グループポリシーを使用した Windows 10 デバイスのオンボードOnboard Windows 10 devices using Group Policy

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象:Applies to:

エンドポイントの Defender を使用する場合Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

注意

グループ ポリシー (GP) の更新を使ってパッケージをデプロイするには、Windows Server 2008 R2 以降が必要です。To use Group Policy (GP) updates to deploy the package, you must be on Windows Server 2008 R2 or later.

Windows Server 2019 の場合は、グループポリシー設定で作成した XML ファイルの nt AUTHORITY\SYSTEM に NT AUTHORITY\Well-Known-System-Account を置き換える必要がある場合があります。For Windows Server 2019, you may need to replace NT AUTHORITY\Well-Known-System-Account with NT AUTHORITY\SYSTEM of the XML file that the Group Policy preference creates.

グループ ポリシーを使ったデバイスのオンボーディングOnboard devices using Group Policy

![Iさまざまな展開パスが表示された PDF のメイジmage of the PDF showing the various deployment paths](images/onboard-gp.png)

PDF または Visio 」をチェックして、エンドポイントのための Defender の展開でさまざまなパスを確認します。Check out the PDF or Visio to see the various paths in deploying Defender for Endpoint.

  1. サービスのオンボード ウィザードからダウンロードした、GP 構成パッケージの .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。Open the GP configuration package .zip file (WindowsDefenderATPOnboardingPackage.zip) that you downloaded from the service onboarding wizard. また、 Microsoft Defender セキュリティセンターからパッケージを入手することもできます。You can also get the package from Microsoft Defender Security Center:

    a. a. ナビゲーションウィンドウで、[設定] オンボードを選択し > Onboardingます。In the navigation pane, select Settings > Onboarding.

    b. b. オペレーティングシステムとして Windows 10 を選択します。Select Windows 10 as the operating system.

    c. c. [ 展開方法 ] フィールドで、[ グループポリシー] を選びます。In the Deployment method field, select Group policy.

    d. d. [ パッケージのダウンロード ] をクリックして、.zip ファイルを保存します。Click Download package and save the .zip file.

  2. .Zip ファイルのコンテンツを、デバイスからアクセスできる共有の読み取り専用の場所に抽出します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the device. OptionalParamsPolicy という名前のフォルダーと WindowsDefenderATPOnboardingScript.cmd というファイルが抽出されます。You should have a folder called OptionalParamsPolicy and the file WindowsDefenderATPOnboardingScript.cmd.

  3. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を選択して、[編集] をクリックします。Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  4. グループ ポリシー管理エディターで、[コンピューターの構成][基本設定][コントロール パネルの設定] の順に移動します。In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  5. [スケジュールされた タスク] を右クリックし、[ 新規] をポイントして、[ 即時タスク] (Windows 7 以上) をクリックします。Right-click Scheduled tasks, point to New, and then click Immediate Task (At least Windows 7).

  6. 開いている タスク ウィンドウで、 [全般 ] タブに移動します。[ セキュリティオプション ] の [ ユーザーまたはグループの変更 ] をクリックし、「システム」と入力し、[ 名前の確認 ] をクリックしますIn the Task window that opens, go to the General tab. Under Security options click Change User or Group and type SYSTEM and then click Check Names then OK. [NT AUTHORITY\SYSTEM] は、タスクが実行されるユーザーアカウントとして表示されます。NT AUTHORITY\SYSTEM appears as the user account the task will run as.

  7. [ユーザーがログオンしているかどうかにかかわらず実行する] を選択し、[最上位の特権で実行する] チェック ボックスをオンにします。Select Run whether user is logged on or not and check the Run with highest privileges check box.

  8. [操作] タブに移動し、[新規] をクリックします。[操作] フィールドで [プログラムの開始] が選択されていることを確認します。Go to the Actions tab and click New... Ensure that Start a program is selected in the Action field. ファイル名と、共有する WindowsDefenderATPOnboardingScript.cmd ファイルの場所を入力します。Enter the file name and location of the shared WindowsDefenderATPOnboardingScript.cmd file.

  9. [OK] をクリックし、開いている GPMC のウィンドウをすべて閉じます。Click OK and close any open GPMC windows.

ヒント

デバイスをオンにした後、検出テストを実行して、デバイスがサービスに適切に onboarded されていることを確認できます。After onboarding the device, you can choose to run a detection test to verify that the device is properly onboarded to the service. 詳細については、「 新しい Onboarded Defender でエンドポイントデバイスの検出テストを実行する」を参照してください。For more information, see Run a detection test on a newly onboarded Defender for Endpoint device.

エンドポイント構成設定の追加の DefenderAdditional Defender for Endpoint configuration settings

デバイスごとに、Microsoft Defender セキュリティセンターを介して要求が行われ、詳細な分析のためにファイルを送信する場合に、デバイスからサンプルを収集できるかどうかを指定できます。For each device, you can state whether samples can be collected from the device when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

グループ ポリシー (GP) を使用して、詳細分析機能で使用するサンプル共有の設定など、設定を構成できます。You can use Group Policy (GP) to configure settings, such as settings for the sample sharing used in the deep analysis feature.

サンプル収集設定の構成Configure sample collection settings

  1. GP 管理デバイスで、次のファイルを構成パッケージからコピーします。On your GP management device, copy the following files from the configuration package:

    a. a. AtpConfiguration.admxC:\Windows\PolicyDefinitions にコピーします。Copy AtpConfiguration.admx into C:\Windows\PolicyDefinitions

    b. b. AtpConfiguration.admlC:\Windows\PolicyDefinitions\en-US にコピーします。Copy AtpConfiguration.adml into C:\Windows\PolicyDefinitions\en-US

    グループポリシー管理用テンプレート用のセントラルストアを使用している場合は、次のファイルを構成パッケージからコピーします。If you are using a Central Store for Group Policy Administrative Templates, copy the following files from the configuration package:

    a. a. _ \\ <forest.root> \SysVol\ <forest.root> \Policies\PolicyDefinitions_に_atpconfiguration をコピーします。_Copy AtpConfiguration.admx into \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    b. b. Adml を_ \\ <forest.root> \SysVol\ <forest.root> \Policies\PolicyDefinitions\en-US_にコピー_します。_Copy AtpConfiguration.adml into \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. グループ ポリシー管理コンソール を開き、構成する GPO を右クリックして、[編集] をクリックします。Open the Group Policy Management Console, right-click the GPO you want to configure and click Edit.

  3. グループ ポリシー管理エディター[コンピューターの構成] に移動します。In the Group Policy Management Editor, go to Computer configuration.

  4. [ポリシー] をクリックし、[管理用テンプレート] をクリックします。Click Policies, then Administrative templates.

  5. [Windows コンポーネント][Windows Defender ATP] の順にクリックします。Click Windows components and then Windows Defender ATP.

  6. デバイスからサンプル共有を有効または無効にします。Choose to enable or disable sample sharing from your devices.

注意

値を設定しない場合、既定ではサンプル収集が有効になります。If you don't set a value, the default value is to enable sample collection.

Endpoint protection 構成の更新Update endpoint protection configuration

オンボードスクリプトを構成した後、引き続き同じグループポリシーを編集して、endpoint protection 構成を追加します。After configuring the onboarding script, continue editing the same group policy to add endpoint protection configurations. Windows 10 または Server 2019 が実行されているシステムからグループポリシーを編集して、必要なすべての Microsoft Defender ウイルス対策機能を確実に使用できるようにします。Perform group policy edits from a system running Windows 10 or Server 2019 to ensure you have all of the required Microsoft Defender Antivirus capabilities. Defender ATP の構成設定を登録するには、グループポリシーオブジェクトを閉じてからもう一度開く必要がある場合があります。You may need to close and reopen the group policy object to register the Defender ATP configuration settings.

すべてのポリシーはにあり Computer Configuration\Policies\Administrative Templates ます。All policies are located under Computer Configuration\Policies\Administrative Templates.

ポリシーの場所: \Windows COMPONENTS\WINDOWS Defender ATPPolicy location: \Windows Components\Windows Defender ATP

ポリシーPolicy 設定Setting
Enable¥ Sample コレクションを無効にするEnable\Disable Sample collection Enabled-[コンピューター上のサンプルコレクションを有効にする] チェックボックスをオンにします。Enabled - "Enable sample collection on machines" checked

ポリシーの場所: \Windows Components\Windows Defender ウイルス対策Policy location: \Windows Components\Windows Defender Antivirus

ポリシーPolicy 設定Setting
望ましくない可能性のあるアプリケーションの検出を構成するConfigure detection for potentially unwanted applications Enabled、BlockEnabled, Block

ポリシーの場所: \Windows Components\Windows Defender Antivirus\MAPSPolicy location: \Windows Components\Windows Defender Antivirus\MAPS

ポリシーPolicy 設定Setting
Microsoft MAPS に参加するJoin Microsoft MAPS 有効、詳細マップEnabled, Advanced MAPS
詳細な分析が必要な場合はファイルのサンプルを送信するSend file samples when further analysis is required 有効、安全なサンプルを送信するEnabled, Send safe samples

ポリシーの場所: \Windows Components\Windows Defender Antivirus\Real-time ProtectionPolicy location: \Windows Components\Windows Defender Antivirus\Real-time Protection

ポリシーPolicy 設定Setting
リアルタイム保護を無効にするTurn off real-time protection 無効Disabled
動作の監視を有効にするTurn on behavior monitoring 有効Enabled
すべてのダウンロード ファイルと添付ファイルをスキャンするScan all downloaded files and attachments 有効Enabled
コンピューターのファイルおよびプログラムの動作を監視するMonitor file and program activity on your computer 有効Enabled

ポリシーの場所: \Windows Components\Windows Defender Antivirus\ScanPolicy location: \Windows Components\Windows Defender Antivirus\Scan

これらの設定では、エンドポイントの定期的なスキャンが構成されます。These settings configure periodic scans of the endpoint. 毎週のクイックスキャンを実行し、パフォーマンスを向上することをお勧めします。We recommend performing a weekly quick scan, performance permitting.

ポリシーPolicy 設定Setting
スケジュールされたスキャンを実行する前に、最新のウイルスおよびスパイウェアのセキュリティインテリジェンスを確認するCheck for the latest virus and spyware security intelligence before running a scheduled scan 有効Enabled

ポリシーの場所: \Windows Components\Windows Defender Antivirus\Windows Defender Exploit Gu/Attack Surface ReductionPolicy location: \Windows Components\Windows Defender Antivirus\Windows Defender Exploit Guard\Attack Surface Reduction

攻撃対象領域の削減 Guid の現在の一覧を表示して、 attack surface reduction ルールをカスタマイズします。Get the current list of attack surface reduction GUIDs from Customize attack surface reduction rules

  1. [ Attack Surface Reduction の構成 ] ポリシーを開きます。Open the Configure Attack Surface Reduction policy.
  2. [有効] を選択します。Select Enabled.
  3. [表示] を選び ます。Select the Show… ボタンをクリックします。button.
  4. [ 値の名前 ] フィールドに「2」という値の各 GUID を追加します。Add each GUID in the Value Name field with a Value of 2.

これは、監査のためだけに設定されます。This will set each up for audit only.

Attack surface reduction 構成の画像

ポリシーPolicy 設定Setting
コントロールフォルダーへのアクセスを構成するConfigure Controlled folder access 有効、監査モードEnabled, Audit Mode

グループポリシーを使用するオフボードデバイスOffboard devices using Group Policy

セキュリティ上の理由から、オフボードデバイスに使用されるパッケージは、ダウンロードされた日付の30日後に有効期限が切れます。For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. 有効期限が切れたデバイスに送信されたオフボードパッケージは拒否されます。Expired offboarding packages sent to a device will be rejected. オフボード パッケージをダウンロードするときに、パッケージの有効期限が提示されます。また、この有効期限はパッケージ名にも含まれています。When downloading an offboarding package you will be notified of the packages expiry date and it will also be included in the package name.

注意

オンボードとオフボードのポリシーは、同時に同じデバイスに展開しないようにする必要があります。そうしないと、予期しないコリジョンが発生します。Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

  1. Microsoft Defender セキュリティセンターからオフボードパッケージを取得します。Get the offboarding package from Microsoft Defender Security Center:

    a. a. ナビゲーションウィンドウで、[設定オフボード] を選択し > Offboardingます。In the navigation pane, select Settings > Offboarding.

    b. b. オペレーティングシステムとして Windows 10 を選択します。Select Windows 10 as the operating system.

    c. c. [ 展開方法 ] フィールドで、[ グループポリシー] を選びます。In the Deployment method field, select Group policy.

    d. d. [ パッケージのダウンロード ] をクリックして、.zip ファイルを保存します。Click Download package and save the .zip file.

  2. .Zip ファイルのコンテンツを、デバイスからアクセスできる共有の読み取り専用の場所に抽出します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the device. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが抽出されます。You should have a file named WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を選択して、[編集] をクリックします。Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  4. グループ ポリシー管理エディターで、[コンピューターの構成][基本設定][コントロール パネルの設定] の順に移動します。In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  5. [スケジュールされたタスク] を右クリックし、[新規] をポイントして、[即時タスク] をクリックします。Right-click Scheduled tasks, point to New, and then click Immediate task.

  6. 開いている タスク ウィンドウで、 [全般 ] タブに移動します。[ セキュリティオプション] の下の [ローカルシステムユーザーアカウント (BUILTIN\SYSTEM)] を選びます。In the Task window that opens, go to the General tab. Choose the local SYSTEM user account (BUILTIN\SYSTEM) under Security options.

  7. [ユーザーがログオンしているかどうかにかかわらず実行する] を選択し、[最上位の特権で実行する] チェック ボックスをオンにします。Select Run whether user is logged on or not and check the Run with highest privileges check-box.

  8. [操作] タブに移動し、[新規] をクリックします。[操作] フィールドで [プログラムの開始] が選択されていることを確認します。Go to the Actions tab and click New.... Ensure that Start a program is selected in the Action field. ファイル名と、共有する WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd ファイルの場所を入力します。Enter the file name and location of the shared WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd file.

  9. [OK] をクリックし、開いている GPMC のウィンドウをすべて閉じます。Click OK and close any open GPMC windows.

重要

オフボードにすると、デバイスはポータルへのセンサーデータの送信を停止しますが、デバイスからのデータは、最大6か月間保持されます。Offboarding causes the device to stop sending sensor data to the portal but data from the device, including reference to any alerts it has had will be retained for up to 6 months.

デバイス構成を監視するMonitor device configuration

グループポリシーを使用すると、デバイス上のポリシーの展開を監視するオプションはありません。With Group Policy there isn’t an option to monitor deployment of policies on the devices. 監視は、ポータルから直接行うか、別のデプロイ ツールを使用して行います。Monitoring can be done directly on the portal, or by using the different deployment tools.

ポータルを使用してデバイスを監視するMonitor devices using the portal

  1. Microsoft Defender セキュリティセンターに移動します。Go to Microsoft Defender Security Center.
  2. [ デバイス] リストをクリックします。Click Devices list.
  3. デバイスが表示されていることを確認します。Verify that devices are appearing.

注意

デバイスの 一覧にデバイスが表示されるまでに数日間かかることがあります。It can take several days for devices to start showing on the Devices list. これには、ポリシーがデバイスに配布されるまでの時間、ユーザーがログオンする前にかかる時間、エンドポイントがレポートを開始するためにかかる時間が含まれます。This includes the time it takes for the policies to be distributed to the device, the time it takes before the user logs on, and the time it takes for the endpoint to start reporting.

関連トピックRelated topics