Microsoft Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする

適用対象:

• エンドポイントのデータ損失防止
• インサイダー リスク管理

サポートされているクライアント オペレーティング システム

Configuration Managerを使用して、次のオペレーティング システムをオンボードできます。

• Windows 11

• Windows 10バージョン 1709 以降

Configuration Managerを使用した Microsoft Purview for Endpoint へのオンボード

Configuration Managerで、クライアントが構成ファイルを認識するように Endpoint Protection 設定を次のように構成します。

• [コンピューター上のエンドポイント保護クライアントの管理] を[はい] に設定します。

• クライアント コンピューターへのエンドポイント保護クライアントのインストールは、No に設定できます。

• Windows Server 2012 R2 のMicrosoft Defender for Endpoint クライアントを設定し、Windows Server 2016を MDE クライアントに設定します (推奨)。

このクライアント設定構成を、システムのオンボードに使用されるコレクションに展開します。

Configuration Managerを使用してデバイスをオンボードする

1. Microsoft Purview ポータルから構成パッケージ .zip ファイル (DeviceComplianceOnboardingPackage.zip) を取得します。

2. ナビゲーション ウィンドウで、 設定>Device Onboarding>Onboarding を選択します。

3. [オンボーディング プロセスを開始するオペレーティング システムの選択]: [Windows 10] を選択し、[展開方法] フィールドで [Microsoft Endpoint Configuration Manager] を選択します。

4. [ パッケージのダウンロード ] を選択し、.zip ファイルを保存します。

5. .zip ファイルの内容を、展開のためにConfiguration Manager コンソールからアクセスできる共有の読み取り専用の場所に抽出します。 DeviceCompliance.onboarding という名前のファイルが存在することを確認します。

デバイスのオンボード

1. Configuration Manager コンソールで、[資産とコンプライアンス>Endpoint Protection>Microsoft Defender for Endpoint ポリシー] に移動します。

   注:

   Microsoft Purview と Microsoft Defender for Endpointは、同じ方法を使用して Microsoft クラウド セキュリティ環境に接続します。

2. [Microsoft Defender for Endpoint ポリシーの作成] を選択して、ポリシー ウィザードを開きます。

3. [ これらのライセンス条項と両方のエージェントの自動更新に同意する] を選択します。 次に、Microsoft Defender for Endpoint ポリシーの [名前] と [説明] を入力し、[オンボード] を選択します。

4. [ 参照] を 選択し、ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

   注:

   Windows 10 と 11 のワークスペース キーとワークスペース ID は必要ありません。

   [次へ] を選択します。

5. 分析のためにマネージド デバイスから収集および共有されるファイル サンプルを指定します。

   • なし

   • すべてのファイルの種類

6. 概要を確認し、ウィザードを完了します。

7. 作成したポリシーを右クリックし、[デプロイ] を選択し、Microsoft Defender for Endpoint ポリシーを展開するコレクションを選択します。

監視する

1. Configuration Manager コンソールで、[監視>展開] の順に移動し、Defender for Endpoint ポリシーの展開用に作成したデプロイを選択します。

2. [ 状態の表示 ] をクリックして、情報を確認します。 [ 準拠 ] で、オンボードされたシステムの状態を確認できます。 まだオンボードされていないシステムは、[ 不明] タブに表示される場合があります。

構成マネージャーを使用してデバイスをオフボードする

セキュリティ上の理由から、Offboard デバイスに使用されるパッケージは、ダウンロード日から 30 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。

現在のブランチを使用Microsoft Configuration Managerオフボード デバイス

現在のブランチMicrosoft Configuration Manager使用する場合は、「オフボード構成ファイルを作成する」を参照してください。

オフボード構成ファイルを作成する

1. Microsoft Purview コンソールにサインインします。

2. [ 設定] を選択し、[ デバイスのオンボード ] を選択し、オンボード見出しの下にある [オフボード ] を選択します。

3. オペレーティング システムのWindows 10と展開方法の Microsoft Endpoint Configuration Managerを選択します。

   • Windows 10 オプションを使用すると、コレクション内のすべてのデバイスがオフボード状態になり、必要に応じ MMA がアンインストールされます。

4. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。 オフボード ファイルは 30 日間有効です。

5. Configuration Manager コンソールで、[資産とコンプライアンス>Endpoint Protection>Microsoft Defender [エンドポイント ポリシー] に移動し、[Microsoft Defender for Endpoint ポリシーの作成] を選択します。 ポリシー ウィザードが開きます。

6. Microsoft Defender for Endpoint ポリシーの [名前] と [説明] を入力し、[オフボード] を選択します。

7. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

8. 概要を確認し、ウィザードを完了します。

9. [展開] を選択して、Purview からオフボードするクライアントにMicrosoft Defender for Endpoint ポリシーをターゲットにします。

デバイスの構成を監視する

現在のブランチMicrosoft Configuration Manager使用する場合は、Configuration Manager コンソールの組み込みのMicrosoft Defender for Endpoint ダッシュボードを使用します。 詳細については、「Advanced Threat Protection - Monitor のMicrosoft Defender」を参照してください。

デバイスがエンドポイント データ損失防止サービスに準拠していることを確認する

Configuration Managerで構成項目のコンプライアンス規則を設定して、デプロイを監視できます。

この規則は、対象となるデバイス上のレジストリ キーの値を監視する 修復されていない コンプライアンス規則構成項目である必要があります。

次のレジストリ キー エントリを監視します。

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

詳細については、「 コンプライアンス設定の計画と構成」を参照してください。

関連記事

• グループ ポリシーを使用してWindows 10およびWindows 11デバイスをオンボードする

• モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード

• ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード

• 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

• 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する

• Microsoft Defender for Endpoint の問題のトラブルシューティング