デバイスをMicrosoft Defender for Businessにオンボードする

この記事では、デバイスを Defender for Business にオンボードする方法について説明します。

ビジネス デバイスをすぐに保護するためにオンボードします。 会社のデバイスをオンボードするには、いくつかのオプションから選択できます。 この記事では、オプションについて説明し、オンボードのしくみについて説明します。

操作

1. タブを選択します。
   • Windows 10と 11
   • Mac
   • モバイル (iOS および Android デバイスで新しい機能を利用できます)。
   • サーバー (Windows Server または Linux Server)
2. オンボード オプションを表示し、選択したタブのガイダンスに従います。
3. オンボードされたデバイスの一覧を表示します。
4. デバイスでフィッシング テストを実行します。
5. 次の手順に進みます。

Windows 10と 11

Windows 10と 11

注:

Windows デバイスは、次のいずれかのオペレーティング システムを実行している必要があります。

• Windows 10または 11 ビジネス
• Windows 10または 11 プロフェッショナル
• Windows 10または 11 Enterprise

詳細については、「Microsoft Defender for Business要件」を参照してください。

Windows クライアント デバイスを Defender for Business にオンボードするには、次のいずれかのオプションを選択します。

• ローカル スクリプト (Microsoft Defender ポータルでデバイスを手動でオンボードする場合)
• グループ ポリシー (organizationで既にグループ ポリシーを使用している場合)
• Microsoft Intune (既に Intune を使用している場合)

Windows 10 と 11 のローカル スクリプト

ローカル スクリプトを使用して、Windows クライアント デバイスをオンボードできます。 デバイスでオンボード スクリプトを実行すると、Microsoft Entra IDを使用して信頼が作成されます (その信頼がまだ存在しない場合)、デバイスをMicrosoft Intuneに登録し (まだ登録されていない場合)、デバイスを Defender for Business にオンボードします。 現在Intuneを使用していない場合は、ローカル スクリプト メソッドが Defender for Business のお客様に推奨されるオンボード方法です。

ヒント

ローカル スクリプト メソッドを使用する場合は、一度に最大 10 台のデバイスをオンボードすることをお勧めします。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. [Windows 10 と 11] を選択し、[配置方法] セクションで [ローカル スクリプト] を選択します。

4. [オンボーディング パッケージをダウンロードする] を選択します。 オンボード パッケージはリムーバブル ドライブに保存することをお勧めします。

5. Windows デバイスで、構成パッケージの内容をデスクトップ フォルダーなどの場所に抽出します。 という名前 WindowsDefenderATPLocalOnboardingScript.cmdのファイルが必要です。

6. 管理者としてコマンド プロンプトを開きます。

7. スクリプト ファイルの場所を入力します。 たとえば、ファイルをデスクトップ フォルダーにコピーした場合は、 と入力 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdし、Enter キーを押します (または [OK] を選択します)。

8. スクリプトの実行後、 検出テストを実行します。

Windows 10と 11 のグループ ポリシー

グループ ポリシーを使用して Windows クライアントをオンボードする場合は、「グループ ポリシーを使用して Windows デバイスをオンボードする」のガイダンスに従ってください。 この記事では、Microsoft Defender for Endpointにオンボードする手順について説明します。 Defender for Business にオンボードする手順も同様です。

Windows 10と 11 のIntune

Intune 管理センター (https://intune.microsoft.com) を使用して、Intuneで Windows クライアントやその他のデバイスをオンボードできます。 Intuneにデバイスを登録する方法はいくつかあります。 次のいずれかの方法を使用することをお勧めします。

• 会社所有または会社が管理するデバイスの Windows 自動登録を有効にする
• ユーザーに自分のWindows 10/11 デバイスをIntuneに登録するように依頼する

Windows 10 と 11 の自動登録を有効にする

自動登録を設定すると、ユーザーは自分の職場アカウントをデバイスに追加します。 バックグラウンドでは、デバイスはMicrosoft Entra ID登録および参加し、Intuneに登録されます。

1. Azure portal (https://portal.azure.com/) に移動し、サインインします。

2. [Microsoft Entra ID>Mobility (MDM と MAM)Microsoft Intune]>を選択します。

3. MDM ユーザー スコープと MAM ユーザー スコープを構成します。

   

   • MDM ユーザー スコープでは、すべてのユーザーが自動的に Windows デバイスを登録できるように、[ すべて ] を選択することをお勧めします。

   • [MAM ユーザー スコープ] セクションでは、URL に次の既定値を使用することをお勧めします。

     • MDM 使用条件 URL
     • MDM 探索 URL
     • MDM 準拠 URL

4. [保存] を選択します。

5. デバイスがIntuneに登録されたら、Defender for Business のデバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

ヒント

詳細については、「 Windows の自動登録を有効にする」を参照してください。

ユーザーにWindows 10と 11 台のデバイスの登録を依頼する

1. 登録のしくみについては、次のビデオをご覧ください。
   
   

2. この記事を organization のユーザーと共有する: Intuneに Windows 10/11 デバイスを登録する。

3. デバイスがIntuneに登録されたら、Defender for Business のデバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

Windows 10または 11 台のデバイスで検出テストを実行する

Defender for Business に Windows デバイスをオンボードしたら、デバイスで検出テストを実行して、すべてが正常に動作していることを確認できます。

1. Windows デバイスで、フォルダーを作成します: C:\test-MDATP-test。

2. 管理者としてコマンド プロンプト ウィンドウを開きます。

3. コマンド プロンプト ウィンドウで、次の PowerShell コマンドを実行します:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、約 10 分以内に新しくオンボードされたデバイスのMicrosoft Defender ポータル (https://security.microsoft.com) に新しいアラートが表示されます。

Mac

Mac

注:

ローカル スクリプトを使用して Mac をオンボードすることをお勧めします。 Intuneを使用して Mac の登録を設定できますが、ローカル スクリプトは、Mac を Defender for Business にオンボードするための最も簡単な方法です。

Mac をオンボードするには、次のいずれかの方法があります。

• Mac 用のローカル スクリプト (推奨)
• mac 用のIntune (既に Intune を使用している場合)

Mac 用のローカル スクリプト

Mac でローカル スクリプトを実行すると、Microsoft Entra IDを使用して信頼が作成されます (その信頼がまだ存在しない場合)、Mac をMicrosoft Intuneに登録し (まだ登録されていない場合)、Mac を Defender for Business にオンボードします。 この方法を使用して、一度に最大 10 台のデバイスをオンボードすることをお勧めします。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. [macOS] を選択します。 [ デプロイ方法 ] セクションで、[ ローカル スクリプト] を選択します。

4. [ オンボード パッケージのダウンロード] を選択し、リムーバブル ドライブに保存します。 [ インストール パッケージのダウンロード] を選択し、リムーバブル デバイスに保存します。

5. Mac では、インストール パッケージ wdav.pkg をローカル ディレクトリに保存します。

6. オンボード パッケージを、インストール パッケージ WindowsDefenderATPOnboardingPackage.zip に使用したのと同じディレクトリに保存します。

7. Finder を使用して保存した場所に wdav.pkg 移動し、開きます。

8. [ 続行] を選択し、ライセンス条項に同意し、メッセージが表示されたらパスワードを入力します。

9. Microsoft からのドライバーのインストールを許可するように求められます ( [システム拡張機能がブロックされました] または [ インストールが保留]、またはその両方)。 ドライバーのインストールを許可する必要があります。 [セキュリティ設定を開く] または [システム環境設定>を開く] [セキュリティ & プライバシー] を選択し、[許可] を選択します。

10. オンボード パッケージを実行するには、次の Bash コマンドを使用します。

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Mac がIntuneに登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

Mac 用のIntune

既にIntuneがある場合は、Intune管理センター (https://intune.microsoft.com) を使用して Mac コンピューターを登録できます。 Mac をIntuneに登録する方法はいくつかあります。 次のいずれかの方法をお勧めします。

• 会社所有の Mac のオプションを選択する
• ユーザーに自分の Mac をIntuneに登録するように依頼する

会社所有 Mac のオプション

会社が管理する Mac デバイスをIntuneに登録するには、次のいずれかのオプションを選択します。

オプション	説明
Apple 自動デバイス登録	Apple Business Manager または Apple School Manager を使用して購入したデバイスでの登録を自動化するには、この方法を使用します。 自動デバイス登録では、登録プロファイルが "無線で" 展開されるため、デバイスに物理的にアクセスする必要はありません。 「Mac を Apple Business Manager または Apple School Manager に自動的に登録する」を参照してください。
デバイス登録マネージャー (DEM)	大規模なデプロイにこの方法を使用し、登録のセットアップに役立つ複数のユーザーがorganizationに存在する場合に使用します。 デバイス登録マネージャー (DEM) アクセス許可を持つユーザーは、1 つのMicrosoft Entra アカウントで最大 1,000 台のデバイスを登録できます。 このメソッドは、ポータル サイトまたは Microsoft Intune を使用してデバイスを登録します。 自動デバイス登録を使用してデバイスを登録するには、DEM アカウントを使用できません。 「デバイス登録マネージャー アカウントを使用してIntuneにデバイスを登録する」を参照してください。
直接登録	直接登録では、ユーザー アフィニティのないデバイスが登録されるため、この方法は、1 人のユーザーに関連付けられていないデバイスに最適です。 このメソッドでは、登録する Mac に物理的にアクセスする必要があります。 「 Mac の直接登録を使用する」を参照してください。

ユーザーに自分の Mac をIntuneに登録するように依頼する

ユーザーが自分のデバイスをIntuneに登録することを希望する場合は、次の手順に従ってユーザーに指示します。

1. ポータル サイト Web サイト (https://portal.manage.microsoft.com/) に移動し、サインインします。

2. ポータル サイト Web サイトの指示に従って、デバイスを追加します。

3. ポータル サイト アプリを にhttps://aka.ms/EnrollMyMacインストールし、アプリの指示に従います。

Mac がオンボードされていることを確認する

1. デバイスが会社に関連付けられていることを確認するには、Bash で次の Python コマンドを使用します。

   mdatp health --field org_id.

2. macOS 10.15 (Catalina) 以降を使用している場合は、デバイスを保護するために Defender for Business の同意を付与します。 [システム環境設定>] [セキュリティ] & [プライバシー]>[フル>ディスク アクセス] の順に移動します。 ダイアログの下部にあるロック アイコンを選択して変更を行い、Microsoft Defender for Business (表示されている場合は Defender for Endpoint) を選択します。

3. デバイスがオンボードされていることを確認するには、Bash で次のコマンドを使用します。

   mdatp health --field real_time_protection_enabled

デバイスがIntuneに登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

モバイル デバイス

モバイル デバイス

次の方法を使用して、Android や iOS デバイスなどのモバイル デバイスをオンボードできます。

• Microsoft Defender アプリを使用する
• Microsoft Intuneを使用する

Microsoft Defender アプリを使用する

モバイル脅威防御機能 が Defender for Business のお客様に一般提供されるようになりました。 これらの機能を使用すると、Microsoft Defender アプリを使用してモバイル デバイス (Android や iOS など) をオンボードできるようになりました。 この方法では、ユーザーは Google Play または Apple App Storeからアプリをダウンロードし、サインインし、オンボード手順を完了します。

重要

モバイル デバイスをオンボードする前に、次のすべての要件が満たされていることを確認します。

1. Defender for Business のプロビジョニングが完了しました。 Microsoft Defender ポータルで、[資産デバイス]> に移動します。
   - "ハングオン! データの新しいスペースを準備して接続しています。その後、Defender for Business はプロビジョニングを完了していません。 このプロセスは現在行われ、完了までに最大 24 時間かかることがあります。
   - デバイスの一覧が表示された場合、またはデバイスのオンボードを求められた場合は、Defender for Business プロビジョニングが完了したことを意味します。
2. ユーザーはデバイスに Microsoft Authenticator アプリをダウンロードし、Microsoft 365 の職場または学校アカウントを使用してデバイスを登録しました。

デバイス	プロシージャ
Android	1. デバイスで、Google Play ストアに移動します。 2. まだインストールしていない場合は、Microsoft Authenticator アプリをダウンロードしてインストールします。 サインインし、Microsoft Authenticator アプリにデバイスを登録します。 3. Google Play ストアで、Microsoft Defender アプリを検索してインストールします。 4. Microsoft Defender アプリを開き、サインインし、オンボード プロセスを完了します。
iOS	1. デバイスで、Apple App Storeに移動します。 2. まだインストールしていない場合は、Microsoft Authenticator アプリをダウンロードしてインストールします。 サインインし、Microsoft Authenticator アプリにデバイスを登録します。 3. Apple App Storeで、Microsoft Defender アプリを検索します。 4. サインインしてアプリをインストールします。 5. 引き続き使用条件に同意します。 6. Microsoft Defender アプリで VPN 接続を設定し、VPN 構成を追加できるようにします。 7. 通知 (アラートなど) を許可するかどうかを選択します。

ヒント

Microsoft Defender アプリを使用してモバイル デバイスをオンボードしたら、デバイスでフィッシング テストを実行します。

Microsoft Intuneを使用する

サブスクリプションにMicrosoft Intuneが含まれている場合は、Android や iOS/iPadOS デバイスなどのモバイル デバイスのオンボードに使用できます。 これらのデバイスを Intune に登録する方法については、次のリソースを参照してください。

• Android デバイスを登録する
• iOS または iPadOS デバイスを登録する

デバイスがIntuneに登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

サーバー

サーバー

注:

Windows Server または Linux Server のインスタンスをオンボードする予定の場合は、Microsoft Defender for Business serversなどの追加ライセンスが必要です。 または、サーバー プラン 1 またはプラン 2 のMicrosoft Defenderを使用することもできます。 詳細については、「 Microsoft エンドポイント セキュリティ サブスクリプションが混在している場合はどうなるか」を参照してください。

サーバーのオペレーティング システムを選択します。

• Windows Server
• Linux Server

Windows Server

重要

Windows Server エンドポイントをオンボードする前に、次の要件を満たしていることを確認してください。

• Microsoft Defender for Business servers ライセンスをお持ちの場合。 (「Microsoft Defender for Business serversを取得する方法」を参照してください)。
• Windows Server の強制範囲がオンになっています。 [設定]>[エンドポイント]>[構成管理]>[強制範囲] の順に移動します。 [MDEを使用して MEM からセキュリティ構成設定を適用する] を選択し、[Windows Server] を選択し、[保存] を選択します。

ローカル スクリプトを使用して、Windows Server のインスタンスを Defender for Business にオンボードできます。

Windows Server のローカル スクリプト

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. Windows Server 1803、2019、2022 などのオペレーティング システムを選択し、[展開方法] セクションで [ローカル スクリプト] を選択します。

   R2 と 2016 Windows Server 2012選択した場合、ダウンロードして実行する 2 つのパッケージ (インストール パッケージとオンボード パッケージ) があります。 インストール パッケージには、Defender for Business エージェントをインストールする MSI ファイルが含まれています。 オンボード パッケージには、Windows Server エンドポイントを Defender for Business にオンボードするためのスクリプトが含まれています。

4. [オンボーディング パッケージをダウンロードする] を選択します。 オンボード パッケージはリムーバブル ドライブに保存することをお勧めします。

   R2 と 2016 Windows Server 2012選択した場合は、[インストール パッケージのダウンロード] も選択し、パッケージをリムーバブル ドライブに保存します

5. Windows Server エンドポイントで、インストール/オンボード パッケージの内容を Desktop フォルダーなどの場所に抽出します。 という名前 WindowsDefenderATPLocalOnboardingScript.cmdのファイルが必要です。

   R2 またはWindows Server 2016 Windows Server 2012オンボードする場合は、最初にインストール パッケージを抽出します。

6. 管理者としてコマンド プロンプトを開きます。

7. Windows Server 2012R2 または Windows Server 2016をオンボードしている場合は、次のコマンドを実行します。

   Msiexec /i md4ws.msi /quiet

   Windows Server 1803、2019、または 2022 をオンボードする場合は、この手順をスキップして手順 8 に進みます。

8. スクリプト ファイルの場所を入力します。 たとえば、ファイルをデスクトップ フォルダーにコピーした場合は、 と入力 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdし、Enter キーを押します (または [OK] を選択します)。

9. [Windows Server で検出テストを実行する] に移動します。

Windows Server で検出テストを実行する

Windows Server エンドポイントを Defender for Business にオンボードした後、検出テストを実行して、すべてが正しく動作していることを確認できます。

1. Windows Server デバイスで、 フォルダーを作成します。 C:\test-MDATP-test

2. 管理者としてコマンド プロンプト ウィンドウを開きます。

3. コマンド プロンプト ウィンドウで、次の PowerShell コマンドを実行します:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、約 10 分以内に新しくオンボードされたデバイスのMicrosoft Defender ポータル (https://security.microsoft.com) に新しいアラートが表示されます。

Linux Server

重要

Linux Server エンドポイントをオンボードする前に、次の要件を満たしていることを確認してください。

• Microsoft Defender for Business servers ライセンスをお持ちの場合。 (「Microsoft Defender for Business serversを取得する方法」を参照してください)。
• Linux 上のMicrosoft Defender for Endpointの前提条件を満たしています。

Linux Server エンドポイントのオンボード

次の方法を使用して、Linux Server のインスタンスを Defender for Business にオンボードできます。

• ローカル スクリプト:「Linux にMicrosoft Defender for Endpointを手動でデプロイする」を参照してください。
• アンシブル：「Ansible を使用して Linux にMicrosoft Defender for Endpointをデプロイする」を参照してください。
• シェフ：「Chef を使用して Linux に Defender for Endpoint をデプロイする」を参照してください。
• 人形：「Puppet を使用して Linux にMicrosoft Defender for Endpointをデプロイする」を参照してください。

注:

Linux Server のインスタンスを Defender for Business にオンボードすることは、Linux 上のMicrosoft Defender for Endpointへのオンボードと同じです。

オンボードされたデバイスの一覧を表示する

重要

次の手順を実行するには、グローバル管理者、セキュリティ管理者、セキュリティ閲覧者などの適切なロールが割り当てられている必要があります。 詳細については、「 Defender for Business でのロール」を参照してください。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで、[アセット> デバイス] に移動します。 [ デバイス インベントリ ] ビューが開きます。

デバイスでフィッシング テストを実行する

デバイスをオンボードしたら、クイック フィッシング テストを実行して、デバイスが接続されていること、およびアラートが期待どおりに生成されていることを確認できます。

1. デバイスで、 に移動します https://smartscreentestratings2.net。 Defender for Business は、ユーザーのデバイスでその URL をブロックする必要があります。

2. organizationのセキュリティ チームのメンバーとして、Microsoft Defender ポータル (https://security.microsoft.com) に移動してサインインします。

3. ナビゲーション ウィンドウで、[インシデント] に移動 します。 デバイスがフィッシング サイトにアクセスしようとしたことを示す情報アラートが表示されます。

次の手順

• オンボードする他のデバイスがある場合は、それらのデバイス (Windows 10と 11、Mac、サーバー、またはモバイル デバイス) のタブを選択し、そのタブのガイダンスに従います。
• デバイスのオンボードが完了したら、「 手順 6: Defender for Business でセキュリティ設定とポリシーを構成する」に進みます。