをオンボードするためにそれ以上の手順は必要ありません。 コンプライアンス ポータルでデバイスをオンボードすると、MDE にもオンボードされます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

はじめに

SKU /サブスクリプションライセンス

ここでライセンス要件を確認してください。

許可

デバイス管理を有効にするには、使用するアカウントが次のいずれかの役割のメンバーでなければなりません。

  • グローバル管理者
  • セキュリティ管理者
  • コンプライアンス管理者

カスタムアカウントを使用してデバイス管理設定を表示する場合は、次のいずれかの役割でなければなりません。

  • グローバル管理者
  • コンプライアンス管理者
  • コンプライアンスデータ管理者
  • グローバルリーダー

カスタムアカウントを使用してオンボーディング/オフボーディングページにアクセスする場合は、次のいずれかの役割でなければなりません。

  • グローバル管理者
  • コンプライアンス管理者

カスタムアカウントを使用してデバイスの監視をオン/オフにする場合は、次のいずれかの役割でなければなりません。

  • グローバル管理者
  • コンプライアンス管理者

Windows デバイスを準備する

オンボードする必要のある Windows デバイスがこれらの要件を満たしていることを確認してください。

  1. 次のいずれかのビルドの Windows または Windows Server を実行している必要があります。

    1. Windows (X64):
      1. Windows 10 21H2 (更新プログラムの詳細を参照)
      2. Windows 10 22H2 更新プログラム (更新プログラムの詳細を参照)
    2. Windows (ARM64):
      1. Windows 11 21H2 (更新プログラムの詳細を参照)
      2. Windows 11 22H2 (更新プログラムの詳細を参照)
    3. Windows Server 2019 OS: 1809 以降または Windows Server 2022 OS: 21H2 以降。

  2. マルウェア対策クライアントのバージョンは 4.18.2110 以降です。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択して、[バージョン情報] を選択します。 バージョン番号は、マルウェア対策クライアントのバージョンの下に表示されます。 Windows Update KB4052623 をインストールして、最新のマルウェア対策クライアントのバージョンに更新します。 詳細については、「Windows でのウイルス対策のMicrosoft Defender」を参照してください。

    重要

    どのWindows セキュリティコンポーネントもアクティブである必要はありませんが、リアルタイム保護と動作モニターを有効にする必要があります。

    • Microsoft Defender Core Service – MdCoreSvc - MpDefenderCoreService.exe がデバイスで実行されている必要があります
    • Microsoft データ損失防止サービス - MDDlpSvc - MpDlpService.exe がデバイスで実行されている必要があります。

  3. すべてのデバイスは、次のいずれかを満たしている必要があります。

  4. サポートされているバージョンのMicrosoft 365 Appsがインストールされ、最新の状態になります。 最も堅牢な保護とユーザー エクスペリエンスを実現するには、バージョン 16.0.14701.0 以降Microsoft 365 Appsインストールされていることを確認します。

    注:

  5. デバイス プロキシを使用してインターネットに接続するエンドポイントがある場合は、「情報保護のためのデバイス プロキシとインターネット接続設定の構成」の手順に従います。

Windows 10 または Windows 11 デバイスのオンボード

デバイス上の機密アイテムを監視および保護する前に、デバイスの監視を有効にし、エンドポイントをオンボードしなければなりません。 これらのアクションはどちらも Microsoft Purview コンプライアンスポータルで行われます。

まだオンボードされていないデバイスをオンボードする場合は、適切なスクリプトをダウンロードして、それらのデバイスにデプロイします。 以下のデバイスのオンボード手順に従います。

既にMicrosoft Defender for Endpointにオンボードされているデバイスがある場合は、管理対象デバイスの一覧に既に表示されます。

この展開シナリオでは、まだオンボードされていないWindows 10またはWindows 11デバイスをオンボードします。

  1. Microsoft Purview コンプライアンス ポータル を開きます。 [設定] [デバイス オンボード デバイス]> の順に>選択します

    注:

    以前に Microsoft Defender for Endpoint を展開したことがある場合は、そのプロセス中にオンボードされたすべてのデバイスが [デバイス] リストに一覧表示されます。 それらを再度オンボードする必要はありません。 通常、デバイスのオンボーディングが有効になるまで約60秒かかりますが、Microsoft サポートに連絡するまでに最大 30 分かかります。

  2. [ デバイスのオンボードを有効にする] を選択します

  3. オンボーディングプロセスを開始するには、[オンボーディング]を選択します。

  4. [ 展開方法 ] ボックスの一覧から、これらの他のデバイスに展開する方法を選択し、 パッケージをダウンロードします。

  5. 以下の表から、従うべき適切な手順を選択します。

    記事 説明
    Intune モバイル デバイス管理ツールまたは Microsoft Intune を使用して、構成パッケージをデバイスに展開します。
    Configuration Manager Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1606 または Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1602 以前のいずれかを使用して、構成パッケージをデバイスに展開できます。
    グループ ポリシー グループ ポリシーを使用して構成パッケージをデバイスに展開します。
    ローカル スクリプト ローカル スクリプトを使用してエンドポイントに構成パッケージを展開する方法について説明します。
    仮想デスクトップ インフラストラクチャ (VDI) デバイス 構成パッケージを使用して VDI デバイスを構成する方法について説明します。

デバイスの構成とポリシー同期の状態

[デバイス] ボックスの一覧で、オンボードされているすべてのデバイスの構成状態ポリシー同期状態をチェックできます。 構成とポリシーの状態の詳細については、オンボードデバイスを選択して詳細ペインを開きます。

デバイス が正しく構成されているかどうか、Purview にハートビート信号を送信しているかどうか、および構成が最後に検証されたときの構成状態が表示されます。 Windows デバイスの構成には、ウイルス対策の常時オン保護と動作の監視Microsoft Defender状態の確認が含まれます。

ポリシー同期の状態 は、デバイスが最新のポリシー バージョンを受け取ったかどうか、または対応するポリシーがデバイスに正常に同期された場合に表示されます。

フィールド値 構成の状態 ポリシー同期の状態
更新あり デバイス正常性パラメーターが有効になり、正しく設定されます。 デバイスは、現在のバージョンのポリシーで更新されました。
更新されない このデバイスの構成設定を有効にする必要があります。 Microsoft Defenderウイルス対策の always-on 保護の手順に従います このデバイスは、最新のポリシー更新プログラムを同期していません。 過去 2 時間以内にポリシーの更新が行われた場合は、ポリシーがデバイスに到達するまで待ちます。
使用不可 デバイスのプロパティは、デバイスの一覧では使用できません。 これは、デバイスが OS の最小バージョンを満たしていないか、構成が満たされていないか、デバイスがオンボードされたばかりかどうかが考えられます。 デバイスのプロパティは、デバイスの一覧では使用できません。 これは、デバイスが OS の最小バージョンを満たしていないか、構成が満たされていないか、デバイスがオンボードされたばかりかどうかが考えられます。

同期状態がダッシュボードに反映されるまでに最大で 2 時間かかることがあります。 ポリシーの更新が行われるには、デバイスがオンラインである必要があります。 状態が更新されていない場合は、デバイスが最後に表示された時刻をチェックします。

関連項目