グループポリシーを使用するオンボード Windows 10 マシンOnboard Windows 10 machines using Group Policy

適用対象:Applies to:

Microsoft Defender ATP を体験するには、Want to experience Microsoft Defender ATP? 無料試用版にサインアップしてください。Sign up for a free trial.

注意

グループ ポリシー (GP) の更新を使ってパッケージをデプロイするには、Windows Server 2008 R2 以降が必要です。To use Group Policy (GP) updates to deploy the package, you must be on Windows Server 2008 R2 or later.

Windows Server 2019 の場合は、グループポリシー設定で作成した XML ファイルの nt AUTHORITY\SYSTEM に NT AUTHORITY\Well-Known-System-Account を置き換える必要がある場合があります。For Windows Server 2019, you may need to replace NT AUTHORITY\Well-Known-System-Account with NT AUTHORITY\SYSTEM of the XML file that the Group Policy preference creates.

グループ ポリシーを使ったコンピューターのオンボーディングOnboard machines using Group Policy

  1. サービスのオンボード ウィザードからダウンロードした、GP 構成パッケージの .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。Open the GP configuration package .zip file (WindowsDefenderATPOnboardingPackage.zip) that you downloaded from the service onboarding wizard. また、 Microsoft Defender セキュリティセンターからパッケージを入手することもできます。You can also get the package from Microsoft Defender Security Center:

    a. a. ナビゲーションウィンドウで、[設定 > ] オンボードを選択します。In the navigation pane, select Settings > Onboarding.

    b. b. オペレーティングシステムとして Windows 10 を選択します。Select Windows 10 as the operating system.

    c. c. [展開方法] フィールドで、[グループポリシー] を選びます。In the Deployment method field, select Group policy.

    d. d. [パッケージのダウンロード] をクリックして、.zip ファイルを保存します。Click Download package and save the .zip file.

  2. .Zip ファイルのコンテンツを、コンピューターからアクセスできる共有の読み取り専用の場所に抽出します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the machine. OptionalParamsPolicy という名前のフォルダーと WindowsDefenderATPOnboardingScript.cmd というファイルが抽出されます。You should have a folder called OptionalParamsPolicy and the file WindowsDefenderATPOnboardingScript.cmd.

  3. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を選択して、[編集] をクリックします。Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  4. グループ ポリシー管理エディターで、[コンピューターの構成][基本設定][コントロール パネルの設定] の順に移動します。In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  5. [スケジュールされたタスク] を右クリックし、[新規] をポイントして、[即時タスク] (Windows 7 以上) をクリックします。Right-click Scheduled tasks, point to New, and then click Immediate Task (At least Windows 7).

  6. 開いているタスクウィンドウで、 [全般] タブに移動します。[セキュリティオプション] の [ユーザーまたはグループの変更] をクリックし、「システム」と入力し、[名前の確認 ] をクリックしますIn the Task window that opens, go to the General tab. Under Security options click Change User or Group and type SYSTEM and then click Check Names then OK. [NT AUTHORITY\SYSTEM] は、タスクが実行されるユーザーアカウントとして表示されます。NT AUTHORITY\SYSTEM appears as the user account the task will run as.

  7. [ユーザーがログオンしているかどうかにかかわらず実行する] を選択し、[最上位の特権で実行する] チェック ボックスをオンにします。Select Run whether user is logged on or not and check the Run with highest privileges check box.

  8. [操作] タブに移動し、[新規] をクリックします。[操作] フィールドで [プログラムの開始] が選択されていることを確認します。Go to the Actions tab and click New... Ensure that Start a program is selected in the Action field. ファイル名と、共有する WindowsDefenderATPOnboardingScript.cmd ファイルの場所を入力します。Enter the file name and location of the shared WindowsDefenderATPOnboardingScript.cmd file.

  9. [OK] をクリックし、開いている GPMC のウィンドウをすべて閉じます。Click OK and close any open GPMC windows.

ヒント

マシンのオンボードを終えたら、検出テストを実行して、コンピューターがサービスに正しく onboarded されていることを確認できます。After onboarding the machine, you can choose to run a detection test to verify that the machine is properly onboarded to the service. 詳細については、「新しく Onboarded Microsoft DEFENDER ATP コンピューターで検出テストを実行する」を参照してください。For more information, see Run a detection test on a newly onboarded Microsoft Defender ATP machine.

その他の Microsoft Defender ATP 構成設定Additional Microsoft Defender ATP configuration settings

コンピューターごとに、Microsoft Defender セキュリティセンターを介して要求が行われ、詳細な分析のためにファイルを送信するために、コンピューターからサンプルを収集できるかどうかを指定できます。For each machine, you can state whether samples can be collected from the machine when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

グループ ポリシー (GP) を使用して、詳細分析機能で使用するサンプル共有の設定など、設定を構成できます。You can use Group Policy (GP) to configure settings, such as settings for the sample sharing used in the deep analysis feature.

サンプル収集設定の構成Configure sample collection settings

  1. GP の管理コンピューターに、構成パッケージから次のファイルをコピーします。On your GP management machine, copy the following files from the configuration package:

    a. a. AtpConfiguration.admxC:\Windows\PolicyDefinitions にコピーします。Copy AtpConfiguration.admx into C:\Windows\PolicyDefinitions

    b. b. AtpConfiguration.admlC:\Windows\PolicyDefinitions\en-US にコピーします。Copy AtpConfiguration.adml into C:\Windows\PolicyDefinitions\en-US

    グループポリシー管理用テンプレート用のセントラルストアを使用している場合は、次のファイルを構成パッケージからコピーします。If you are using a Central Store for Group Policy Administrative Templates, copy the following files from the configuration package:

    a. a. _Atpconfiguration_を \ \ \ \ \ <forest にコピーします 。ルート \ > \policies\policydefinitions <forest \ >Copy AtpConfiguration.admx into \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions

    b. b. _Adml_を \sysvol\\ にコピーします。ルート \ > <フォレスト <。ルート \ > の \policies\policydefinitions\en-usCopy AtpConfiguration.adml into \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US

  2. グループ ポリシー管理コンソール を開き、構成する GPO を右クリックして、[編集] をクリックします。Open the Group Policy Management Console, right-click the GPO you want to configure and click Edit.

  3. グループ ポリシー管理エディター[コンピューターの構成] に移動します。In the Group Policy Management Editor, go to Computer configuration.

  4. [ポリシー] をクリックし、[管理用テンプレート] をクリックします。Click Policies, then Administrative templates.

  5. [Windows コンポーネント][Windows Defender ATP] の順にクリックします。Click Windows components and then Windows Defender ATP.

  6. コンピューターからサンプル共有を有効または無効にします。Choose to enable or disable sample sharing from your machines.

注意

値を設定しない場合、既定ではサンプル収集が有効になります。If you don't set a value, the default value is to enable sample collection.

グループポリシーを使用するオフボードマシンOffboard machines using Group Policy

セキュリティ上の理由から、オフボードコンピューターに使用されるパッケージは、ダウンロードされた日付の30日後に有効期限が切れます。For security reasons, the package used to Offboard machines will expire 30 days after the date it was downloaded. 有効期限が切れたコンピューターに送信されたオフボードパッケージは拒否されます。Expired offboarding packages sent to a machine will be rejected. オフボード パッケージをダウンロードするときに、パッケージの有効期限が提示されます。また、この有効期限はパッケージ名にも含まれています。When downloading an offboarding package you will be notified of the packages expiry date and it will also be included in the package name.

注意

オンボードとオフボードのポリシーは、同時に同じコンピューターに展開することはできません。そうしないと、予期しないコリジョンが発生します。Onboarding and offboarding policies must not be deployed on the same machine at the same time, otherwise this will cause unpredictable collisions.

  1. Microsoft Defender セキュリティセンターからオフボードパッケージを取得します。Get the offboarding package from Microsoft Defender Security Center:

    a. a. ナビゲーションウィンドウで、[設定 > オフボード] を選択します。In the navigation pane, select Settings > Offboarding.

    b. b. オペレーティングシステムとして Windows 10 を選択します。Select Windows 10 as the operating system.

    c. c. [展開方法] フィールドで、[グループポリシー] を選びます。In the Deployment method field, select Group policy.

    d. d. [パッケージのダウンロード] をクリックして、.zip ファイルを保存します。Click Download package and save the .zip file.

  2. .Zip ファイルのコンテンツを、コンピューターからアクセスできる共有の読み取り専用の場所に抽出します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the machine. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが抽出されます。You should have a file named WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を選択して、[編集] をクリックします。Open the Group Policy Management Console (GPMC), right-click the Group Policy Object (GPO) you want to configure and click Edit.

  4. グループ ポリシー管理エディターで、[コンピューターの構成][基本設定][コントロール パネルの設定] の順に移動します。In the Group Policy Management Editor, go to Computer configuration, then Preferences, and then Control panel settings.

  5. [スケジュールされたタスク] を右クリックし、[新規] をポイントして、[即時タスク] をクリックします。Right-click Scheduled tasks, point to New, and then click Immediate task.

  6. 表示された作業ウィンドウで、[全般] タブに移動します。 [セキュリティオプション] で、ローカルシステムユーザーアカウント (BUILTIN\SYSTEM) を選びます。In the Task window that opens, go to the General tab. Choose the local SYSTEM user account (BUILTIN\SYSTEM) under Security options.

  7. [ユーザーがログオンしているかどうかにかかわらず実行する] を選択し、[最上位の特権で実行する] チェック ボックスをオンにします。Select Run whether user is logged on or not and check the Run with highest privileges check-box.

  8. [操作] タブに移動し、[新規] をクリックします。[操作] フィールドで [プログラムの開始] が選択されていることを確認します。Go to the Actions tab and click New.... Ensure that Start a program is selected in the Action field. ファイル名と、共有する WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd ファイルの場所を入力します。Enter the file name and location of the shared WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd file.

  9. [OK] をクリックし、開いている GPMC のウィンドウをすべて閉じます。Click OK and close any open GPMC windows.

重要

オフボードによって、コンピューターはポータルへのセンサー データの送信を停止しますが、コンピューターのすべてのアラートへの参照を含む、コンピューターからのデータは最大 6 か月間保持されます。Offboarding causes the machine to stop sending sensor data to the portal but data from the machine, including reference to any alerts it has had will be retained for up to 6 months.

コンピューターの構成を監視するMonitor machine configuration

グループポリシーを使用すると、コンピューター上のポリシーの展開を監視するオプションはありません。With Group Policy there isn’t an option to monitor deployment of policies on the machines. 監視は、ポータルから直接行うか、別のデプロイ ツールを使用して行います。Monitoring can be done directly on the portal, or by using the different deployment tools.

ポータルを使用してコンピューターを監視するMonitor machines using the portal

  1. Microsoft Defender セキュリティセンターに移動します。Go to Microsoft Defender Security Center.
  2. [Machines list] (コンピューター一覧) をクリックします。Click Machines list.
  3. マシンが表示されていることを確認します。Verify that machines are appearing.

注意

マシンがマシンの一覧に表示されるまでに数日間かかることがあります。It can take several days for machines to start showing on the Machines list. これには、ポリシーをコンピューターに配布するために必要な時間、ユーザーがログオンする前にかかる時間、エンドポイントがレポートを開始するためにかかる時間が含まれます。This includes the time it takes for the policies to be distributed to the machine, the time it takes before the user logs on, and the time it takes for the endpoint to start reporting.

関連トピックRelated topics