デバイス プロキシとインターネット接続の設定の構成Configure device proxy and Internet connectivity settings

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象Applies to:

Microsoft Defender ATP を体験するには、Want to experience Microsoft Defender ATP? 無料試用版にサインアップしてください。Sign up for a free trial.

Window Defender ATP センサーは、Microsoft Windows HTTP (WinHTTP) を使用してセンサー データをレポートし、Microsoft Defender ATP サービスと通信する必要があります。The Microsoft Defender ATP sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Microsoft Defender ATP service.

埋め込みの Windows Defender ATP センサーは、LocalSystem アカウントを使用してシステム コンテキストで実行されます。The embedded Microsoft Defender ATP sensor runs in system context using the LocalSystem account. このセンサーは Microsoft Windows HTTP サービス (WinHTTP) を使用して、Windows Defender ATP クラウド サービスとの通信を可能にします。The sensor uses Microsoft Windows HTTP Services (WinHTTP) to enable communication with the Microsoft Defender ATP cloud service.

ヒント

インターネットへのゲートウェイとしてフォワード プロキシを使用している組織では、ネットワーク保護を使用してプロキシの背後を調査することができます。For organizations that use forward proxies as a gateway to the Internet, you can use network protection to investigate behind a proxy. 詳しくは、「フォワード プロキシの背後で発生した接続イベントを調査する」をご覧ください。For more information, see Investigate connection events that occur behind forward proxies.

WinHTTP 構成設定は、Windows Internet (WinINet) インターネット閲覧プロキシ設定とは別のもので、次の検出方法を使用することによってのみ、プロキシ サーバーを検出できます。The WinHTTP configuration setting is independent of the Windows Internet (WinINet) Internet browsing proxy settings and can only discover a proxy server by using the following discovery methods:

  • 自動検出方法:Auto-discovery methods:

  • 手動による静的プロキシ構成:Manual static proxy configuration:

    • レジストリ ベースの構成Registry based configuration
    • netsh コマンドを使用して構成された WinHTTP: 安定したトポロジのデスクトップにのみ適しています (例: 同じプロキシ サーバーの背後にある企業ネットワークのデスクトップ)WinHTTP configured using netsh command – Suitable only for desktops in a stable topology (for example: a desktop in a corporate network behind the same proxy)

レジストリ ベースの静的プロキシを使用した手動でのプロキシ サーバーの構成Configure the proxy server manually using a registry-based static proxy

レジストリ ベースの静的プロキシを構成して、コンピューターからのインターネットへの接続が禁止されている場合に、Microsoft Defender ATP センサーのみが診断データをレポートし、Microsoft Defender ATP サービスと通信できるようにします。Configure a registry-based static proxy to allow only Microsoft Defender ATP sensor to report diagnostic data and communicate with Microsoft Defender ATP services if a computer is not be permitted to connect to the Internet.

静的プロキシは、グループ ポリシーを (GP) 利用して構成します。The static proxy is configurable through Group Policy (GP). このグループ ポリシーの場所は次のとおりです。The group policy can be found under:

  • 管理用テンプレート > Windows コンポーネント > データの収集とプレビュー ビルド > 接続ユーザー エクスペリエンスとテレメトリ サービスでの認証済みプロキシの使用を構成するAdministrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service
    • [有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します: グループ ポリシー設定のイメージ1Set it to Enabled and select Disable Authenticated Proxy usage: Image of Group Policy setting1
  • 管理用テンプレート > Windows コンポーネント > データの収集とプレビュー ビルド > 接続ユーザーのエクスペリエンスと利用統計情報を構成する:Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry:
    • プロキシを構成する:Configure the proxy:
      グループ ポリシー設定のイメージ2

      このポリシーは、レジストリ キー HKLM\Software\Policies\Microsoft\Windows\DataCollection の下にあるレジストリ値 TelemetryProxyServer を REG_SZ として、DisableEnterpriseAuthProxy を REG_DWORD として設定します。The policy sets two registry values TelemetryProxyServer as REG_SZ and DisableEnterpriseAuthProxy as REG_DWORD under the registry key HKLM\Software\Policies\Microsoft\Windows\DataCollection.

      レジストリ値 TelemetryProxyServer は、次のような形式の文字列で指定します。The registry value TelemetryProxyServer takes the following string format:

      <server name or ip>:<port>
      

      たとえば、10.0.0.6:8080 です。For example: 10.0.0.6:8080

      レジストリ値 DisableEnterpriseAuthProxy は 1 に設定する必要があります。The registry value DisableEnterpriseAuthProxy should be set to 1.

netsh コマンドを使用した手動でのプロキシ サーバーの構成Configure the proxy server manually using netsh command

netsh を使用して、システム全体の静的プロキシを構成します。Use netsh to configure a system-wide static proxy.

注意

  • この構成は、既定のプロキシで WinHTTP を使用する Windows サービスを含む、すべてのアプリケーションに影響します。This will affect all applications including Windows services which use WinHTTP with default proxy.
  • ノート PC のトポロジが変更されている場合 (オフィスから自宅など)、netsh は誤動作します。Laptops that are changing topology (for example: from office to home) will malfunction with netsh. レジストリ ベースの静的なプロキシの構成を使用します。Use the registry-based static proxy configuration.
  1. 管理者特権でのコマンド ラインを開きます。Open an elevated command-line:

    a. a. [スタート] に移動し、「cmd」と入力します。Go to Start and type cmd.

    b. b. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。Right-click Command prompt and select Run as administrator.

  2. 次のコマンドを入力して、Enter キーを押します。Enter the following command and press Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    例: netsh winhttp set proxy 10.0.0.6:8080For example: netsh winhttp set proxy 10.0.0.6:8080

winhttp プロキシをリセットするには、次のコマンドを入力し、Enter キーを押しますTo reset the winhttp proxy, enter the following command and press Enter

netsh winhttp reset proxy

詳しくは、「Netsh コマンドの構文、コンテキスト、形式」をご覧ください。See Netsh Command Syntax, Contexts, and Formatting to learn more.

プロキシ サーバーで Microsoft Defender ATP サービス URL へのアクセスを有効にするEnable access to Microsoft Defender ATP service URLs in the proxy server

プロキシまたはファイアウォールが既定ですべてのトラフィックをブロックし、特定のドメインのみを許可している場合は、ダウンロード可能なシートのドメインを許可されているドメインの一覧に追加します。If a proxy or firewall is blocking all traffic by default and allowing only specific domains through, add the domains listed in the downloadable sheet to the allowed domains list.

項目Item 説明Description
Microsoft Defender の ATP Url スプレッドシートのサムネイル画像
SpreadsheetSpreadsheet
スプレッドシートは、サービスの場所、地理的な場所、OS の特定の DNS レコードを提供します。The spreadsheet provides specific DNS records for service locations, geographic locations, and OS.

プロキシまたはファイアウォールで HTTPS スキャン (SSL 検査) が有効になっている場合は、上記の表に記載されているドメインを HTTPS スキャンから除外します。If a proxy or firewall has HTTPS scanning (SSL inspection) enabled, exclude the domains listed in the above table from HTTPS scanning.

注意

settings-win.data.microsoft.com は、バージョン 1803 以前の Windows 10 デバイスを実行している場合にのみ必要です。settings-win.data.microsoft.com is only needed if you have Windows 10 devices running version 1803 or earlier.

注意

v20 が含まれている URL は、バージョン 1803 以降の Windows 10 デバイスを実行している場合にのみ必要です。URLs that include v20 in them are only needed if you have Windows 10 devices running version 1803 or later. たとえば、バージョン 1803 以降を実行しており、米国のデータ ストレージ地域にオンボードされている Windows 10 デバイスの場合、us-v20.events.data.microsoft.com が必要です。For example, us-v20.events.data.microsoft.com is needed for a Windows 10 device running version 1803 or later and onboarded to US Data Storage region.

注意

現在の環境で Microsoft Defender ウイルス対策を使用している場合、「Microsoft Defender ウイルス対策へのネットワーク接続を構成する」を参照してください。If you are using Microsoft Defender Antivirus in your environment, see Configure network connections to the Microsoft Defender Antivirus cloud service.

プロキシまたはファイアウォールが匿名のトラフィックをブロックしている場合は、Microsoft Defender ATP センサーはシステム コンテキストで接続しているため、必ず上記の URL で匿名トラフィックを許可してください。If a proxy or firewall is blocking anonymous traffic, as Microsoft Defender ATP sensor is connecting from system context, make sure anonymous traffic is permitted in the previously listed URLs.

Microsoft Monitoring Agent (MMA) - 以前のバージョンの Windows クライアントまたは Windows Server のプロキシとファイアウォールの要件Microsoft Monitoring Agent (MMA) - proxy and firewall requirements for older versions of Windows client or Windows Server

以下の情報は、Windows 7 SP1、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2016 などの以前のバージョンの Windows で、ログ分析エージェント (Microsoft Monitoring Agent と呼ばれることが多くあります) と通信するために必要なプロキシとファイアウォールの構成情報を一覧にしたものです。The information below list the proxy and firewall configuration information required to communicate with Log Analytics agent (often referred to as Microsoft Monitoring Agent) for the previous versions of Windows such as Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, and Windows Server 2016.

エージェント リソースAgent Resource ポートPorts DirectionDirection HTTPS 検査をバイパスするBypass HTTPS inspection
*.ods.opinsights.azure.com*.ods.opinsights.azure.com ポート 443Port 443 送信Outbound ありYes
*.oms.opinsights.azure.com*.oms.opinsights.azure.com ポート 443Port 443 送信Outbound ありYes
*.blob.core.windows.net*.blob.core.windows.net ポート 443Port 443 送信Outbound ありYes

注意

クラウドベースのソリューションとして、IP 範囲が変更される可能性があります。As a cloud-based solution, the IP range can change. DNS 解決の設定に移動することをお勧めします。It's recommended you move to DNS resolving setting.

Microsoft Monitoring Agent (MMA) のサービスの URL の要件を確認するConfirm Microsoft Monitoring Agent (MMA) Service URL Requirements

以前のバージョンの Windows で Microsoft Monitoring Agent (MMA) を使用する際にお使いの環境のワイルドカード (*) 要件を削除するには、次のガイダンスを参照してください。Please see the following guidance to eliminate the wildcard (*) requirement for your specific environment when using the Microsoft Monitoring Agent (MMA) for previous versions of Windows.

  1. Microsoft Monitoring Agent (MMA) のある以前のオペレーティング システムを Microsoft Defender for Endpoint にオンボードします (詳細については、「以前のバージョンの Windows を Microsoft Defender ATP にオンボーディングする」と「Windows サーバーのオンボーディング」を参照してください。Onboard a previous operating system with the Microsoft Monitoring Agent (MMA) into Microsoft Defender for Endpoint (for more information, see Onboard previous versions of Windows on Microsoft Defender ATP and Onboard Windows servers.

  2. コンピューターが Microsoft Defender セキュリティ センター ポータルにレポートを正常に作成していることを確認してください。Ensure the machine is successfully reporting into the Microsoft Defender Security Center portal.

  3. 接続を検証して特定のワークスペースに必要な URL を確認するため、“C:\Program Files\Microsoft Monitoring Agent\Agent” から TestCloudConnection.exe ツールを実行します。Run the TestCloudConnection.exe tool from “C:\Program Files\Microsoft Monitoring Agent\Agent” to validate the connectivity and to see the required URLs for your specific workspace.

  4. Microsoft Defender for Endpoint の URL リストで、お住まいの地域の要件の全一覧を確認します (サービスの URL のスプレッドシートをご覧ください)。Check the Microsoft Defender for Endpoint URLs list for the complete list of requirements for your region (please refer to the Service URLs Spreadsheet).

Windows PowerShell の管理者の画像

.ods.opinsights.azure.com、.oms.opinsights.azure.com、.agentsvc.azure-automation.net の URL エンドポイントで使用されているワイルドカード () は、特定のワークスペース ID に置き換えることができます。The wildcards (*) used in *.ods.opinsights.azure.com, *.oms.opinsights.azure.com, and *.agentsvc.azure-automation.net URL endpoints can be replaced with your specific Workspace ID. ワークスペース ID はご自身の環境とワークスペース固有のもので、Microsoft Defender セキュリティ センター ポータルの、テナントのオンボーディング セクションにあります。The Workspace ID is specific to your environment and workspace and can be found in the Onboarding section of your tenant within the Microsoft Defender Security Center portal.

*.blob.core.windows.net の URL エンドポイントは、テスト結果の “Firewall Rule: *.blob.core.windows.net” セクションに表示されている URL に置き換えることができます。The *.blob.core.windows.net URL endpoint can be replaced with the URLs shown in the “Firewall Rule: *.blob.core.windows.net” section of the test results.

注意

Azure Security Center (ASC) からオンボーディングする場合、複数のワークスペースを使用できます。In the case of onboarding via Azure Security Center (ASC), multiple workspaces maybe used. 各ワークスペースから、オンボードしたコンピューターで上記の TestCloudConnection.exe の手順を実行する必要があります (ワークスペース間で *.blob.core.windows.net の URL に変更がないかを特定するため)。You will need to perform the TestCloudConnection.exe procedure above on an onboarded machine from each workspace (to determine if there are any changes to the *.blob.core.windows.net URLs between the workspaces).

Microsoft Defender ATP サービスの URL へのクライアント接続を確認するVerify client connectivity to Microsoft Defender ATP service URLs

プロキシが適切に構成されていること、環境内のプロキシ サーバーを使って WinHTTP による検出と通信が可能なこと、プロキシ サーバーが Microsoft Defender ATP サービス URL へのトラフィックを許可していることを確認します。Verify the proxy configuration completed successfully, that WinHTTP can discover and communicate through the proxy server in your environment, and that the proxy server allows traffic to the Microsoft Defender ATP service URLs.

  1. Microsoft Defender ATP センサーが実行されている PC に、MDATP Client Analyzer ツールをダウンロードします。Download the MDATP Client Analyzer tool to the PC where Microsoft Defender ATP sensor is running on.

  2. デバイス上に MDATPClientAnalyzer.zip のコンテンツを抽出します。Extract the contents of MDATPClientAnalyzer.zip on the device.

  3. 管理者特権でのコマンド ラインを開きます。Open an elevated command-line:

    a. a. [スタート] に移動し、「cmd」と入力します。Go to Start and type cmd.

    b. b. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。Right-click Command prompt and select Run as administrator.

  4. 次のコマンドを入力して、Enter キーを押します。Enter the following command and press Enter:

    HardDrivePath\MDATPClientAnalyzer.cmd
    

    HardDrivePath の部分は、MDATPClientAnalyzer ツールをダウンロードしたパスに置き換えます。以下はその例です。Replace HardDrivePath with the path where the MDATPClientAnalyzer tool was downloaded to, for example

    C:\Work\tools\MDATPClientAnalyzer\MDATPClientAnalyzer.cmd
    
  5. HardDrivePath に使用したフォルダーに、ツールによって作成された MDATPClientAnalyzerResult.zip ファイルを抽出します。Extract the MDATPClientAnalyzerResult.zip file created by tool in the folder used in the HardDrivePath.

  6. MDATPClientAnalyzerResult.txt を開きます。プロキシ構成手順が実行されて、サーバー検出とサービス URL へのアクセスが有効にされていることを確認します。Open MDATPClientAnalyzerResult.txt and verify that you have performed the proxy configuration steps to enable server discovery and access to the service URLs.

    ツールは、Microsoft Defender ATP クライアントの通信先に構成されている Microsoft Defender ATP サービス URL の接続を確認します。The tool checks the connectivity of Microsoft Defender ATP service URLs that Microsoft Defender ATP client is configured to interact with. その後、Microsoft Defender ATP サービスとの通信に使用される可能性がある URL ごとに、結果を MDATPClientAnalyzerResult.txt ファイルに書き出します。It then prints the results into the MDATPClientAnalyzerResult.txt file for each URL that can potentially be used to communicate with the Microsoft Defender ATP services. 次に、例を示します。For example:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

接続オプションの 1 つから (200) ステータスが返される場合、Microsoft Defender ATP クライアントは、その接続方法を使用して、テスト対象の URL と適切に通信できます。If at least one of the connectivity options returns a (200) status, then the Microsoft Defender ATP client can communicate with the tested URL properly using this connectivity method.

しかし、接続の確認結果がエラーになった場合、HTTP エラーが表示されます (HTTP ステータス コードをご覧ください)。However, if the connectivity check results indicate a failure, an HTTP error is displayed (see HTTP Status Codes). その場合は、「プロキシ サーバーで Microsoft Defender ATP サービス URL へのアクセスを有効にする」の表に示す URL を使用してください。You can then use the URLs in the table shown in Enable access to Microsoft Defender ATP service URLs in the proxy server. 使用する URL は、オンボード作業中に選んだリージョンに応じて決まります。The URLs you'll use will depend on the region selected during the onboarding procedure.

注意

接続アナライザー ツールは ASR ルールと互換性がありません (PSExec コマンドと WMI コマンドから送信されるプロセス作成をブロックする)。The Connectivity Analyzer tool is not compatible with ASR rule Block process creations originating from PSExec and WMI commands. 接続ツールを実行するには、このルールを一時的に無効にする必要があります。You will need to temporarily disable this rule to run the connectivity tool.

注意

レジストリまたはグループ ポリシーで TelemetryProxyServer が設定されると、Microsoft Defender ATP は、定義されたプロキシにアクセスできない場合は、フォールバックします。When the TelemetryProxyServer is set, in Registry or via Group Policy, Microsoft Defender ATP will fall back to direct if it can't access the defined proxy.

関連トピックRelated topics