グループ ポリシーを使用してデバイスをオンボードする

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

注:

グループ ポリシー (GP) 更新プログラムを使用してパッケージを展開するには、Windows Server 2008 R2 以降を使用している必要があります。

Windows Server 2019 および Windows Server 2022 の場合、NT AUTHORITY\Well-Known-System-Account を、グループ ポリシー基本設定で作成する XML ファイルの NT AUTHORITY\SYSTEM に置き換える必要がある場合があります。

注:

Windows Server 2012 R2 および 2016 用の新しい統合Microsoft Defender for Endpoint ソリューションを使用している場合は、中央ストアの最新の ADMX ファイルを使用して、正しいMicrosoft Defender for Endpoint ポリシー オプションにアクセスできることを確認してください。 「Windows で管理用の中央ストアを作成および管理する方法グループ ポリシーWindows 10で使用する最新のファイルをダウンロードする方法」を参照してください。

Defender for Endpoint の展開のさまざまなパスを確認するには、「 Defender for Endpoint アーキテクチャとデプロイ方法を識別 する」を参照してください。

  1. サービス オンボード ウィザードからダウンロードした GP 構成パッケージ ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。 Microsoft Defender ポータルからパッケージを取得することもできます。

    1. ナビゲーション ウィンドウで、[設定エンドポイント>] [デバイス管理>のオンボード]> の順に選択します。

    2. オペレーティング システムを選択します。

    3. [ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。

    4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

  2. デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy という名前のフォルダーとファイル WindowsDefenderATPOnboardingScript.cmdが必要です。

  3. 新しい GPO を作成するには、グループ ポリシー管理コンソール (GPMC) を開き、構成するオブジェクトグループ ポリシー右クリックし、[新規作成] をクリックします。 表示されるダイアログ ボックスに新しい GPO の名前を入力し、[OK] をクリックします。

  4. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。

  5. [グループ ポリシー管理エディター] で、[コンピューター構成] に移動します。そして [ユーザー設定] をし、[コントロール パネルの設定] を行ないます。

  6. [スケジュールされたタスク] を右クリックします。[新規作成] をポイントし、[イミディエイト タスク] (Windows 7 以上) をクリックします。

  7. [タスク] ウィンドウが開いたら、[一般] タブに移動します。[セキュリティ オプション] で、[ユーザーまたはグループを変更] をクリックし、「SYSTEM」と入力します。[名前を確認] をクリックし、[OK] をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。

  8. [ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。

  9. [名前] フィールドに、スケジュールされたタスクの適切な名前 (たとえば Defender for Endpoint Deployment など) を入力します。

  10. [アクション] タブに移動し、[新規作成] を選択し、[プログラムの開始][アクション] フィールドで選択されていることを確認します。 共有WindowsDefenderATPOnboardingScript.cmdファイルのファイル サーバーの完全修飾ドメイン名 (FQDN) を使用して、UNC パスを入力します。

  11. [OK] を選択し、開いている GPMC ウィンドウをすべて閉じます。

  12. GPO を組織単位 (OU) にリンクするには、右クリックして 既存の [GPO をリンク] を選択します。 表示されるダイアログ ボックスで、リンクする グループ ポリシー オブジェクトを選択します。 [OK] をクリックします。

ヒント

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「 新しくオンボードされた Defender for Endpoint デバイスで検出テストを実行する」を参照してください。

Defender for Endpoint の追加構成設定

各デバイスについて、詳細な分析のためにファイルを送信するためにMicrosoft Defender XDRを介して要求が行われたときに、デバイスからサンプルを収集できるかどうかを示すことができます。

グループ ポリシー (GP) を使用して、ディープ分析機能で使用されるサンプル共有の設定などの設定を構成できます。

サンプル コレクション設定を構成する

  1. GP 管理デバイスで、構成パッケージから次のファイルをコピーします。

    • AtpConfiguration.admxC:\Windows\PolicyDefinitions にコピーする

    • AtpConfiguration.admlC:\Windows\PolicyDefinitions\en-US にコピーする

    グループ ポリシー管理用テンプレートに中央ストアを使用している場合は、構成パッケージから次のファイルをコピーします。

    • AtpConfiguration.admx\\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions にコピーします

    • AtpConfiguration.admlを \\<forest.root>\SysVol\<forest.root>\Policies\PolicyDefinitions\en-US にコピーします

  2. グループ ポリシー管理コンソールを開き、構成する GPO を右クリックし、[編集] をクリックします。

  3. [グループ ポリシー管理] エディターで、[コンピューターの構成] に移動します。

  4. [ ポリシー]、[ 管理用テンプレート] の順にクリックします

  5. [Windows コンポーネント] をクリックし、[ATP] をWindows Defenderします。

  6. デバイスからのサンプル共有を有効または無効にすることを選択します。

注:

値を設定しない場合、既定値はサンプル コレクションを有効にすることです。

エンドポイント保護の構成を更新する

オンボード スクリプトを構成したら、引き続き同じグループ ポリシーを編集して、エンドポイント保護の構成を追加します。 Windows 10または Server 2019、Windows 11、または Windows Server 2022 を実行しているシステムからグループ ポリシーの編集を実行して、必要なMicrosoft Defenderウイルス対策機能をすべて備えています。 Defender ATP 構成設定を登録するには、グループ ポリシー オブジェクトを閉じて再度開く必要がある場合があります。

すべてのポリシーは、 の下 Computer Configuration\Policies\Administrative Templatesにあります。

ポリシーの場所: \Windows コンポーネント\Windows Defender ATP

ポリシー 設定
Enable\Disable Sample collection [有効] - [マシンでサンプル コレクションを有効にする] チェック ボックスをオンにします

ポリシーの場所: \Windows コンポーネント\Microsoft Defenderウイルス対策

ポリシー 設定
望ましくない可能性のあるアプリケーションの検出を構成する 有効、ブロック

ポリシーの場所: \Windows コンポーネント\Microsoft Defenderウイルス対策\MAPS

ポリシー 設定
Microsoft MAPS に参加する 有効、高度な MAPS
詳細な分析が必要な場合にファイル サンプルを送信する 有効、安全なサンプルの送信

ポリシーの場所: \Windows コンポーネント\Microsoft Defenderウイルス対策\リアルタイム保護

ポリシー 設定
リアルタイム保護をオフにする 無効
動作の監視を有効にする Enabled
ダウンロードしたすべてのファイルと添付ファイルをスキャンする Enabled
コンピューター上のファイルとプログラムのアクティビティを監視する Enabled

ポリシーの場所: \Windows コンポーネント\Microsoft Defenderウイルス対策\スキャン

これらの設定により、エンドポイントの定期的なスキャンが構成されます。 毎週のクイック スキャン、パフォーマンスの許可を実行することをお勧めします。

ポリシー 設定
スケジュールされたスキャンを実行する前に、最新のウイルスとスパイウェアのセキュリティ インテリジェンスを確認する Enabled

ポリシーの場所: \Windows コンポーネント\Microsoft Defenderウイルス対策\Microsoft Defender Exploit Guard\Attack Surface Reduction

攻撃面縮小ルールの 展開手順 3: ASR ルールを実装するから、攻撃面の縮小ルール GUID の現在の一覧を取得します。 ルールごとのその他の詳細については、「攻撃面の縮小ルールリファレンス」を参照してください。

  1. [攻撃面の縮小の構成] ポリシーを開きます。

  2. [有効] を選択します。

  3. [ 表示 ] ボタンを選択します。

  4. [ 値名] フィールドに値 2 の各 GUID を追加します。

    これにより、それぞれ監査のみが設定されます。

    攻撃面の縮小構成

ポリシー 場所 設定
フォルダー アクセスの制御を構成する \Windows コンポーネント\Microsoft Defenderウイルス対策\Microsoft Defender Exploit Guard\Controlled Folder Access 有効、監査モード

検出テストを実行してオンボードを検証する

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

グループ ポリシーを使用してデバイスをオフボードする

セキュリティ上の理由から、Offboard デバイスに使用されるパッケージは、ダウンロード日から 30 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。

注:

オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開しないでください。そうしないと、予期しない競合が発生します。

  1. Microsoft Defender ポータルからオフボード パッケージを取得します。

    1. ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>] [デバイス管理>] [オフボード] の順に選択します。

    2. オペレーティング システムを選択します。

    3. [ 展開方法 ] フィールドで、[ グループ ポリシー] を選択します。

    4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

  2. デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前のファイルが必要です。

  3. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。

  4. [グループ ポリシー管理] エディターで、[コンピューターの構成]、[基本設定]、[コントロール パネルの設定] の順に移動します。

  5. [ スケジュールされたタスク] を右クリックし、[ 新規] をポイントし、[ イミディエイト タスク] をクリックします。

  6. 開いた [タスク] ウィンドウで、[セキュリティ オプション] の [全般] タブに移動し、[ユーザーまたはグループの変更] を選択し、「SYSTEM」と入力し、[名前の確認] を選択し、[OK] を選択します。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。

  7. [ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の特権を持つ実行] チェックボックスをチェックします。

  8. [名前] フィールドに、スケジュールされたタスクの適切な名前 (たとえば Defender for Endpoint Deployment など) を入力します。

  9. [アクション] タブに移動し、[新規]を選択します。...[アクション] フィールドで [プログラムの開始] が選択されていることを確認します。 共有WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd ファイルのファイル サーバーの完全修飾ドメイン名 (FQDN) を使用して、UNC パス 入力します。

  10. [OK] を選択し、開いている GPMC ウィンドウをすべて閉じます。

重要

オフボードすると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータ (以前のアラートへの参照を含む) は最大 6 か月間保持されます。

デバイスの構成を監視する

グループ ポリシーでは、デバイス上のポリシーの展開を監視するオプションはありません。 監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。

ポータルを使用してデバイスを監視する

  1. Microsoft Defender ポータルに移動します。
  2. [ デバイス インベントリ] をクリックします。
  3. デバイスが表示されていることを確認します。

注:

デバイスの 一覧への表示が開始されるまでに数日かかる場合があります。 これには、ポリシーがデバイスに配布されるまでにかかる時間、ユーザーがログオンするまでにかかる時間、エンドポイントがレポートを開始するのにかかる時間が含まれます。

Defender AV ポリシーを設定する

新しいグループ ポリシーを作成するか、これらの設定を他のポリシーとグループ化します。 これは、顧客の環境と、さまざまな組織単位 (OU) をターゲットにしてサービスをロールアウトする方法に依存します。

  1. GP を選択するか、新しい GP を作成したら、GP を編集します。

  2. [コンピューターの構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>のリアルタイム保護] の順に参照します。

    リアルタイム保護

  3. [検疫] フォルダーで、検疫フォルダーからの項目の削除を構成します。

    削除項目検疫フォルダー

    config-removal 検疫

  4. [スキャン] フォルダーで、スキャン設定を構成します。

    gpo スキャン

リアルタイム保護ですべてのファイルを監視する

[コンピューターの構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>のリアルタイム保護] の順に参照します。

受信送信ファイル アクティビティの監視を構成する

Windows Defender SmartScreen 設定を構成する

  1. [コンピューターの構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Windows Defender SmartScreen>エクスプローラー] の順に参照します。

    Windows Defender スマート スクリーン エクスプローラーを構成する

  2. [コンピューター構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Windows Defender SmartScreen>Microsoft Edge] の順に参照します。

    Microsoft Edge で Windows Defender スマートスクリーンを構成する

望ましくない可能性のあるアプリケーションを構成する

[コンピューターの構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策] の順に参照します。

望ましくない可能性があるアプリを構成する

config potential

Cloud Deliver Protection を構成し、サンプルを自動的に送信する

[コンピューター構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>MAPS] の順に参照します。

マップ

事前ブロック

Microsoft maps に参加する

詳細な分析が必要な場合にファイルサンプルを送信する

注:

[ すべてのサンプルを送信] オプションでは、バイナリ/スクリプト/ドキュメントの最も多くの分析が提供され、セキュリティ体制が向上します。 [ 安全なサンプルの送信 ] オプションは、分析するバイナリ/スクリプト/ドキュメントの種類を制限し、セキュリティ体制を低下させます。

詳細については、「Microsoft Defender ウイルス対策でクラウド保護を有効にする」および「Microsoft Defender ウイルス対策でのクラウド保護とサンプルの送信」を参照してください。

署名の更新を確認する

[コンピューター構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>セキュリティ インテリジェンス 更新] の順に参照します。

署名の更新

署名定義の更新

クラウド配信のタイムアウトと保護レベルを構成する

[コンピューターの構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defenderウイルス対策>MpEngine] の順に参照します。 クラウド保護レベル ポリシーを既定のMicrosoft Defenderウイルス対策ブロック ポリシーに構成すると、ポリシーが無効になります。 これは、保護レベルを既定のウィンドウに設定するために必要です。

config extended cloud チェック

クラウド保護レベルの構成

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。