Configuration Managerを使用してWindowsデバイスをオンボードする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft 365 Defender
• 現在のブランチMicrosoft Endpoint Configuration Manager
• System Center 2012 R2 Configuration Manager

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Configuration Managerを使用して、エンドポイントをMicrosoft Defender for Endpoint サービスにオンボードできます。

Configuration Managerを使用してデバイスをオンボードするために使用できるオプションがいくつかあります。

• System Center Configuration Managerを使用してデバイスをオンボードする
• テナントのアタッチ

Windows Server 2012 R2 とWindows Server 2016の場合は、オンボード手順を完了したら、System Center Endpoint Protection クライアントを構成して更新する必要があります。

注意

Defender for Endpoint では、 Out-Of-Box Experience (OOBE) フェーズ中のオンボードはサポートされません。 インストールまたはアップグレードWindows実行した後、ユーザーが OOBE を完了していることを確認します。

デバイスがオンボードされているかどうかを継続的に確認するために、Configuration Manager アプリケーションに検出ルールを作成できます。 アプリケーションは、パッケージやプログラムとは異なる種類のオブジェクトです。 デバイスがまだオンボードされていない場合 (保留中の OOBE の完了またはその他の理由により)、Configuration Managerは、ルールが状態変更を検出するまでデバイスのオンボードを再試行します。

この動作は、(種類 REG_DWORDの) "OnboardingState" レジストリ値が 1 かどうかを確認する検出規則を作成することによって実現できます。 このレジストリ値は、"HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" の下にあります。 詳細については、「System Center 2012 R2 Configuration Managerでの検出方法の構成」を参照してください。

サンプル コレクションの設定を構成する

デバイスごとに、詳細な分析のためにファイルを送信する要求がMicrosoft 365 Defenderによって行われたときに、デバイスからサンプルを収集できるかどうかを示す構成値を設定できます。

注意

これらの構成設定は通常、Configuration Managerを使用して行われます。

Configuration Managerで構成項目のコンプライアンス規則を設定して、デバイスのサンプル共有設定を変更できます。

このルールは、対象となるデバイスのレジストリ キーの値を設定して、苦情が発生していることを確認する 修復 コンプライアンス規則構成項目である必要があります。

構成は、次のレジストリ キー エントリを使用して設定されます。

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

ここで、キーの種類は D-WORD です。 使用可能な値は次のとおりです。

• 0: このデバイスからのサンプル共有を許可しない
• 1: このデバイスからのすべてのファイルの種類の共有を許可する

レジストリ キーが存在しない場合の既定値は 1 です。

System Center Configuration Managerコンプライアンスの詳細については、「System Center 2012 R2 Configuration Managerのコンプライアンス設定の概要」を参照してください。

その他の推奨構成設定

デバイスをサービスにオンボードした後は、次の推奨構成設定で有効にすることで、付属の脅威保護機能を利用することが重要です。

デバイス コレクションの構成

エンドポイント Configuration Managerバージョン 2002 以降を使用している場合は、サーバーまたは下位レベルのクライアントを含めるために展開を広げることを選択できます。

次世代の保護構成

次の構成設定をお勧めします。

スキャン

• USB ドライブなどのリムーバブル ストレージ デバイスをスキャンする: はい

リアルタイム保護

• 動作監視を有効にする: はい
• ダウンロード時およびインストール前に望ましくない可能性があるアプリケーションに対する保護を有効にする: はい

Cloud Protection Service

• Cloud Protection Service メンバーシップの種類: 高度なメンバーシップ

攻撃面の縮小

監査に使用できるすべてのルールを構成します。

注意

これらのアクティビティをブロックすると、正当なビジネス プロセスが中断される可能性があります。 最善の方法は、すべてを監査に設定し、有効にしても安全なものを特定し、誤検知検出がないエンドポイントでこれらの設定を有効にすることです。

ネットワーク保護

監査モードまたはブロック モードでネットワーク保護を有効にする前に、 サポート ページから取得できるマルウェア対策プラットフォームの更新プログラムがインストールされていることを確認してください。

コントロールされたフォルダー アクセス

監査モードで少なくとも 30 日間機能を有効にします。 この期間を過ぎると、検出を確認し、保護されたディレクトリへの書き込みを許可されているアプリケーションの一覧を作成します。

詳細については、「 制御されたフォルダー アクセスの評価」を参照してください。

検出テストを実行してオンボードを検証する

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

構成マネージャーを使用してデバイスをオフボードする

セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日の 30 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。

注意

オンボード ポリシーとオフボード ポリシーを同じデバイスに同時にデプロイすることはできません。そうしないと、予期しない競合が発生します。

現在のブランチを使用Microsoft エンドポイント マネージャーオフボード デバイス

現在のブランチMicrosoft エンドポイント マネージャー使用する場合は、「オフボード構成ファイルを作成する」を参照してください。

System Center 2012 R2 Configuration Managerを使用するオフボード デバイス

1. ポータルからオフボード パッケージMicrosoft 365 Defender取得します。

   1. ナビゲーション ウィンドウで、[エンドポイント > デバイス管理>オフボード****設定>] を選択します。
   2. オペレーティング システムとしてWindows 10またはWindows 11を選択します。
   3. [展開方法] フィールドで、System Center Configuration Manager 2012/2012 R2/1511/1602 を選択します。
   4. [ パッケージのダウンロード] を選択し、.zip ファイルを保存します。

2. パッケージを展開するネットワーク管理者がアクセスできる読み取り専用の共有場所に、.zip ファイルの内容を抽出します。 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが必要です。

3. System Center 2012 R2 Configuration Managerの記事の「パッケージとプログラム」の手順に従って、パッケージを展開します。

   パッケージをデプロイする定義済みのデバイス コレクションを選択します。

重要

オフボーディングにより、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータ (発生したアラートへの参照を含む) は、最大 6 か月間保持されます。

デバイス構成を監視する

現在のブランチMicrosoft エンドポイント マネージャー使用している場合は、Configuration Manager コンソールで組み込みの Defender for Endpoint ダッシュボードを使用します。 詳細については、「 Defender for Endpoint - Monitor」を参照してください。

System Center 2012 R2 Configuration Managerを使用している場合、監視は次の 2 つの部分で構成されます。

1. 構成パッケージが正しくデプロイされ、ネットワーク内のデバイスで実行 (または正常に実行されました) されていることを確認します。

2. デバイスが Defender for Endpoint サービスに準拠していることを確認します (これにより、デバイスはオンボード プロセスを完了でき、サービスにデータをレポートし続けることができます)。

構成パッケージが正しくデプロイされたことを確認する

1. Configuration Manager コンソールで、ナビゲーション ウィンドウの下部にある [監視] をクリックします。

2. [ 概要 ] を選択し、[ デプロイ] を選択します。

3. パッケージ名を含むデプロイを選択します。

4. [完了の統計] と [コンテンツの 状態] で状態 インジケーターを確認します。

   展開に失敗した場合 ( エラー、 要件が満たされていない、または 失敗した状態 のデバイス)、デバイスのトラブルシューティングが必要になる場合があります。 詳細については、「Microsoft Defender for Endpointオンボードの問題のトラブルシューティング」を参照してください。

   

デバイスがMicrosoft Defender for Endpoint サービスに準拠していることを確認する

System Center 2012 R2 Configuration Managerで構成項目のコンプライアンス規則を設定して、デプロイを監視できます。

この規則は、ターゲット デバイス 上の レジストリ キーの値を監視する修復しないコンプライアンス規則構成項目である必要があります。

次のレジストリ キー エントリを監視します。

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

詳細については、「System Center 2012 R2 Configuration Managerのコンプライアンス設定の概要」を参照してください。

関連トピック

• グループ ポリシーを使用してデバイスをオンボードする
• モバイル デバイス管理ツールを使用した Windows デバイスのオンボード
• ローカル スクリプトを使用した Windows デバイスのオンボード
• 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
• 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
• Microsoft Defender for Endpoint の問題のトラブルシューティング