Microsoft Defender ウイルス対策更新プログラムのソースを管理するManage the sources for Microsoft Defender Antivirus protection updates

適用対象:Applies to:

ウイルス対策保護を最新の状態に保つことは重要です。Keeping your antivirus protection up to date is critical. 次の 2 つのコンポーネントで保護更新プログラムを管理Microsoft Defender ウイルス対策。There are two components to managing protection updates for Microsoft Defender Antivirus:

  • 更新 プログラムのダウンロード先。そしてWhere the updates are downloaded from; and
  • 更新 プログラムをダウンロードして適用する場合。When updates are downloaded and applied.

この記事では、更新プログラムをダウンロードする場所を指定する方法について説明します (これはフォールバック順序とも呼ばれています)。This article describes how to specify from where updates should be downloaded (this is also known as the fallback order). 更新プログラムのMicrosoft Defender ウイルス対策の概要、および更新プログラムの他の側面 (更新プログラムのスケジュール設定など) を構成する方法については、「更新プログラムの管理と基準計画の適用」を参照してください。See Manage Microsoft Defender Antivirus updates and apply baselines topic for an overview on how updates work, and how to configure other aspects of updates (such as scheduling updates).

重要

Microsoft Defender ウイルス対策セキュリティ インテリジェンス更新プログラムは Windows Update を通じて配信され、2019 年 10 月 21 日月曜日から開始され、すべてのセキュリティ インテリジェンス更新プログラムは SHA-2 署名専用となります。Microsoft Defender Antivirus Security intelligence updates are delivered through Windows Update and starting Monday, October 21, 2019, all security intelligence updates will be SHA-2 signed exclusively. セキュリティ インテリジェンスを更新するには、SHA-2 をサポートするためにデバイスを更新する必要があります。Your devices must be updated to support SHA-2 in order to update your security intelligence. 詳細については、「2019 SHA-2 Code Signing Support requirement for Windows WSUS」を参照してくださいTo learn more, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

フォールバック順序Fallback order

通常、プライマリ ソースから更新プログラムを個別にダウンロードし、その後、ネットワーク構成に基づいて優先度の高い順に他のソースをダウンロードするエンドポイントを構成します。Typically, you configure endpoints to individually download updates from a primary source followed by other sources in order of priority, based on your network configuration. 更新プログラムは、指定した順序でソースから取得されます。Updates are obtained from sources in the order you specify. ソースが使用できない場合は、リスト内の次のソースがすぐに使用されます。If a source is not available, the next source in the list is used immediately.

更新プログラムが発行されると、更新プログラムのサイズを最小限に抑えるためのロジックが適用されます。When updates are published, some logic is applied to minimize the size of the update. ほとんどの場合、最新の更新プログラムと、デバイスに現在インストールされている更新プログラム (デルタと呼ばれます) の違いだけがダウンロードされて適用されます。In most cases, only the differences between the latest update and the update that is currently installed (this is referred to as the delta) on the device is downloaded and applied. ただし、デルタのサイズは、次の 2 つの主な要因に依存します。However, the size of the delta depends on two main factors:

  • デバイスの最後の更新プログラムの年齢。そしてThe age of the last update on the device; and
  • 更新プログラムのダウンロードと適用に使用されるソース。The source used to download and apply updates.

エンドポイントの更新プログラムが古いほど、ダウンロードは大きくなります。The older the updates on an endpoint, the larger the download will be. ただし、ダウンロード頻度も考慮する必要があります。However, you must also consider download frequency as well. 更新スケジュールが頻繁に行われると、ネットワーク使用量が増加しますが、スケジュールが低いほどダウンロードあたりのファイル サイズが大きくなる可能性があります。A more frequent update schedule can result in more network usage, whereas a less-frequent schedule can result in larger file sizes per download.

エンドポイントが更新プログラムを取得する場所を指定できる場所は 5 種類です。There are five locations where you can specify where an endpoint should obtain updates:

Microsoft Update では、最高レベルの保護を確保するために、迅速なリリースが可能になります。つまり、頻繁にダウンロードする頻度が少なめになります。To ensure the best level of protection, Microsoft Update allows for rapid releases, which means smaller downloads on a frequent basis. サーバー更新Windowsサービス、Microsoft Endpoint Configuration Manager Microsoft セキュリティ インテリジェンス更新プログラムソースは、更新プログラムの頻度が低い。The Windows Server Update Service, Microsoft Endpoint Configuration Manager, and Microsoft security intelligence updates sources deliver less frequent updates. したがって、デルタを大きくすると、ダウンロードが大きくなる可能性があります。Thus, the delta can be larger, resulting in larger downloads.

重要

Windows Server Update Service または Microsoft Update の後に Microsoft Securityインテリジェンス ページの更新プログラムをフォールバック ソースとして設定した場合、更新プログラムは、現在の更新プログラムが古いと見なされた場合にのみ、セキュリティ インテリジェンス更新プログラムからダウンロードされます。If you have set Microsoft Security intelligence page updates as a fallback source after Windows Server Update Service or Microsoft Update, updates are only downloaded from security intelligence updates when the current update is considered out-of-date. (既定では、サーバー更新サービスまたは Microsoft Update サービスから更新プログラムを適用できないWindows 7 日間連続しています)。(By default, this is seven consecutive days of not being able to apply updates from the Windows Server Update Service or Microsoft Update services). ただし、保護が古いとして報告される日数を 設定できますYou can, however, set the number of days before protection is reported as out-of-date.

2019 年 10 月 21 日月曜日から、セキュリティ インテリジェンス更新プログラムは SHA-2 専用に署名されます。Starting Monday, October 21, 2019, security intelligence updates will be SHA-2 signed exclusively. 最新のセキュリティ インテリジェンス更新プログラムを取得するには、SHA-2 をサポートするためにデバイスを更新する必要があります。Devices must be updated to support SHA-2 in order to get the latest security intelligence updates. 詳細については、「2019 SHA-2 Code Signing Support requirement for Windows WSUS」を参照してくださいTo learn more, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

各ソースには、次の表で説明するように、更新プログラムを発行する頻度に加えて、ネットワークの構成方法に依存する一般的なシナリオがあります。Each source has typical scenarios that depend on how your network is configured, in addition to how often they publish updates, as described in the following table:

LocationLocation シナリオ例Sample scenario
Windowsサーバー更新サービスWindows Server Update Service サーバー更新サービスWindows使用して、ネットワークの更新プログラムを管理しています。You are using Windows Server Update Service to manage updates for your network.
Microsoft UpdateMicrosoft Update エンドポイントを Microsoft Update に直接接続する必要があります。You want your endpoints to connect directly to Microsoft Update. これは、エンタープライズ ネットワークに不定期に接続するエンドポイントや、Windows サーバー更新サービスを使用して更新プログラムを管理しない場合に役立ちます。This can be useful for endpoints that irregularly connect to your enterprise network, or if you do not use Windows Server Update Service to manage your updates.
ファイル共有File share インターネットに接続されていないデバイス (VM など) があります。You have non-Internet-connected devices (such as VMs). インターネットに接続された VM ホストを使用して、更新プログラムをネットワーク共有にダウンロードし、そこから VM が更新プログラムを取得できます。You can use your Internet-connected VM host to download the updates to a network share, from which the VMs can obtain the updates. 仮想デスクトップ インフラストラクチャ (VDI) 環境でファイル共有を使用する方法については、VDI 展開ガイドを参照してください。See the VDI deployment guide for how file shares can be used in virtual desktop infrastructure (VDI) environments.
Microsoft エンドポイント マネージャーMicrosoft Endpoint Manager エンドポイントを更新Microsoft エンドポイント マネージャーを使用しています。You are using Microsoft Endpoint Manager to update your endpoints.
セキュリティ インテリジェンスの更新プログラム (Microsoft Defender ウイルス対策 Microsoft マルウェア対策 (以前は MMPC と呼ばば)Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware (formerly referred to as MMPC) SHA-2 をサポートするためにデバイスが更新されていないことを確認しますMake sure your devices are updated to support SHA-2. Microsoft Defender ウイルス対策セキュリティ インテリジェンス更新プログラムは Windows Update を通じて配信され、2019 年 10 月 21 日月曜日からセキュリティ インテリジェンス更新プログラムは SHA-2 専用に署名されます。Microsoft Defender Antivirus Security intelligence updates are delivered through Windows Update, and starting Monday October 21, 2019 security intelligence updates will be SHA-2 signed exclusively.
最近の感染による最新の保護更新プログラムをダウンロードするか、VDI 展開用の強力な基本イメージを準備 するのに役立ちますDownload the latest protection updates because of a recent infection or to help provision a strong, base image for VDI deployment. このオプションは通常、プライマリ ソースではなく、最終的なフォールバック ソースとしてのみ使用する必要があります。This option should generally be used only as a final fallback source, and not the primary source. サーバー更新サービスまたは Microsoft Update から指定した日数更新プログラムWindowsダウンロードできない場合にのみ使用されますIt will only be used if updates cannot be downloaded from Windows Server Update Service or Microsoft Update for a specified number of days.

グループ ポリシー、グループ ポリシー、PowerShell コマンドレット、および WMI で更新Microsoft Endpoint Configuration Manager使用する順序を管理できます。You can manage the order in which update sources are used with Group Policy, Microsoft Endpoint Configuration Manager, PowerShell cmdlets, and WMI.

重要

サーバー更新サービスWindowsダウンロード場所として設定する場合は、場所の指定に使用する管理ツールに関係なく、更新プログラムを承認する必要があります。If you set Windows Server Update Service as a download location, you must approve the updates, regardless of the management tool you use to specify the location. Windows サーバー更新サービスを使用して自動承認ルールを設定できます。これは、更新プログラムが少なくとも 1 日に 1 回届く場合に役立つ場合があります。You can set up an automatic approval rule with Windows Server Update Service, which might be useful as updates arrive at least once a day. 詳細については、「スタンドアロン サーバー更新サービスでのエンドポイント保護更新プログラムの同期Windows」を参照してくださいTo learn more, see synchronize endpoint protection updates in standalone Windows Server Update Service.

この記事の手順では、最初に注文を設定する方法と、注文を有効にしている場合は [ファイル共有] オプションを設定する方法について説明します。The procedures in this article first describe how to set the order, and then how to set up the File share option if you have enabled it.

グループ ポリシーを使用して更新場所を管理するUse Group Policy to manage the update location

  1. グループ ポリシー管理マシンで、グループ ポリシー 管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] をクリック しますOn your Group Policy management machine, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. グループ ポリシー 管理エディターで、[コンピューター の構成] に移動しますIn the Group Policy Management Editor go to Computer configuration.

  3. [ポリシー ] をクリックし 、[ 管理用テンプレート] をクリックしますClick Policies then Administrative templates.

  4. ツリーを展開して 、Windows更新> Windows Defender >コンポーネントを表示し、次の設定を構成します。Expand the tree to Windows components > Windows Defender > Signature updates and configure the following settings:

    1. [セキュリティ インテリジェンス 更新プログラム をダウンロードするためのソースの順序を定義する] 設定をダブルクリックし、オプションを [有効] に 設定しますDouble-click the Define the order of sources for downloading security intelligence updates setting and set the option to Enabled.

    2. 次のスクリーンショットに示すように、1 つのパイプで区切られたソースの順序 InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC を入力します。たとえば、次のようにします。Enter the order of sources, separated by a single pipe, for example: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, as shown in the following screenshot.

    ソースの順序を示すグループ ポリシー設定のスクリーンショット

    1. [OK] をクリックします。Click OK. これにより、保護更新プログラムのソースの順序が設定されます。This will set the order of protection update sources.

    2. [セキュリティ インテリジェンス更新プログラムをダウンロード するための ファイル共有の定義] 設定をダブルクリックし、オプションを [有効] に 設定しますDouble-click the Define file shares for downloading security intelligence updates setting and set the option to Enabled.

    3. ファイル共有ソースを入力します。Enter the file share source. 複数のソースがある場合は、使用する順序で各ソースを 1 つのパイプで区切って入力します。If you have multiple sources, enter each source in the order they should be used, separated by a single pipe. パス を示す標準の UNC 表記を使用します。たとえば、次のようになります \\host-name1\share-name\object-name|\\host-name2\share-name\object-nameUse standard UNC notation for denoting the path, for example: \\host-name1\share-name\object-name|\\host-name2\share-name\object-name. パスを入力しない場合、VM が更新プログラムをダウンロードすると、このソースはスキップされます。If you do not enter any paths, then this source will be skipped when the VM downloads updates.

    4. [OK] をクリックします。Click OK. これにより、ソースが参照される場合のファイル共有の順序が [ソースの順序の定義 ... グループ ポリシー設定で設定されます。This will set the order of file shares when that source is referenced in the Define the order of sources... group policy setting.

注意

Windows 10 バージョン 1703 から 1809 まで、ポリシー パスは Windows Components > Microsoft Defender ウイルス対策 > Signature Updates for Windows 10 バージョン 1903 の場合、ポリシー パスは Windows コンポーネント > Microsoft Defender ウイルス対策 > セキュリティ インテリジェンス更新プログラムFor Windows 10, versions 1703 up to and including 1809, the policy path is Windows Components > Microsoft Defender Antivirus > Signature Updates For Windows 10, version 1903, the policy path is Windows Components > Microsoft Defender Antivirus > Security Intelligence Updates

Configuration Manager を使用して更新場所を管理するUse Configuration Manager to manage the update location

詳細については、「セキュリティ インテリジェンス更新プログラムの構成」Endpoint Protection (現在のブランチ) の構成Microsoft エンドポイント マネージャーを参照してください。See Configure Security intelligence Updates for Endpoint Protection for details on configuring Microsoft Endpoint Manager (current branch).

PowerShell コマンドレットを使用して更新場所を管理するUse PowerShell cmdlets to manage the update location

更新順序を設定するには、次の PowerShell コマンドレットを使用します。Use the following PowerShell cmdlets to set the update order.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

詳細については、次の記事を参照してください。See the following articles for more information:

更新Windows管理命令 (WMI) を使用して管理するUse Windows Management Instruction (WMI) to manage the update location

次の プロパティ に対して 、MSFT_MpPreference クラスの Set メソッドを使用します。Use the Set method of the MSFT_MpPreference class for the following properties:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

詳細については、次の記事を参照してください。See the following articles for more information:

モバイル デバイス管理 (MDM) を使用して更新場所を管理するUse Mobile Device Management (MDM) to manage the update location

MDM の構成の詳細については、「Policy CSP - Defender/SignatureUpdateFallbackOrder」 を参照してください。See Policy CSP - Defender/SignatureUpdateFallbackOrder for details on configuring MDM.

サードパーティベンダーを使用している場合は、What if we're using a third-party vendor?

この記事では、更新プログラムを構成および管理する方法について説明Microsoft Defender ウイルス対策。This article describes how to configure and manage updates for Microsoft Defender Antivirus. ただし、サード パーティベンダーは、これらのタスクを実行するために使用できます。However, third-party vendors can be used to perform these tasks.

たとえば、Contoso 社が Fabrikam を雇ってセキュリティ ソリューションを管理したとします。これには、セキュリティ ソリューションMicrosoft Defender ウイルス対策。For example, suppose that Contoso has hired Fabrikam to manage their security solution, which includes Microsoft Defender Antivirus. Fabrikam は通常、Windows管理インストルメンテーション、PowerShellコマンドレット、または Windowsコマンド ラインを使用して、パッチと更新プログラムを展開します。Fabrikam typically uses Windows Management Instrumentation, PowerShell cmdlets, or Windows command-line to deploy patches and updates.

注意

Microsoft は、サード パーティ製のソリューションをテストして管理Microsoft Defender ウイルス対策。Microsoft does not test third-party solutions for managing Microsoft Defender Antivirus.

セキュリティ インテリジェンス更新プログラムの UNC 共有を作成するCreate a UNC share for security intelligence updates

スケジュールされたタスクを使用して MMPC サイトからセキュリティ インテリジェンス更新プログラムをダウンロードするネットワーク ファイル共有 (UNC/マップドライブ) を設定します。Set up a network file share (UNC/mapped drive) to download security intelligence updates from the MMPC site by using a scheduled task.

  1. 共有をプロビジョニングして更新プログラムをダウンロードするシステムで、スクリプトを保存するフォルダーを作成します。On the system on which you want to provision the share and download the updates, create a folder to which you will save the script.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. 署名の更新を保存するフォルダーを作成します。Create the folder to which you will save the signature updates.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. PowerShell スクリプトをダウンロードするには、次の www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4。Download the PowerShell script from www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

  4. [手動 ダウンロード] をクリックしますClick Manual Download.

  5. [生 の nupkg ファイルをダウンロードする] をクリックしますClick Download the raw nupkg file.

  6. ファイルを抽出します。Extract the file.

  7. ファイルをコピーSignatureDownloadCustomTask.ps1作成したフォルダー C:\Tool\PS-Scripts\ にコピーします。Copy the file SignatureDownloadCustomTask.ps1 to the folder you previously created, C:\Tool\PS-Scripts\ .

  8. コマンド ラインを使用して、スケジュールされたタスクを設定します。Use the command line to set up the scheduled task.

    注意

    更新プログラムには、完全とデルタの 2 種類があります。There are two types of updates: full and delta.

    • x64 デルタの場合:For x64 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      “.\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1”
      
    • x64 フルの場合:For x64 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      “.\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1”
      
    • x86 デルタの場合:For x86 delta:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      “.\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1”
      
    • x86 フルの場合:For x86 full:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      “.\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1”
      

    注意

    スケジュールされたタスクが作成されると、[タスク スケジューラ] の [Microsoft\Windows\Windows DefenderWhen the scheduled tasks are created, you can find these in the Task Scheduler under Microsoft\Windows\Windows Defender

  9. 各タスクを手動で実行し、次のフォルダーにデータ (mpam-d.exe、mpam-fe.exe、および nis_full.exe) が含まれています (別の場所を選択している可能性があります)。Run each task manually and verify that you have data (mpam-d.exe, mpam-fe.exe, and nis_full.exe) in the following folders (you might have chosen different locations):

    • C:\Temp\TempSigs\x86C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64C:\Temp\TempSigs\x64

    スケジュールされたタスクが失敗した場合は、次のコマンドを実行します。If the scheduled task fails, run the following commands:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command “&\”C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\” -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64″
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command “&\”C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\” -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64″
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command “&\”C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\” -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86″
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command “&\”C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\” -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86″
    

    注意

    問題は、実行ポリシーが原因である可能性があります。Issues could also be due to execution policy.

  10. C:\Temp\TempSigs をポイントする共有を作成します (例: \ server\updates)。Create a share pointing to C:\Temp\TempSigs (e.g. \server\updates).

    注意

    少なくとも、認証されたユーザーには "読み取り" アクセス権が必要です。At a minimum, authenticated users must have “Read” access.

  11. ポリシー内の共有場所を共有に設定します。Set the share location in the policy to the share.

    注意

    パスに x64 (または x86) フォルダーを追加しない。Do not add the x64 (or x86) folder in the path. このプロセスmpcmdrun.exe自動的に追加されます。The mpcmdrun.exe process adds it automatically.