Configuration Manager を使った Windows 10 デバイスのオンボードOnboard Windows 10 devices using Configuration Manager

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

サポートされるクライアント オペレーティング システムSupported client operating systems

実行している Configuration Manager のバージョンに基づいて、次のクライアント オペレーティング システムをオンボードできます。Based on the version of Configuration Manager you're running, the following client operating systems can be onboarded:

Configuration Manager バージョン 1910 以前Configuration Manager version 1910 and prior

  • Windows 10 を実行しているクライアント コンピューターClients computers running Windows 10

Configuration Manager バージョン 2002 以降Configuration Manager version 2002 and later

Configuration Manager バージョン 2002 から、次のオペレーティング システムをオンボードできます。Starting in Configuration Manager version 2002, you can onboard the following operating systems:

  • Windows 8.1Windows 8.1
  • Windows 10Windows 10
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016
  • Windows Server 2016 バージョン 1803 以降Windows Server 2016, version 1803 or later
  • Windows Server 2019Windows Server 2019

注意

Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 のオンボード方法の詳細については、「Windows サーバーのオンボード」を参照 してくださいFor more information on how to onboard Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019, see, Onboard Windows servers.

System Center Configuration Manager を使ったデバイスのオンボードOnboard devices using System Center Configuration Manager

![I[さまざまな展開パスを示す PDF の画像]mage of the PDF showing the various deployment paths](images/onboard-config-mgr.png)

PDF または Visio 確認して 、Microsoft Defender for Endpoint の展開に関するさまざまなパスを確認してください。Check out the PDF or Visio to see the various paths in deploying Microsoft Defender for Endpoint.

  1. サービス オンボーディング ウィザードからダウンロードした Configuration Manager 構成パッケージの .zip ファイル* (WindowsDefenderATPOnboardingPackage.zip) *を開きます。Open the Configuration Manager configuration package .zip file (WindowsDefenderATPOnboardingPackage.zip) that you downloaded from the service onboarding wizard. Microsoft Defender セキュリティ センターからパッケージ を取得できますYou can also get the package from Microsoft Defender Security Center:

    a. a. ナビゲーション ウィンドウで、[設定**** オンボード] > を選択しますIn the navigation pane, select Settings > Onboarding.

    b. b. オペレーティング システムとして Windows 10 を選択します。Select Windows 10 as the operating system.

    c. c. [展開方法 ] フィールドで****、System Center Configuration Manager 2012/2012 R2/1511/1602を選択します。In the Deployment method field, select System Center Configuration Manager 2012/2012 R2/1511/1602.

    d. d. [ パッケージのダウンロード] を選択し、.zip ファイルを保存します。Select Download package, and save the .zip file.

  2. パッケージを展開するネットワーク管理者からアクセスできる読み取り専用の共有フォルダーに、.zip ファイルの内容を抽出します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. WindowsDefenderATPOnboardingScript.cmd という名前のファイルが抽出されます。You should have a file named WindowsDefenderATPOnboardingScript.cmd.

  3. System Center 2012 R2 Configuration Managerのパッケージとプログラムに関する記事の手順に従って、パッケージを展開します。Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

    a. a. パッケージのデプロイ先となる定義済みのデバイス コレクションを選択します。Choose a predefined device collection to deploy the package to.

注意

エンドポイント用 Defender は 、Out-Of-Box Experience (OOBE) フェーズ中のオンボーディングをサポートします。Defender for Endpoint doesn't support onboarding during the Out-Of-Box Experience (OOBE) phase. Windows のインストールまたはアップグレードを実行した後にユーザーが OOBE を終わらせていることを確認します。Make sure users complete OOBE after running Windows installation or upgrading.

ヒント

デバイスのオンボード後、検出テストを実行して、デバイスが適切にサービスにオンボードされていることを確認できます。After onboarding the device, you can choose to run a detection test to verify that an device is properly onboarded to the service. 詳しくは、「新しくオンボードしたエンドポイント用 Defender デバイスで検出テストを実行する 」をご覧くださいFor more information, see Run a detection test on a newly onboarded Defender for Endpoint device.

Configuration Manager アプリケーションで検出ルールを作成して、デバイスがオンボードされたのか継続的にチェックすることができます。Note that it is possible to create a detection rule on a Configuration Manager application to continuously check if a device has been onboarded. アプリケーションは、パッケージやプログラムとは異なる種類のオブジェクトです。An application is a different type of object than a package and program. デバイスがまだオンボードされていない場合 (保留中の OOBE の完了などの理由により)、Configuration Manager は、ルールによって状態の変更が検出されるまで、デバイスのオンボードを再試行します。If a device is not yet onboarded (due to pending OOBE completion or any other reason), Configuration Manager will retry to onboard the device until the rule detects the status change.

この動作は、"OnboardingState" レジストリ値 (種類が REG_DWORD) が 1 の場合に検出ルール チェックを作成することで実現できます。This behavior can be accomplished by creating a detection rule checking if the "OnboardingState" registry value (of type REG_DWORD) = 1. このレジストリ値は、"HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" にあります。This registry value is located under "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status". 詳細については 、「System Center 2012 R2 Configuration Manager での検出方法の構成」を参照してくださいFor more information, see Configure Detection Methods in System Center 2012 R2 Configuration Manager.

サンプル収集設定の構成Configure sample collection settings

デバイスごとに構成値を設定して、Microsoft Defender セキュリティ センターを介して詳細分析用のファイルを送信する要求が行われたときに、デバイスからサンプルを収集できるかどうかを指定できます。For each device, you can set a configuration value to state whether samples can be collected from the device when a request is made through Microsoft Defender Security Center to submit a file for deep analysis.

注意

これらの構成設定は、通常、Configuration Manager を使用して行われます。These configuration settings are typically done through Configuration Manager.

Configuration Manager で構成項目のコンプライアンス ルールを設定して、デバイス上のサンプル共有設定を変更できます。You can set a compliance rule for configuration item in Configuration Manager to change the sample share setting on a device.

このルールは、準拠** 規則の構成項目を修復し、対象デバイスのレジストリ キーの値を設定して、苦情を確認する必要があります。This rule should be a remediating compliance rule configuration item that sets the value of a registry key on targeted devices to make sure they’re complaint.

この構成は、次のレジストリ キー エントリによって設定します。The configuration is set through the following registry key entry:

Path: “HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”
Name: "AllowSampleCollection"
Value: 0 or 1

詳細は次のとおりです。Where:
キーの種類は D-WORD です。Key type is a D-WORD.
設定可能な値は、次のとおりです。Possible values are:

  • 0 - このデバイスからのサンプル共有を許可しない0 - doesn't allow sample sharing from this device
  • 1 - このデバイスからすべてのファイルの種類を共有できます1 - allows sharing of all file types from this device

レジストリ キーが存在しない場合の既定値は 1 です。The default value in case the registry key doesn’t exist is 1.

System Center Configuration Manager コンプライアンスの詳細については 、「System Center 2012 R2 Configuration Managerのコンプライアンス設定の概要」を参照してください。For more information about System Center Configuration Manager Compliance, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.

デバイスをサービスにオンボードした後、次の推奨構成設定でデバイスを有効にすることで、含まれている脅威保護機能を利用することが重要です。After onboarding devices to the service, it's important to take advantage of the included threat protection capabilities by enabling them with the following recommended configuration settings.

デバイス コレクションの構成Device collection configuration

Endpoint Configuration Manager バージョン 2002 以降を使用している場合は、サーバーまたはダウンレベル クライアントを含む展開を拡大できます。If you're using Endpoint Configuration Manager, version 2002 or later, you can choose to broaden the deployment to include servers or down-level clients.

次世代の保護構成Next generation protection configuration

次の構成設定をお勧めします。The following configuration settings are recommended:

スキャンScan

  • USB ドライブなどのリムーバブル記憶域デバイスをスキャンする: はいScan removable storage devices such as USB drives: Yes

リアルタイム保護Real-time Protection

  • 動作監視を有効にする: はいEnable Behavioral Monitoring: Yes
  • ダウンロード時およびインストール前に望ましくない可能性があるアプリケーションに対する保護を有効にする: はいEnable protection against Potentially Unwanted Applications at download and prior to installation: Yes

クラウド保護サービスCloud Protection Service

  • Cloud Protection Service メンバーシップの種類: 高度なメンバーシップCloud Protection Service membership type: Advanced membership

攻撃表面の縮小 使用可能なすべてのルールを監査に構成します。Attack surface reduction Configure all available rules to Audit.

注意

これらのアクティビティをブロックすると、正当なビジネス プロセスが中断される可能性があります。Blocking these activities may interrupt legitimate business processes. 最適な方法は、すべてを監査に設定し、有効にしても安全な設定を特定し、誤検知が検出されないエンドポイントでこれらの設定を有効にすることで実現します。The best approach is setting everything to audit, identifying which ones are safe to turn on, and then enabling those settings on endpoints which do not have false positive detections.

ネットワーク保護Network protection
監査モードまたはブロック モードでネットワーク保護を有効にする前に、サポート ページから取得できるマルウェア対策プラットフォームの更新プログラムがインストールされていることを 確認してくださいPrior to enabling network protection in audit or block mode, ensure that you've installed the antimalware platform update, which can be obtained from the support page.

フォルダー アクセスの制御Controlled folder access
監査モードで機能を 30 日以上有効にします。Enable the feature in audit mode for at least 30 days. この期間が終了した後、検出を確認し、保護されたディレクトリへの書き込みを許可するアプリケーションの一覧を作成します。After this period, review detections and create a list of applications that are allowed to write to protected directories.

詳細については、「フォルダー アクセスの 制御を評価する」を参照してくださいFor more information, see Evaluate controlled folder access.

Configuration Manager を使用したオフボード デバイスOffboard devices using Configuration Manager

セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日から 30 日後に期限切れになります。For security reasons, the package used to Offboard devices will expire 30 days after the date it was downloaded. デバイスに送信された期限切れのオフボード パッケージは拒否されます。Expired offboarding packages sent to a device will be rejected. オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。When downloading an offboarding package, you will be notified of the packages expiry date and it will also be included in the package name.

注意

オンボード ポリシーとオフボード ポリシーを同じデバイスに同時に展開する必要があります。展開しないと、予期しない競合が発生します。Onboarding and offboarding policies must not be deployed on the same device at the same time, otherwise this will cause unpredictable collisions.

Microsoft Endpoint Manager Current Branch を使用したオフボード デバイスOffboard devices using Microsoft Endpoint Manager current branch

Microsoft Endpoint Manager Current Branch を使用する場合は、「オフ ボード構成ファイルを作成する」を参照してくださいIf you use Microsoft Endpoint Manager current branch, see Create an offboarding configuration file.

System Center 2012 R2 Configuration Manager を使用したオフボード デバイスOffboard devices using System Center 2012 R2 Configuration Manager

  1. Microsoft Defender セキュリティ センターからオフボード パッケージ を取得しますGet the offboarding package from Microsoft Defender Security Center:

    a. a. ナビゲーション ウィンドウで、[設定オフボード ] > を選択しますIn the navigation pane, select Settings > Offboarding.

    b. b. オペレーティング システムとして Windows 10 を選択します。Select Windows 10 as the operating system.

    c. c. [展開方法 ] フィールドで****、System Center Configuration Manager 2012/2012 R2/1511/1602を選択します。In the Deployment method field, select System Center Configuration Manager 2012/2012 R2/1511/1602.

    d. d. [ パッケージのダウンロード] を選択し、.zip ファイルを保存します。Select Download package, and save the .zip file.

  2. パッケージを展開するネットワーク管理者からアクセスできる読み取り専用の共有フォルダーに、.zip ファイルの内容を抽出します。Extract the contents of the .zip file to a shared, read-only location that can be accessed by the network administrators who will deploy the package. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが抽出されます。You should have a file named WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. System Center 2012 R2 Configuration Managerのパッケージとプログラムに関する記事の手順に従って、パッケージを展開します。Deploy the package by following the steps in the Packages and Programs in System Center 2012 R2 Configuration Manager article.

    a. a. パッケージのデプロイ先となる定義済みのデバイス コレクションを選択します。Choose a predefined device collection to deploy the package to.

重要

オフボードにより、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータ (以前のアラートへの参照を含む) は最大 6 か月間保持されます。Offboarding causes the device to stop sending sensor data to the portal but data from the device, including reference to any alerts it has had will be retained for up to 6 months.

デバイス構成の監視Monitor device configuration

Microsoft Endpoint Manager Current Branch を使用している場合は、Configuration Manager コンソールで組み込みの Defender for Endpoint ダッシュボードを使います。If you're using Microsoft Endpoint Manager current branch, use the built-in Defender for Endpoint dashboard in the Configuration Manager console. 詳しくは 、「Defender for Endpoint - Monitor」をご覧くださいFor more information, see Defender for Endpoint - Monitor.

System Center 2012 R2 Configuration Manager を使用している場合、監視は次の 2 つの部分で構成されます。If you're using System Center 2012 R2 Configuration Manager, monitoring consists of two parts:

  1. 構成パッケージが正しく展開され、ネットワーク内のデバイスで実行 (または正常に実行) されていることを確認します。Confirming the configuration package has been correctly deployed and is running (or has successfully run) on the devices in your network.

  2. デバイスが Defender for Endpoint サービスに準拠している (これにより、デバイスがオンボード プロセスを完了し、引き続きサービスにデータを報告できる) チェックします。Checking that the devices are compliant with the Defender for Endpoint service (this ensures the device can complete the onboarding process and can continue to report data to the service).

構成パッケージが正しく展開されていることを確認するConfirm the configuration package has been correctly deployed

  1. Configuration Manager コンソールで、ナビゲーション ウィンドウの 下部にある [監視] をクリックします。In the Configuration Manager console, click Monitoring at the bottom of the navigation pane.

  2. [概要 ] を選択 し、[展開 ] を選択しますSelect Overview and then Deployments.

  3. パッケージ名を使用して展開を選択します。Select on the deployment with the package name.

  4. [処理完了に関する統計情報][コンテンツのステータス] のステータス インジケーターを確認します。Review the status indicators under Completion Statistics and Content Status.

    展開に失敗した場合 (エラー、要件が満**** たされていない、または失敗した**** 状態のデバイス)、デバイスのトラブルシューティングが必要な場合があります。 ****If there are failed deployments (devices with Error, Requirements Not Met, or Failed statuses), you may need to troubleshoot the devices. 詳しくは、「エンドポイントのオンボードに関する Microsoft Defender の問題のトラブルシューティング」をご覧くださいFor more information, see, Troubleshoot Microsoft Defender for Endpoint onboarding issues.

    Configuration Manager でエラーが発生して展開が成功した場合

デバイスが Microsoft Defender ATP サービスに準拠しているのを確認するCheck that the devices are compliant with the Microsoft Defender ATP service

System Center 2012 R2 Configuration Manager で構成項目のコンプライアンス ルールを設定して、展開を監視できます。You can set a compliance rule for configuration item in System Center 2012 R2 Configuration Manager to monitor your deployment.

このルールは、ターゲット デバイス上 のレジストリ キーの値を監視する、修復されていないコンプライアンス ルール構成項目である必要があります。This rule should be a non-remediating compliance rule configuration item that monitors the value of a registry key on targeted devices.

以下のレジストリ キー エントリを監視します。Monitor the following registry key entry:

Path: “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status”
Name: “OnboardingState”
Value: “1”

詳しくは 、System Center 2012 R2 Configuration Manager のコンプライアンス設定の概要に関するページをご覧くださいFor more information, see Introduction to compliance settings in System Center 2012 R2 Configuration Manager.

関連トピックRelated topics