エンドポイントの展開用に Microsoft Defender を設定するSet up Microsoft Defender for Endpoint deployment

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

エンドポイントのための Defender の展開は、3段階のプロセスです。Deploying Defender for Endpoint is a three-phase process:


Prepare to deploy Microsoft Defender for Endpoint
フェーズ 1: 準備Phase 1: Prepare

Onboard to the Microsoft Defender for Endpoint service
フェーズ 2: セットアップPhase 2: Set up

Onboard image
フェーズ 3: オンボードPhase 3: Onboard

現在、設定フェーズに登録されています。You are currently in the set-up phase.

この展開シナリオでは、次の手順を実行します。In this deployment scenario, you'll be guided through the steps on:

  • ライセンスの検証Licensing validation
  • テナントの構成Tenant configuration
  • ネットワーク構成Network configuration

注意

このシナリオでは、一般的な展開について説明するために、Microsoft Endpoint Configuration Manager の使用のみについて説明します。For the purpose of guiding you through a typical deployment, this scenario will only cover the use of Microsoft Endpoint Configuration Manager. エンドポイントの Defender は、他のオンボードツールの使用をサポートしていますが、展開ガイドでこれらのシナリオについては説明していません。Defender for Endpoint supports the use of other onboarding tools but will not cover those scenarios in the deployment guide. 詳細については、「 Microsoft Defender For Endpoint のオンボードデバイス」を参照してください。For more information, see Onboard devices to Microsoft Defender for Endpoint.

ライセンスの状態を確認するCheck license state

ライセンスの状態を確認し、適切にプロビジョニングされているかどうかを確認するには、管理センターまたは Microsoft Azure ポータルを通じて行うことができます。Checking for the license state and whether it got properly provisioned, can be done through the admin center or through the Microsoft Azure portal.

  1. ライセンスを表示するには、 Microsoft azure ポータル に移動し、 [microsoft azure ポータルライセンス] セクションに移動します。To view your licenses, go to the Microsoft Azure portal and navigate to the Microsoft Azure portal license section.

    Azure の [ライセンス] ページの画像

  2. または、管理センターで、[課金のサブスクリプション] に移動 > Subscriptionsします。Alternately, in the admin center, navigate to Billing > Subscriptions.

    画面には、プロビジョニング済みのすべてのライセンスとその現在の 状態が表示されます。On the screen, you will see all the provisioned licenses and their current Status.

    ライセンスの課金の画像

クラウド サービス プロバイダーを検証するCloud Service Provider validation

会社にプロビジョニングされているライセンスへのアクセスを取得し、ライセンスの状態を確認するには、管理センターに移動します。To gain access into which licenses are provisioned to your company, and to check the state of the licenses, go to the admin center.

  1. パートナーポータルで、 Office 365 > [サービスの管理] を選びます。From the Partner portal, select Administer services > Office 365.

  2. パートナーポータルのリンクをクリックすると、 [代理人] オプションが開き、顧客管理センターへのアクセスが許可されます。Clicking on the Partner portal link will open the Admin on behalf option and will give you access to the customer admin center.

    O365 管理ポータルの画像

テナントの構成Tenant Configuration

Microsoft Defender Security Center に初めてアクセスするときに、いくつかの初期手順に従ってウィザードを実行します。When accessing Microsoft Defender Security Center for the first time, a wizard that will guide you through some initial steps. セットアップウィザードが終了すると、エンドポイント用の専用クラウドインスタンスが作成されます。At the end of the setup wizard, there will be a dedicated cloud instance of Defender for Endpoint created. 最も簡単な方法は、Windows 10 クライアントデバイスから次の手順を実行することです。The easiest method is to perform these steps from a Windows 10 client device.

  1. Web ブラウザーから、に移動 https://securitycenter.windows.com します。From a web browser, navigate to https://securitycenter.windows.com.

    エンドポイント用 Microsoft Defender のアクセス許可を設定するための画像

  2. 試用版のライセンスを確認する場合は、リンク () にアクセスしてください https://signup.microsoft.com/Signup?OfferId=6033e4b5-c320-4008-a936-909c2825d83c&dl=WIN_DEF_ATP&pc=xxxxxxx-xxxxxx-xxx-xIf going through a TRIAL license, go to the link (https://signup.microsoft.com/Signup?OfferId=6033e4b5-c320-4008-a936-909c2825d83c&dl=WIN_DEF_ATP&pc=xxxxxxx-xxxxxx-xxx-x)

    承認手順が完了したら、[ようこそ] 画面が表示されます。Once the authorization step is completed, the Welcome screen will be displayed.

  3. 承認の手順を実行します。Go through the authorization steps.

    ポータルでのセットアップの [ようこそ] 画面の画像

  4. ユーザー設定を行います。Set up preferences.

    データの保存場所 -適切に設定することが重要です。Data storage location - It's important to set this up correctly. 主にホストされる顧客の場所を特定します (米国、EU、または英国)。Determine where the customer wants to be primarily hosted: US, EU, or UK. この設定の後で場所を変更することはできません。 Microsoft は、指定された位置情報からデータを転送しません。You cannot change the location after this set up and Microsoft will not transfer the data from the specified geolocation.

    データの保持 -既定値は6か月です。Data retention - The default is six months.

    プレビュー機能を有効 にします。既定では [オン] になっていますが、後で変更することができます。Enable preview features - The default is on, can be changed later.

    セットアップでの地域の画像

  5. [次へ] を選択します。Select Next.

    最終的な基本設定のセットアップの画像

  6. [続行] を選びます。Select Continue.

ネットワーク構成Network configuration

組織でプロキシを使ってインターネットにアクセスする必要がない場合は、このセクションをスキップしてください。If the organization does not require the endpoints to use a Proxy to access the Internet, skip this section.

エンドポイントの Microsoft Defender センサーは、センサーデータの報告とエンドポイントサービスの Microsoft Defender との通信を行うために Microsoft Windows HTTP (WinHTTP) を必要とします。The Microsoft Defender for Endpoint sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Microsoft Defender for Endpoint service. 埋め込まれた Microsoft Defender のエンドポイントセンサーは、LocalSystem アカウントを使ってシステムコンテキストで実行されます。The embedded Microsoft Defender for Endpoint sensor runs in the system context using the LocalSystem account. センサーは Microsoft Windows HTTP サービス (WinHTTP) を使用して、エンドポイントクラウドサービスの Microsoft Defender との通信を有効にします。The sensor uses Microsoft Windows HTTP Services (WinHTTP) to enable communication with the Microsoft Defender for Endpoint cloud service. WinHTTP 構成設定は、Windows Internet (WinINet) インターネット閲覧プロキシ設定とは別のもので、次の検出方法を使用することによってのみ、プロキシ サーバーを検出できます。The WinHTTP configuration setting is independent of the Windows Internet (WinINet) internet browsing proxy settings and can only discover a proxy server by using the following discovery methods:

Autodiscovery メソッド:Autodiscovery methods:

  • 透過プロキシTransparent proxy

  • Web プロキシ自動検出プロトコル (WPAD)Web Proxy Autodiscovery Protocol (WPAD)

ネットワークトポロジに透過プロキシまたは WPAD が実装されている場合は、特別な構成設定は必要ありません。If a Transparent proxy or WPAD has been implemented in the network topology, there is no need for special configuration settings. プロキシでのエンドポイント URL の除外に関する Microsoft Defender の詳細については、このドキュメントの「許可リストまたは Microsoft ドキュメントの付録」セクションを参照してください。For more information on Microsoft Defender for Endpoint URL exclusions in the proxy, see the Appendix section in this document for the URLs allow list or on Microsoft Docs.

注意

許可する必要がある Url の詳細な一覧については、 この記事を参照してください。For a detailed list of URLs that need to be allowed, please see this article.

手動による静的プロキシ構成:Manual static proxy configuration:

  • レジストリベースの構成Registry-based configuration

  • netsh コマンドを使用して構成された WinHTTPWinHTTP configured using netsh command
    安定したトポロジのデスクトップのみに適しています (たとえば、同じプロキシの企業ネットワークのデスクトップの場合)。Suitable only for desktops in a stable topology (for example: a desktop in a corporate network behind the same proxy)

レジストリ ベースの静的プロキシを使用した手動でのプロキシ サーバーの構成Configure the proxy server manually using a registry-based static proxy

コンピューターにインターネットへの接続が許可されていない場合は、エンドポイントセンサーで診断データの報告と Microsoft Defender との通信を行うことができるように、レジストリベースの静的プロキシを構成します。Configure a registry-based static proxy to allow only Microsoft Defender for Endpoint sensor to report diagnostic data and communicate with Microsoft Defender for Endpoint services if a computer is not permitted to connect to the Internet. 静的プロキシは、グループ ポリシーを (GP) 利用して構成します。The static proxy is configurable through Group Policy (GP). このグループ ポリシーの場所は次のとおりです。The group policy can be found under:

  • 管理用テンプレート \ > Windows コンポーネント \ > データの収集とプレビュービルド > 接続されているユーザーエクスペリエンスとテレメトリサービスの認証済みプロキシの使用を構成するAdministrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service
    • 有効に設定して、「認証されたプロキシ使用を無効にする」を選択します。Set it to Enabled and select Disable Authenticated Proxy usage
  1. グループ ポリシー管理コンソールを開きます。Open the Group Policy Management Console.

  2. 組織の慣行に基づいてポリシーを作成するか、既存のポリシーを編集します。Create a policy or edit an existing policy based off the organizational practices.

  3. グループポリシーを編集し、[ 管理用テンプレート] に移動します。 \ > Windows コンポーネント \ > データの収集と > プレビューは、接続されているユーザーエクスペリエンスと利用統計情報サービスの認証済みプロキシの使用を構成します。Edit the Group Policy and navigate to Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service. グループポリシー構成の画像

  4. [有効] を選択します。Select Enabled.

  5. [ 認証済みプロキシの使用を無効にする] を選択します。Select Disable Authenticated Proxy usage.

  6. [管理用テンプレート] に移動します。 \ > Windows コンポーネント \ > データ収集とプレビュービルド >、接続されているユーザーエクスペリエンスとテレメトリを構成します。Navigate to Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry. グループポリシー構成の設定の画像

  7. [有効] を選択します。Select Enabled.

  8. プロキシサーバー名を入力します。Enter the Proxy Server Name.

このポリシーは、レジストリ キー HKLM\Software\Policies\Microsoft\Windows\DataCollection の下にあるレジストリ値 TelemetryProxyServer を REG_SZ として、DisableEnterpriseAuthProxy を REG_DWORD として設定します。The policy sets two registry values TelemetryProxyServer as REG_SZ and DisableEnterpriseAuthProxy as REG_DWORD under the registry key HKLM\Software\Policies\Microsoft\Windows\DataCollection.

レジストリ値 TelemetryProxyServer は、次のような形式の文字列で指定します。The registry value TelemetryProxyServer takes the following string format:

<server name or ip>:<port>

たとえば、10.0.0.6:8080 です。For example: 10.0.0.6:8080

レジストリ値 DisableEnterpriseAuthProxy は 1 に設定する必要があります。The registry value DisableEnterpriseAuthProxy should be set to 1.

netsh コマンドを使用した手動でのプロキシ サーバーの構成Configure the proxy server manually using netsh command

netsh を使用して、システム全体の静的プロキシを構成します。Use netsh to configure a system-wide static proxy.

注意

  • この構成は、既定のプロキシで WinHTTP を使用する Windows サービスを含む、すべてのアプリケーションに影響します。This will affect all applications including Windows services which use WinHTTP with default proxy.
  • ノート PC のトポロジが変更されている場合 (オフィスから自宅など)、netsh は誤動作します。Laptops that are changing topology (for example: from office to home) will malfunction with netsh. レジストリ ベースの静的なプロキシの構成を使用します。Use the registry-based static proxy configuration.
  1. 管理者特権のコマンドラインを開きます。Open an elevated command line:

    1. [スタート] に移動し、「cmd」と入力します。Go to Start and type cmd.

    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。Right-click Command prompt and select Run as administrator.

  2. 次のコマンドを入力して、Enter キーを押します。Enter the following command and press Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    例: netsh winhttp set proxy 10.0.0.6:8080For example: netsh winhttp set proxy 10.0.0.6:8080

下位レベルのデバイスのプロキシ構成Proxy Configuration for down-level devices

Down-Level デバイスには、windows server 2008 R2、windows server 2012、Windows Server 2012 R2、windows server 2016 よりも前のバージョンの Windows Server 1803 8.1 が含まれます。Down-Level devices include Windows 7 SP1 and Windows 8.1 workstations as well as Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and versions of Windows Server 2016 prior to Windows Server CB 1803. これらのオペレーティングシステムには、エンドポイントから Azure への通信を処理するために、Microsoft Management Agent の一部としてプロキシが構成されています。These operating systems will have the proxy configured as part of the Microsoft Management Agent to handle communication from the endpoint to Azure. これらのデバイスでプロキシを構成する方法については、Microsoft Management Agent Fast Deployment Guide を参照してください。Refer to the Microsoft Management Agent Fast Deployment Guide for information on how a proxy is configured on these devices.

プロキシサービス UrlProxy Service URLs

V20 が含まれている Url は、Windows 10、バージョン1803、またはそれ以降のデバイスを使用している場合にのみ必要です。URLs that include v20 in them are only needed if you have Windows 10, version 1803 or later devices. たとえば、 us-v20.events.data.microsoft.com デバイスが Windows 10 バージョン1803以降にインストールされている場合にのみ必要です。For example, us-v20.events.data.microsoft.com is only needed if the device is on Windows 10, version 1803 or later.

プロキシまたはファイアウォールによって匿名トラフィックがブロックされている場合、エンドポイントセンサーの Microsoft Defender がシステムコンテキストから接続しているため、リストされている Url で匿名トラフィックが許可されていることを確認してください。If a proxy or firewall is blocking anonymous traffic, as Microsoft Defender for Endpoint sensor is connecting from system context, make sure anonymous traffic is permitted in the listed URLs.

次のダウンロード可能なスプレッドシートでは、使用しているネットワークからの接続が必要なサービスとそれに関連する URL を示します。The following downloadable spreadsheet lists the services and their associated URLs that your network must be able to connect to. これらの Url へのアクセスを拒否するファイアウォールまたはネットワークフィルタリングルールがないことを確認するか、専用の 許可 ルールを作成することが必要な場合があります。Ensure that there are no firewall or network filtering rules that would deny access to these URLs, or you may need to create an allow rule specifically for them.

ドメインリストのスプレッドシートSpreadsheet of domains list 説明Description
Microsoft Defender for Endpoint の URL スプレッドシートのサムネイル画像
スプレッドシートは、サービスの場所、地理的な場所、OS の特定の DNS レコードを提供します。Spreadsheet of specific DNS records for service locations, geographic locations, and OS.

スプレッドシートをダウンロードします。Download the spreadsheet here.

エンドポイントサービスのバックエンド IP 範囲の Microsoft DefenderMicrosoft Defender for Endpoint service backend IP range

ネットワークデバイスが、前のセクションに記載されている Url をサポートしていない場合は、次の情報を使うことができます。If you network devices don't support the URLs listed in the prior section, you can use the following information.

エンドポイントの Defender は、次の地域に展開された Azure cloud 上に構築されています。Defender for Endpoint is built on Azure cloud, deployed in the following regions:

  • +<Region Name="uswestcentral">
  • +<Region Name="useast2">
  • +<Region Name="useast">
  • +<Region Name="europenorth">
  • +<Region Name="europewest">
  • +<Region Name="uksouth">
  • +<Region Name="ukwest">

Azure IP 範囲は Microsoft Azure データセンター IP 範囲に関するページで確認できます。You can find the Azure IP range on Microsoft Azure Datacenter IP Ranges.

注意

クラウドベースのソリューションとしては、IP アドレスの範囲が変更される可能性があります。As a cloud-based solution, the IP address range can change. DNS 解決の設定に移動することをお勧めします。It's recommended you move to DNS resolving setting.

次のステップNext step

フェーズ 3: オンボード
フェーズ 3: オンボードPhase 3: Onboard
エンドポイントサービスに対してオンボードデバイスを使って、エンドポイントサービスからセンサーデータを取得できるようにします。Onboard devices to the service so that the Microsoft Defender for Endpoint service can get sensor data from them.