手順 3: Microsoft Defender for Endpoint サービス URL へのクライアント接続を確認する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

クライアントが Defender for Endpoint クライアント アナライザーを使用して Defender for Endpoint サービス URL に接続できることを確認して、エンドポイントがサービスにテレメトリを通信できることを確認します。

Defender for Endpoint Client Analyzer の詳細については、「Microsoft Defender for Endpoint Client Analyzer を使用したセンサー正常性のトラブルシューティング」を参照してください。

注:

オンボード前とオンボード後に、デバイスで Defender for Endpoint Client Analyzer を実行できます。

• Defender for Endpoint にオンボードされているデバイスでテストする場合、ツールはオンボード パラメーターを使用します。
  
• Defender for Endpoint にまだオンボードされていないデバイスでテストする場合、このツールでは、米国、英国、EU の既定値が使用されます。
  合理化された接続によって提供される統合サービス URL (新しいテナントの既定) の場合、Defender for Endpoint にまだオンボードされていないデバイスをテストする場合は、 で-o <path to MDE onboarding package >を実行mdeclientanalyzer.cmdします。 このコマンドでは、オンボード スクリプトの geo パラメーターを使用して接続をテストします。 それ以外の場合、既定のオンボード前テストは標準 URL セットに対して実行されます。 詳細については、次のセクションを参照してください。

プロキシ構成が正常に完了したことを確認します。 その後、WinHTTP は環境内のプロキシ サーバーを介して検出して通信でき、プロキシ サーバーは Defender for Endpoint サービス URL へのトラフィックを許可します。

1. Defender for Endpoint センサーが実行されているMicrosoft Defender for Endpoint クライアント アナライザー ツールをダウンロードします。

2. デバイス上の MDEClientAnalyzer.zip の内容を抽出します。

3. 管理者特権でコマンド プロンプトを開きます。

   1. [スタート] をクリックし、「cmd」と入力します。
   2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。

4. 次のコマンドを入力して、Enter キーを押します。

   HardDrivePath\MDEClientAnalyzer.cmd
   

   HardDrivePath は、MDEClientAnalyzer ツールがダウンロードされたパスに置き換えます。 例:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

5. このツールは、HardDrivePath で使用するフォルダーに MDEClientAnalyzerResult.zip ファイルを作成して抽出します。

6. MDATPClientAnalyzerResult.txt を開き、プロキシ構成の手順を実行して、サーバーの検出とサービス URL へのアクセスを有効にしたことを確認します。

   このツールは、Defender for Endpoint サービス URL の接続を確認します。 Defender for Endpoint クライアントが対話するように構成されていることを確認します。 このツールは、Defender for Endpoint サービスとの通信に使用できる可能性がある各 URL の MDEClientAnalyzerResult.txtファイルに 結果を出力します。 次に例を示します。

   Testing URL : https://xxx.microsoft.com/xxx
   1 - Default proxy: Succeeded (200)
   2 - Proxy auto discovery (WPAD): Succeeded (200)
   3 - Proxy disabled: Succeeded (200)
   4 - Named proxy: Doesn't exist
   5 - Command line proxy: Doesn't exist
   

少なくとも 1 つの接続オプションが (200) 状態を返した場合、Defender for Endpoint クライアントはこの接続方法を使用してテスト済み URL と正しく通信できます。

ただし、接続を確認した結果が失敗を示している場合は、HTTP エラーが表示されます (「HTTP ステータス コード」を参照)。 次に、「プロキシ サーバーで Defender for Endpoint サービス URL へのアクセスを有効にする」に示されている表の URL を使用できます。 使用できる URL は、オンボード手順で選択したリージョンによって異なります。

注:

接続アナライザー ツールのクラウド接続チェックは、攻撃面の縮小ルール "PSExec および WMI コマンドから生成されたプロセスの作成をブロック" とは互換性がありません。 接続ツールを実行するには、この規則を一時的に無効にする必要があります。 または、アナライザーの実行中に ASR 除外を一時的に追加できます。

TelemetryProxyServer がレジストリまたはグループ ポリシー経由で設定されている場合、Defender for Endpoint はフォールバックし、定義されたプロキシへのアクセスに失敗します。

合理化されたオンボード方法への接続のテスト

合理化されたアプローチ (新しいデバイスと移行デバイスの両方に関連) を使用して、Defender for Endpoint にまだオンボードされていないデバイスで接続をテストする場合:

1. 関連する OS の合理化されたオンボード パッケージをダウンロードします。

2. オンボード パッケージから.cmdを抽出します。

3. 前のセクションの手順に従って、クライアント アナライザーをダウンロードします。

4. MDEClientAnalyzer フォルダー内から実行 mdeclientanalyzer.cmd -o <path to onboarding cmd file> します。 このコマンドでは、オンボード スクリプトの geo パラメーターを使用して接続をテストします。

合理化されたオンボード パッケージを使用して Defender for Endpoint にオンボードされているデバイスで接続をテストする場合は、通常どおり Defender for Endpoint Client Analyzer を実行します。 このツールでは、構成されたオンボード パラメーターを使用して接続をテストします。

合理化されたオンボード スクリプトにアクセスする方法の詳細については、「合理化された デバイス接続を使用したデバイスのオンボード」を参照してください。

Microsoft Monitoring Agent (MMA) サービス URL 接続

以前のバージョンの Windows で Microsoft Monitoring Agent (MMA) を使用する場合に、特定の環境でワイルドカード (*) の要件を排除するには、次のガイダンスを参照してください。

1. Microsoft Monitoring Agent (MMA) を使用して以前のオペレーティング システムを Defender for Endpoint にオンボードします (詳細については、「Defender for Endpoint で以前のバージョンの Windows をオンボードする」および「 Windows サーバーのオンボード」を参照してください)。

2. コンピューターがMicrosoft Defender ポータルに正常にレポートされていることを確認します。

3. TestCloudConnection.exe ツール C:\Program Files\Microsoft Monitoring Agent\Agent を実行して接続を検証し、特定のワークスペースに必要な URL を取得します。

4. お使いの地域の要件の完全なリストについては、Microsoft Defender for Endpoint URL のリストを確認してください (サービス URL のスプレッドシートを参照)。

、*.oms.opinsights.azure.com、および *.agentsvc.azure-automation.net URL エンドポイントで*.ods.opinsights.azure.com使用されるワイルドカード (*) は、特定のワークスペース ID に置き換えることができます。 ワークスペース ID は、お客様の環境とワークスペースに固有です。 これは、Microsoft Defender ポータル内のテナントの [オンボード] セクションにあります。

URL エンドポイントは *.blob.core.windows.net 、テスト結果の [ファイアウォール規則: *.blob.core.windows.net] セクションに示されている URL に置き換えることができます。

注:

Microsoft Defender for Cloud 経由でオンボードする場合は、複数のワークスペースを使用できます。 各ワークスペースからオンボードされたマシンで TestCloudConnection.exe プロシージャを実行する必要があります (ワークスペース間で *.blob.core.windows.net URL に変更があるかどうかを判断するため)。

次の手順

Windows クライアントオンボードWindows Server以外のデバイスのオンボード