エンドポイントサービス用の Microsoft Defender への Windows サーバーのオンボードOnboard Windows servers to the Microsoft Defender for Endpoint service

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象Applies to:

  • Windows Server 2008 R2 SP1Windows Server 2008 R2 SP1
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016
  • Windows Server (SAC) バージョン1803以降Windows Server (SAC) version 1803 and later
  • Windows Server 2019 以降Windows Server 2019 and later
  • Windows Server 2019 core editionWindows Server 2019 core edition
  • Microsoft Defender for EndpointMicrosoft Defender for Endpoint

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

エンドポイントの Defender は、Windows Server オペレーティングシステムを含むサポートもサポートします。Defender for Endpoint extends support to also include the Windows Server operating system. このサポートは、Microsoft Defender セキュリティセンターコンソールを通じて、高度な攻撃の検出と調査の機能をシームレスに提供します。This support provides advanced attack detection and investigation capabilities seamlessly through the Microsoft Defender Security Center console.

ライセンスとインフラストラクチャのために何を行う必要があるかについては、「 エンドポイントの Defender で Windows サーバーを保護する」を参照してください。For a practical guidance on what needs to be in place for licensing and infrastructure, see Protecting Windows Servers with Defender for Endpoint.

Windows サーバーの Windows セキュリティベースラインをダウンロードして使用する方法については、「 Windows セキュリティベースライン」を参照してください。For guidance on how to download and use Windows Security Baselines for Windows servers, see Windows Security Baselines.

Windows Server 2008 R2 SP1、Windows Server 2012 R2、および Windows Server 2016Windows Server 2008 R2 SP1, Windows Server 2012 R2, and Windows Server 2016

次のいずれかのオプションを使用して、Windows Server 2008 R2 SP1、Windows Server 2012 R2、windows Server 2016 をエンドポイントの Defender に配布できます。You can onboard Windows Server 2008 R2 SP1, Windows Server 2012 R2, and Windows Server 2016 to Defender for Endpoint by using any of the following options:

提供されているオプションのいずれかを使用して、オンボードの手順を完了したら、 System Center Endpoint Protection クライアントを構成して更新する必要があります。After completing the onboarding steps using any of the provided options, you'll need to Configure and update System Center Endpoint Protection clients.

注意

Defender for Endpoint のスタンドアロンサーバーライセンスが必要なのは、ノードごとに、Microsoft Defender セキュリティセンター (オプション 1) を介して Windows server を準備するため、またはノードあたりの Azure セキュリティセンターの標準ライセンスが必要です。 azure security center (オプション 2) を使用して Windows server を配置するには、「 Azure Security center で利用可能な機能Defender for Endpoint standalone server license is required, per node, in order to onboard a Windows server through Microsoft Defender Security Center (Option 1), or an Azure Security Center Standard license is required, per node, in order to onboard a Windows server through Azure Security Center (Option 2), see Supported features available in Azure Security Center.

オプション 1: Microsoft Monitoring Agent (MMA) をインストールして構成することによってオンボードにするOption 1: Onboard by installing and configuring Microsoft Monitoring Agent (MMA)

エンドポイントの Defender にセンサーデータを報告するには、Windows サーバー用の MMA をインストールして構成する必要があります。You'll need to install and configure MMA for Windows servers to report sensor data to Defender for Endpoint. 詳細については、「 Azure Log Analytics エージェントでログデータを収集する」を参照してください。For more information, see Collect log data with Azure Log Analytics agent.

System Center Operations Manager (SCOM) または Azure モニター (以前は Operations Management Suite (OMS) と呼ばれていました) を既に使用している場合は、Microsoft Monitoring Agent (MMA) を接続して、ユーザーがマルチホームサポートを通じてエンドポイントワークスペースの Defender に報告します。If you're already leveraging System Center Operations Manager (SCOM) or Azure Monitor (formerly known as Operations Management Suite (OMS)), attach the Microsoft Monitoring Agent (MMA) to report to your Defender for Endpoint workspace through Multihoming support.

一般的に、次の手順を実行する必要があります。In general, you'll need to take the following steps:

  1. 始める前 に」で説明されているオンボード要件を満たしていること。Fulfill the onboarding requirements outlined in Before you begin section.
  2. Microsoft Defender セキュリティセンターからサーバーの監視を有効にします。Turn on server monitoring from Microsoft Defender Security center.
  3. エンドポイントの Defender にセンサーデータを報告するために、サーバー用に MMA をインストールして構成します。Install and configure MMA for the server to report sensor data to Defender for Endpoint.
  4. System Center Endpoint Protection クライアントの構成と更新を行います。Configure and update System Center Endpoint Protection clients.

ヒント

デバイスをオンにした後で、検出テストを実行して、サービスに正しく onboarded していることを確認できます。After onboarding the device, you can choose to run a detection test to verify that it is properly onboarded to the service. 詳細については、「 新しい Onboarded Defender でエンドポイントのエンドポイントに対して検出テストを実行する」を参照してください。For more information, see Run a detection test on a newly onboarded Defender for Endpoint endpoint.

始める前にBefore you begin

次の手順を実行して、オンボードの要件を満たす必要があります。Perform the following steps to fulfill the onboarding requirements:

Microsoft Monitoring Agent (MMA) をインストールして構成し、エンドポイントの Microsoft Defender にセンサーデータを報告します。Install and configure Microsoft Monitoring Agent (MMA) to report sensor data to Microsoft Defender for Endpoint

  1. エージェント セットアップ ファイル (Windows 64 ビット エージェント) をダウンロードします。Download the agent setup file: Windows 64-bit agent.

  2. 前の手順で取得したワークスペース ID とワークスペースキーを使用して、次のいずれかのインストール方法を選択して、Windows サーバーにエージェントをインストールします。Using the Workspace ID and Workspace key obtained in the previous procedure, choose any of the following installation methods to install the agent on the Windows server:

必要に応じて、Windows サーバープロキシとインターネット接続の設定を構成するConfigure Windows server proxy and Internet connectivity settings if needed

エンドポイントの Defender と通信するためにプロキシを使用する必要があるサーバーの場合は、次のいずれかの方法を使用して、プロキシサーバーを使用するように MMA を構成します。If your servers need to use a proxy to communicate with Defender for Endpoint, use one of the following methods to configure the MMA to use the proxy server:

プロキシまたはファイアウォールを使用している場合は、サーバーがすべての Microsoft Defender ATP サービス Url に直接アクセスし、SSL 傍受を行わないようにする必要があります。If a proxy or firewall is in use, please ensure that servers can access all of the Microsoft Defender ATP service URLs directly and without SSL interception. 詳細については、「 エンドポイントサービス url に対して Defender へのアクセスを有効にする」を参照してください。For more information, see enable access to Defender for Endpoint service URLs. SSL 傍受の使用により、システムはエンドポイントサービスの Defender と通信できなくなります。Use of SSL interception will prevent the system from communicating with the Defender for Endpoint service.

処理が完了すると、ポータルの onboarded の Windows サーバーが1時間以内に表示されます。Once completed, you should see onboarded Windows servers in the portal within an hour.

オプション 2: Azure セキュリティセンターを介して Windows サーバーをオンボードにするOption 2: Onboard Windows servers through Azure Security Center

  1. Microsoft Defender セキュリティセンターのナビゲーションウィンドウで、[設定]、[ > デバイス管理の > オンボード] の順番に選びます。In the Microsoft Defender Security Center navigation pane, select Settings > Device management > Onboarding.

  2. オペレーティングシステムとして Windows Server 2008 R2 SP1、2012 R2、2016 を選択します。Select Windows Server 2008 R2 SP1, 2012 R2 and 2016 as the operating system.

  3. [ Azure Security Center でオンボードサーバー] をクリックします。Click Onboard Servers in Azure Security Center.

  4. Azure セキュリティセンターでエンドポイント用の Microsoft Defender」のオンボード手順に従います。Follow the onboarding instructions in Microsoft Defender for Endpoint with Azure Security Center.

オンボードの手順を完了したら、 System Center Endpoint Protection クライアントを構成して更新する必要があります。After completing the onboarding steps, you'll need to Configure and update System Center Endpoint Protection clients.

注意

  • サーバー (以前の Azure Security Center Standard Edition) の Azure Defender 経由のオンボードについては、Microsoft Monitoring Agent (MMA) 設定内で適切なワークスペースとキーが構成されている必要があります。For onboarding via Azure Defender for Servers (previously Azure Security Center Standard Edition) to work as expected, the server must have an appropriate workspace and key configured within the Microsoft Monitoring Agent (MMA) settings.
  • 構成が完了すると、適切なクラウド管理パックがコンピューターに展開され、センサープロセス (MsSenseS.exe) が展開されて開始されます。Once configured, the appropriate cloud management pack is deployed on the machine and the sensor process (MsSenseS.exe) will be deployed and started.
  • これは、サーバーがプロキシとして OMS ゲートウェイサーバーを使用するように構成されている場合にも必要です。This is also required if the server is configured to use an OMS Gateway server as proxy.

オプション 3: Microsoft Endpoint Configuration Manager バージョン2002以降を経由した Windows サーバーのオンボードOption 3: Onboard Windows servers through Microsoft Endpoint Configuration Manager version 2002 and later

Microsoft Endpoint Configuration Manager バージョン2002以降を使用して、Windows Server 2012 R2 および Windows Server 2016 をオンボードにすることができます。You can onboard Windows Server 2012 R2 and Windows Server 2016 by using Microsoft Endpoint Configuration Manager version 2002 and later. 詳細については、「 Microsoft Endpoint Configuration Manager の現在のブランチの Microsoft Defender For endpoint」を参照してください。For more information, see Microsoft Defender for Endpoint in Microsoft Endpoint Configuration Manager current branch.

オンボードの手順を完了したら、 System Center Endpoint Protection クライアントを構成して更新する必要があります。After completing the onboarding steps, you'll need to Configure and update System Center Endpoint Protection clients.

Windows Server (SAC) バージョン1803、Windows Server 2019、および Windows Server 2019 Core editionWindows Server (SAC) version 1803, Windows Server 2019, and Windows Server 2019 Core edition

Windows Server (SAC) バージョン1803、Windows Server 2019、または Windows Server 2019 Core edition は、次の展開方法を使用して実行できます。You can onboard Windows Server (SAC) version 1803, Windows Server 2019, or Windows Server 2019 Core edition by using the following deployment methods:

注意

  • Windows Server 2019 のオンボードパッケージでは、Microsoft Endpoint Configuration Manager によって現在スクリプトが出荷されています。The Onboarding package for Windows Server 2019 through Microsoft Endpoint Configuration Manager currently ships a script. Configuration Manager でスクリプトを展開する方法について詳しくは、「 Configuration manager のパッケージとプログラム」をご覧ください。For more information on how to deploy scripts in Configuration Manager, see Packages and programs in Configuration Manager.
  • ローカルスクリプトは概念の証明に適していますが、運用展開には使用しないでください。A local script is suitable for a proof of concept but should not be used for production deployment. 運用展開の場合、グループポリシー、Microsoft Endpoint Configuration Manager、または Intune を使用することをお勧めします。For a production deployment, we recommend using Group Policy, Microsoft Endpoint Configuration Manager, or Intune.

Windows Server のサポートにより、サーバーのアクティビティの詳細が把握され、カーネルとメモリの攻撃検知の範囲が広がり、応答アクションが有効になります。Support for Windows Server provides deeper insight into server activities, coverage for kernel and memory attack detection, and enables response actions.

  1. Windows server でエンドポイントのオンボード設定の Defender を構成します。Configure Defender for Endpoint onboarding settings on the Windows server. 詳細については、「 オンボード Windows 10 デバイス」を参照してください。For more information, see Onboard Windows 10 devices.

  2. サードパーティのマルウェア対策ソリューションを実行している場合は、次の Microsoft Defender AV 受動モードの設定を適用する必要があります。If you're running a third-party antimalware solution, you'll need to apply the following Microsoft Defender AV passive mode settings. 正しく構成されていることを確認します。Verify that it was configured correctly:

    1. 次のレジストリエントリを設定します。Set the following registry entry:

      • 送りPath: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
      • Name: Forcedefenderの VemodeName: ForceDefenderPassiveMode
      • 「REG_DWORD」と入力します。Type: REG_DWORD
      • 値: 1Value: 1
    2. 次の PowerShell コマンドを実行して、パッシブモードが構成されていることを確認します。Run the following PowerShell command to verify that the passive mode was configured:

      Get-WinEvent -FilterHashtable @{ProviderName="Microsoft-Windows-Sense" ;ID=84}
      
    3. 次のように、パッシブモードのイベントを含む最近のイベントが検出されたことを確認します。Confirm that a recent event containing the passive mode event is found:

      受動モードの確認結果の画像

  3. Microsoft Defender AV がインストールされているかどうかを確認するには、次のコマンドを実行します。Run the following command to check if Microsoft Defender AV is installed:

    sc.exe query Windefend

    "指定されたサービスがインストールされたサービスとして存在しません" という結果が表示された場合は、Microsoft Defender AV をインストールする必要があります。If the result is 'The specified service does not exist as an installed service', then you'll need to install Microsoft Defender AV. 詳細については、「 Windows 10 の Microsoft Defender ウイルス対策」を参照してください。For more information, see Microsoft Defender Antivirus in Windows 10.

    グループポリシーを使用して、Windows サーバーで Microsoft Defender ウイルス対策を構成および管理する方法については、「 グループポリシー設定を使用して Microsoft Defender ウイルス対策を構成および管理する」を参照してください。For information on how to use Group Policy to configure and manage Microsoft Defender Antivirus on your Windows servers, see Use Group Policy settings to configure and manage Microsoft Defender Antivirus.

Azure Security Center との統合Integration with Azure Security Center

エンドポイント用の Defender は、包括的な Windows server protection ソリューションを提供するために、Azure Security Center と統合することができます。Defender for Endpoint can integrate with Azure Security Center to provide a comprehensive Windows server protection solution. この統合により、Azure Security Center はエンドポイント用の Defender のパワーを活用して、Windows サーバーの脅威検出を改善することができます。With this integration, Azure Security Center can leverage the power of Defender for Endpoint to provide improved threat detection for Windows Servers.

この統合には、次の機能が含まれています。The following capabilities are included in this integration:

  • 自動オンボード-Defender エンドポイントセンサー用の Defender は、Azure Security Center に onboarded されている Windows サーバーで自動的に有効になります。Automated onboarding - Defender for Endpoint sensor is automatically enabled on Windows Servers that are onboarded to Azure Security Center. Azure セキュリティセンターのオンボードの詳細については、「 Azure Security Center Standard のオンボード」を参照してください。For more information on Azure Security Center onboarding, see Onboarding to Azure Security Center Standard for enhanced security.

    注意

    自動オンボードは、Windows Server 2008 R2 SP1、Windows Server 2012 R2、および Windows Server 2016 にのみ適用されます。Automated onboarding is only applicable for Windows Server 2008 R2 SP1, Windows Server 2012 R2, and Windows Server 2016.

  • Azure セキュリティセンターで監視された Windows サーバーは、エンドポイントの Defender でも利用できます。 Azure セキュリティセンターは、エンドポイントテナントの Defender にシームレスに接続し、クライアントとサーバーの間に1つのビューを提供します。Windows servers monitored by Azure Security Center will also be available in Defender for Endpoint - Azure Security Center seamlessly connects to the Defender for Endpoint tenant, providing a single view across clients and servers. さらに、エンドポイント警告の Defender は、Azure Security Center コンソールでも利用できるようになっています。In addition, Defender for Endpoint alerts will be available in the Azure Security Center console.

  • サーバーの調査: Azure Security Center のお客様は、Microsoft Defender セキュリティセンターにアクセスして、潜在的なブリーチの範囲を明らかにする詳細な調査を行うことができます。Server investigation - Azure Security Center customers can access Microsoft Defender Security Center to perform detailed investigation to uncover the scope of a potential breach.

重要

  • Azure Security Center を使用してサーバーを監視すると、エンドポイントテナントの Defender が自動的に作成されます (米国のユーザーの場合は、欧州連合および英国ユーザー向けの EU の場合)。When you use Azure Security Center to monitor servers, a Defender for Endpoint tenant is automatically created (in the US for US users, in the EU for European and UK users).
    エンドポイント用に Defender によって収集されるデータは、プロビジョニング中に識別される、テナントの地理的な場所に格納されます。Data collected by Defender for Endpoint is stored in the geo-location of the tenant as identified during provisioning.
  • エンドポイントとして Defender を使って Azure Security Center を使用する場合は、後で Azure Security Center と統合しても、テナントの作成時に指定した場所にデータが格納されます。If you use Defender for Endpoint before using Azure Security Center, your data will be stored in the location you specified when you created your tenant even if you integrate with Azure Security Center at a later time.
  • いったん構成すると、データの保管場所を変更することはできません。Once configured, you cannot change the location where your data is stored. データを別の場所に移動する必要がある場合は、Microsoft サポートに問い合わせて、テナントをリセットする必要があります。If you need to move your data to another location, you need to contact Microsoft Support to reset the tenant.
    この統合を利用するサーバーのエンドポイントの監視は、Office 365 GCC のお客様に対して無効にされています。Server endpoint monitoring utilizing this integration has been disabled for Office 365 GCC customers.

System Center Endpoint Protection クライアントを構成して更新するConfigure and update System Center Endpoint Protection clients

エンドポイントの Defender は、System Center Endpoint Protection と統合されています。Defender for Endpoint integrates with System Center Endpoint Protection. この統合により、マルウェアの検出が表示され、悪意のある可能性があるファイルやマルウェアの疑いがある場合に、組織内の攻撃の蔓延を阻止することができます。The integration provides visibility to malware detections and to stop propagation of an attack in your organization by banning potentially malicious files or suspected malware.

この統合を有効にするには、次の手順を実行する必要があります。The following steps are required to enable this integration:

Offboard Windows サーバーOffboard Windows servers

Windows 10 クライアントデバイスで利用可能なのと同じ方法で、削除 Windows Server (SAC)、windows server 2019、windows server 2019 Core edition を使用できます。You can offboard Windows Server (SAC), Windows Server 2019, and Windows Server 2019 Core edition in the same method available for Windows 10 client devices.

その他の Windows server バージョンについては、サービスからオフボードの Windows サーバーへの2つのオプションがあります。For other Windows server versions, you have two options to offboard Windows servers from the service:

  • MMA エージェントをアンインストールするUninstall the MMA agent
  • エンドポイントワークスペース構成の Defender を削除するRemove the Defender for Endpoint workspace configuration

注意

オフボードにすると、Windows server はダッシュボードデータのポータルへの送信を停止しますが、それまでのアラートの参照も含めて、最大6か月間保持されます。Offboarding causes the Windows server to stop sending sensor data to the portal but data from the Windows server, including reference to any alerts it has had will be retained for up to 6 months.

MMA エージェントをアンインストールして Windows サーバーをアンインストールするUninstall Windows servers by uninstalling the MMA agent

Windows server をオフボードにインストールするには、Windows サーバーから MMA エージェントをアンインストールするか、またはエンドポイントワークスペースの Defender に報告から解除します。To offboard the Windows server, you can uninstall the MMA agent from the Windows server or detach it from reporting to your Defender for Endpoint workspace. エージェントをオフボードにした後、Windows server はエンドポイントの Defender にセンサーデータを送信しなくなります。After offboarding the agent, the Windows server will no longer send sensor data to Defender for Endpoint. 詳しくは、「エージェントを無効にするには」をご覧ください。For more information, see To disable an agent.

エンドポイントワークスペース構成の Defender を削除するRemove the Defender for Endpoint workspace configuration

Windows server をオフボードにするには、次のいずれかの方法を使用できます。To offboard the Windows server, you can use either of the following methods:

  • MMA エージェントからエンドポイントワークスペース構成の Defender を削除するRemove the Defender for Endpoint workspace configuration from the MMA agent
  • PowerShell コマンドを実行して構成を削除するRun a PowerShell command to remove the configuration

MMA エージェントからエンドポイントワークスペース構成の Defender を削除するRemove the Defender for Endpoint workspace configuration from the MMA agent

  1. Microsoft Monitoring Agent のプロパティで、[ Azure LOG Analytics (OMS) ] タブを選択します。In the Microsoft Monitoring Agent Properties, select the Azure Log Analytics (OMS) tab.

  2. [エンドポイントの Defender] ワークスペースを選択し、[ 削除] をクリックします。Select the Defender for Endpoint workspace, and click Remove.

    Microsoft Monitoring Agent のプロパティの画像

PowerShell コマンドを実行して構成を削除するRun a PowerShell command to remove the configuration

  1. ワークスペース ID を取得する:Get your Workspace ID:

    1. ナビゲーションウィンドウで、[設定] オンボードを選択し > Onboardingます。In the navigation pane, select Settings > Onboarding.

    2. オペレーティングシステムとして Windows Server 2008 R2 SP1、2012 R2、2016 を選択して、ワークスペース ID を取得します。Select Windows Server 2008 R2 SP1, 2012 R2 and 2016 as the operating system and get your Workspace ID:

      Windows server オンボードの画像

  2. 管理者特権の PowerShell を開いて、次のコマンドを実行します。Open an elevated PowerShell and run the following command. 取得して置換したワークスペース ID を使用し WorkspaceID ます。Use the Workspace ID you obtained and replacing WorkspaceID:

    $ErrorActionPreference = "SilentlyContinue"
    # Load agent scripting object
    $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
    # Remove OMS Workspace
    $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
    # Reload the configuration and apply changes
    $AgentCfg.ReloadConfiguration()
    
    

関連トピックRelated topics