手順 2: プロキシを使用して Defender for Endpoint サービスに接続するようにデバイスを構成する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

重要

IPv6 専用トラフィック用に構成されているデバイスはサポートされていません。

オペレーティング システムによっては、Microsoft Defender for Endpointに使用するプロキシを自動的に構成できます。通常は自動検出または自動構成ファイルを使用するか、デバイスで実行されている Defender for Endpoint サービスに静的に固有です。

Microsoft Defender ATP センサーでは、センサー データをレポートし、Microsoft Defender for Endpoint サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。 埋め込まれた Defender for Endpoint センサーは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。

ヒント

インターネットへのゲートウェイとして転送プロキシを使用する組織では、ネットワーク保護を使用して転送プロキシの背後を調査できます

WinHTTP 構成設定は、Windows インターネット (WinINet) 閲覧プロキシ設定とは無関係です ( WinINet と WinHTTP を参照)。 プロキシ サーバーを検出できるのは、次の検出方法を使用することだけです。

  • 自動検出メソッド:

    • 透過プロキシ

    • Web プロキシ自動発見プロトコル (WPAD)

      注:

      ネットワーク トポロジで透過プロキシまたは WPAD を使用している場合は、特別な構成は必要ありません。

  • 手動の静的プロキシの構成:

    • レジストリ ベースの構成

    • netsh コマンドを使用して構成された WinHTTP – 安定したトポロジのデスクトップ (同じプロキシの背後にある企業ネットワークのデスクトップなど) だけに適しています。

注:

Defender ウイルス対策 EDR プロキシは個別に設定できます。 以下のセクションでは、これらの違いに注意してください。

レジストリ ベースの静的プロキシ設定を使用してプロキシ サーバーを手動で構成する

Defender for Endpoint の検出と応答 (EDR) センサー用のレジストリ ベースの静的プロキシを構成して、診断データを報告し、コンピューターがインターネットに直接接続できない場合は Defender for Endpoint サービスと通信します。

注:

常に最新の更新プログラムを適用して、Defender for Endpoint サービスへの正常な接続を確保してください。

静的プロキシ設定はグループ ポリシー (GP) を使用して構成できます。グループ ポリシー値の下の両方の設定を構成する必要があります。 グループ ポリシーは、[管理用テンプレート] で使用できます。

  • 管理用テンプレート>Windows コンポーネント > のデータ収集とプレビュー ビルド 接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用を構成します>

    [有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します。

    [グループ ポリシー設定 1 の状態] ウィンドウ

  • 管理用テンプレート > Windows コンポーネント > データ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリを構成します。

    プロキシ情報を入力します。

    [グループ ポリシー設定 2 の状態] ウィンドウ

グループ ポリシー レジストリ キー レジストリ エントリ
接続されたユーザー エクスペリエンスとテレメトリ サービス用に認証されたプロキシ使用状況を構成する HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
接続されたユーザー エクスペリエンスと利用統計情報を構成する HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例: 10.0.0.6:8080 (REG_SZ)

注:

完全にオフラインのデバイスで 'TelemetryProxyServer' 設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、 の1値を持つ追加のレジストリ設定PreferStaticProxyForHttpRequestを追加する必要があります。

"PreferStaticProxyForHttpRequest" の親レジストリ パスの場所は "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" です

次のコマンドを使用して、レジストリ値を正しい場所に挿入できます。

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

上記のレジストリ値は、MsSense.exe バージョン 10.8210.* 以降、またはバージョン 10.8049.* 以降でのみ適用されます。

Microsoft Defender ウイルス対策の静的プロキシを構成する

Microsoft Defender ウイルス対策のクラウドで提供される保護では、新しい脅威や新たな脅威に対してほぼ瞬時に自動化された保護が提供されます。 Defender ウイルス対策がアクティブなマルウェア対策ソリューションである場合の カスタム インジケーター と、Microsoft 以外のソリューションがブロックを実行しなかった場合のフォールバック オプションを提供する ブロック モードの EDR には、接続が必要です。

[管理用テンプレート] で使用できるグループ ポリシーを使用して静的プロキシを構成します:

  1. 管理用テンプレート>Windows コンポーネント > Microsoft Defenderウイルス対策 > ネットワークに接続するためのプロキシ サーバーを定義します。

  2. これを [有効] に 設定し、プロキシ サーバーを定義します。 URL には http:// または https:// が必要です。 https:// でサポートされているバージョンについては、「Microsoft Defender ウイルス対策更新プログラムの管理」を参照してください。

    Microsoft Defender ウイルス対策のプロキシ サーバー

  3. レジストリ キー HKLM\Software\Policies\Microsoft\Windows Defender の下で、ポリシーはレジストリ値 ProxyServer を REG_SZとして設定します。

    レジストリ値 ProxyServer は、次の文字列形式を取ります:

    <server name or ip>:<port>

    例: http://10.0.0.6:8080

注:

完全にオフラインのデバイスで静的プロキシ設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、dword 値が 0 の追加レジストリ設定 SSLOptions を追加する必要があります。 "SSLOptions" の親レジストリ パスの場所は "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" です
Microsoft Defender ウイルス対策は、回復力の目的とクラウドで提供される保護のリアルタイム性のために、最後に動作したことが確認されたプロキシをキャッシュします。 プロキシ ソリューションで SSL インスペクションが実行されていないことを確認します。 これにより、セキュリティで保護されたクラウド接続が壊れる可能性があります。

Microsoft Defender ウイルス対策は、更新プログラムをダウンロードするために、静的プロキシを使用して Windows Update または Microsoft Update に接続することはありません。 代わりに、構成済みのフォールバック順序に従って Windows Update または構成済みの内部更新プログラム ソースを使用するように構成されている場合は、システム全体のプロキシを使用します。

必要に応じて、ネットワークに接続するための管理用テンプレート > Windows コンポーネント > Microsoft Defenderウイルス対策>プロキシの自動構成 (.pac) の定義を使用できます。 複数のプロキシを使用して高度な構成を設定する必要がある場合は、[管理用テンプレート>] [Windows コンポーネント] > Microsoft Defender [ウイルス対策] を>使用して、プロキシ サーバーをバイパスし、Microsoft Defenderウイルス対策がそれらの宛先にプロキシ サーバーを使用できないようにアドレスを定義します。

PowerShell を Set-MpPreference コマンドレットと一緒に使用して、次のオプションを構成できます:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

注:

プロキシを正しく使用するには、次の 3 つの異なるプロキシ設定を構成します:

  • Microsoft Defender for Endpoint (MDE)
  • AV (ウイルス対策)
  • エンドポイントでの検出と応答 (EDR)

netsh コマンドを使用してプロキシ サーバーを手動で構成する

netsh を使用して、システム全体の静的プロキシを構成します。

注:

  • これは、既定のプロキシで WinHTTP を使用する Windows サービスを含むすべてのアプリケーションに影響します。

  1. 管理者特権でコマンド プロンプトを開きます。

    1. [スタート] をクリックし、「cmd」と入力します。
    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。

  2. 次のコマンドを入力して、Enter キーを押します。

    netsh winhttp set proxy <proxy>:<port>

    例: netsh winhttp set proxy 10.0.0.6:8080

winhttp プロキシをリセットするには、次のコマンドを入力し、Enter キーを押します。

netsh winhttp reset proxy

詳細については、「Netsh コマンドの構文、コンテキスト、およびフォーマット」を参照してください。

以前の MMA ベースのソリューションを実行している Windows デバイス

Windows 7、Windows 8.1、Windows Server 2008 R2、および Unified Agent にアップグレードされていないサーバーで実行されているデバイスは、Microsoft 監視エージェント (Log Analytics エージェントとも呼ばれます) を利用して Defender for Endpoint サービスに接続します。

システム全体のプロキシ設定を利用し、プロキシまたは Log Analytics ゲートウェイ経由で接続するようにエージェントを構成できます。

以前のバージョンの Windows をオンボードする

次の手順

手順 3: Microsoft Defender for Endpoint サービス URL へのクライアント接続を確認する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。