以前のバージョンの Windows をオンボードする

Defender for Endpoint は、サポートを拡張してダウンレベルのオペレーティング システムを含め、サポートされている Windows バージョンで高度な攻撃検出と調査機能を提供します。

ダウンレベルの Windows クライアント エンドポイントを Defender for Endpoint にオンボードするには、次のことができます。

• Defender 展開ツールを使用して Defender エンドポイント セキュリティを展開する

  または

• Microsoft Monitoring Agent (MMA) と System Center Endpoint Protection (SCEP) クライアントの構成と更新をインストールして構成する

サポートされるオペレーティング システム

Defender エンドポイント セキュリティ ソリューション

• Windows 7 SP1 Pro
• Windows 7 SP1 Enterprise
• Windows Server 2008 R2 SP1

MMA/SCEP

• Windows 7 SP1 Pro
• Windows 7 SP1 Enterprise
• Windows 8.1 Pro
• Windows 8.1
• Windows Server 2008 R2 SP1

Defender 展開ツールを使用して Defender エンドポイント セキュリティを展開する

エンドポイント セキュリティ ソリューション (プレビュー) のMicrosoft Defenderは、従来の Windows 7 SP1 および Windows Server 2008 R2 SP1 デバイスで使用できます。 このソリューションは、他のソリューションと比較して、これらのデバイスの高度な保護機能と改善された機能を提供します。 次の表は、ソリューションの現在サポートされている機能の概要を示しています。

このソリューションは、Defender for Endpoint でサポートされているすべての Windows バージョンのオンボードを効率化する軽量の自己更新アプリケーションである Defender デプロイ ツールを使用してダウンロードしてインストールできます。 デプロイ ツールは前提条件の処理を行い、古いソリューションからの移行を自動化し、複雑なオンボード スクリプト、個別のダウンロード、手動インストールの必要性を排除します。 ツールとその使用方法については、「Defender 展開ツールを使用して Windows デバイスにMicrosoft Defenderエンドポイント セキュリティを展開する (プレビュー)」を参照してください。

Microsoft Monitoring Agent (MMA) をインストールして構成する

開始する前に

最小システム要件を確認するには、次の詳細を確認します。

• 2018 年 2 月の月次更新プログラムのロールアップをインストールする - Windows Update カタログからの直接ダウンロード リンクはこちら

• 2019 年 3 月 12 日以降のサービス スタック更新プログラムをインストールする - Windows Update カタログからの直接ダウンロード リンクはこちら

• SHA-2 コード署名サポート更新プログラムをインストールする - Windows Update カタログからの直接ダウンロード リンクはこちら

  注:

  Windows Server 2008 R2、Windows 7 SP1 Enterprise、および Windows 7 SP1 Pro にのみ適用されます。

• カスタマー エクスペリエンスと診断テレメトリの更新プログラムをインストールする

• Microsoft .NET Framework 4.5.2 以降をインストールする

  注:

  .NET 4.5 のインストールでは、インストール後にコンピューターの再起動が必要になる場合があります。

• Azure Log Analytics エージェントの最小システム要件を満たす。 詳細については、「Log Analytics を使用して環境内のコンピューターからデータを収集する」を参照してください。

インストールの手順

1. エージェントセットアップ ファイル ( Windows 64 ビット エージェント または Windows 32 ビット エージェント) をダウンロードします。

   注:

   MMA エージェントによる SHA-1 サポートの廃止により、MMA エージェントはバージョン 10.20.18029 以降である必要があります。

2. ワークスペース ID を取得します。

   • [Defender for Endpoint] ナビゲーション ウィンドウで、[ 設定] > [デバイス管理] > [オンボード] を選択します。
   • オペレーティング システムを選択します。
   • ワークスペース ID とワークスペース キーをコピーします。

3. ワークスペース ID とワークスペース キーを使用して、エージェントをインストールするには、次のいずれかのインストール方法を選択します。

   • セットアップを使用してエージェントを手動でインストールします。

     [エージェントのセットアップ オプション] ページで、[エージェントを Log Analytics (OMS) Azureに接続する] を選択します。

   • コマンド ラインを使用してエージェントをインストールします。

   • スクリプトを使用してエージェントを構成します。

   注:

   米国政府機関のお客様の場合は、[Azure クラウド] で、セットアップ ウィザードを使用する場合、またはコマンド ラインまたはスクリプトを使用する場合は 、[OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE] パラメーターを 1 に設定する場合は、[Azure US Government] を選択する必要があります。

4. プロキシを使用してインターネットに接続する場合は、「プロキシとインターネット接続の設定を構成する」セクションを参照してください。

完了すると、オンボードされたエンドポイントがポータルに 1 時間以内に表示されます。

クライアントの構成と更新System Center Endpoint Protection

Defender for Endpoint は、System Center Endpoint Protectionと統合して、マルウェア検出を可視化し、悪意のある可能性のあるファイルや疑わしいマルウェアを禁止することで、organization内の攻撃の伝達を停止します。

この統合を有効にするには、次の手順が必要です。

• Endpoint Protection クライアント用の 2017 年 1 月のマルウェア対策プラットフォーム更新プログラムをインストールする
• SCEP クライアント Cloud Protection Service メンバーシップを [詳細設定 ] に構成する
• Microsoft Defender ウイルス対策クラウドへの接続を許可するようにネットワークを構成します。 詳細については、「ウイルス対策ネットワーク接続Microsoft Defender構成して検証する」を参照してください。

プロキシとインターネット接続の設定を構成する

サーバーでプロキシを使用して Defender for Endpoint と通信する必要がある場合は、次のいずれかの方法を使用して、プロキシ サーバーを使用するように MMA を構成します。

• プロキシ サーバーを使用するように MMA を構成する

• すべての接続にプロキシ サーバーを使用するように Windows を構成する

プロキシまたはファイアウォールが使用されている場合は、サーバーが SSL インターセプトなしで、すべてのMicrosoft Defender for Endpoint サービス URL に直接アクセスできることを確認します。 詳細については、「Microsoft Defender for Endpoint サービス URL へのアクセスを有効にする」を参照してください。 SSL インターセプトを使用すると、システムが Defender for Endpoint サービスと通信できなくなります。

完了すると、オンボードされた Windows サーバーがポータルに 1 時間以内に表示されます。

Microsoft Defender for Cloud を使用して Windows サーバーをオンボードする

1. [Microsoft Defender XDR] ナビゲーション ウィンドウで、[設定]> [Endpoints>Device management>Onboarding] を選択します。

2. オペレーティング システムとして [Windows Server 2008 R2 SP1] を選択します。

3. [Microsoft Defender for Cloud のサーバーのオンボード] を選択します。

4. Microsoft Defender for Cloud のMicrosoft Defender for Endpointのオンボード手順に従い、ARC Azure使用している場合は、「Microsoft Defender for Endpointの有効化」のオンボード手順に従ってください。統合。

オンボード手順を完了したら、クライアントSystem Center Endpoint Protection構成して更新する必要があります。

オンボードを確認する

Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint が実行されていることを検証します。

1. 次のコマンドを実行して、Microsoft Defender ウイルス対策がインストールされていることを検証します。

   sc.exe query Windefend
   

   結果が 「指定されたサービスはインストール済みサービスとして存在しません」 の場合は、Microsoft Defender ウイルス対策をインストールする必要があります。 詳細については、「Windows 10でのウイルス対策のMicrosoft Defender」を参照してください。

   グループ ポリシーを使用して Windows サーバーのMicrosoft Defender ウイルス対策を構成および管理する方法については、「グループ ポリシー設定を使用してMicrosoft Defender ウイルス対策を構成および管理する方法」 を参照してください。

オンボーディングで問題が発生した場合は、「オンボードのトラブルシューティング」 を参照してください。

検出テストの実行

［新しくオンボードされたデバイスで検出テストを実行する］ の手順に従って、サーバーが Defender for the Endpoint サービスに報告していることを検証します。

管理ソリューションのないエンドポイントのオンボード

グループ ポリシーを使用する

手順 1: エンドポイントの対応する更新プログラムをダウンロードします。

1. c:\windows\sysvol\domain\scripts に移動します (ドメイン コントローラーのいずれかで変更コントロールが必要になる場合があります)。

2. MMA という名前のフォルダーを作成します。

3. 次をダウンロードし、MMA フォルダーに配置します。

   • カスタマー エクスペリエンスと診断テレメトリの更新:
     • Windows Server 2008 R2 x64 の場合

   Windows Server 2008 R2 SP1 の場合は、次の更新プログラムも必要です。

   • 2018 年 2 月の月次ロールアップ - KB4074598 (Windows Server 2008 R2)

   • Microsoft Update カタログ
     

   • Windows Server 2008 R2 x64 の更新プログラムをダウンロードする

   • .NET Framework 3.5.1 (KB315418)
     

   • Windows Server 2008 R2 x64 の場合

   注:

   この記事では、x64 ベースのサーバー (MMA エージェント .exe x64 新しい SHA-2 準拠バージョン) を使用していることを前提としています。

手順 2: DeployMMA.cmd という名前のファイルを作成する (メモ帳を使用) cmd ファイルに次の行を追加します。 ワークスペース ID とキーが必要であることに注意してください。

次のコマンドの例を示します。 次の値を置き換えます。

• KB - オンボードするエンドポイントに関連する該当する KB を使用する
• ワークスペース ID とキー - ID とキーを使用する

@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

グループ ポリシー構成

"Microsoft Defender for Endpoint オンボード" などのデバイスをオンボードするための新しいグループ ポリシーを作成します。

• "c:\windows\MMA" という名前のグループ ポリシー フォルダーを作成する

  

  これにより、MMA と呼ばれる GPO を適用するすべてのサーバーに新しいフォルダーが追加され、c:\windows に格納されます。 これには、MMA のインストール ファイル、前提条件、およびインストール スクリプトが含まれます。

• Net ログオンに格納されている各ファイルの [グループ ポリシー ファイル] 基本設定を作成します。

  

DOMAIN\NETLOGON\MMA\filename から C:\windows\MMA\filename にファイルがコピー されるため、インストール ファイルはサーバーに対してローカルになります。

このプロセスを繰り返しますが、[共通] タブを対象とする項目レベルを作成します。そのため、ファイルはスコープ内の適切なプラットフォーム/オペレーティング システムのバージョンにのみコピーされます。

Windows Server 2008 R2 の場合は、次のものが必要になります (また、コピーのみが行われます)。

• Windows6.1-KB3080149-x64.msu
• Windows6.1-KB3154518-x64.msu
• Windows6.1-KB4075598-x64.msu

これが完了したら、スタートアップ スクリプト ポリシーを作成する必要があります。

ここで実行するファイルの名前は c:\windows\MMA\DeployMMA.cmdです。 サーバーが起動プロセスの一部として再起動されると、カスタマー エクスペリエンスと診断テレメトリ KB の更新プログラムがインストールされ、次に MMA エージェントがインストールされ、ワークスペース ID とキーの設定中にサーバーがオンボードされます。

すべてのサーバーを再起動しない場合は、 即時タスク を使用してdeployMMA.cmdを実行することもできます。

これは、2 つのフェーズで実行できます。 最初に、GPO でファイルとフォルダーを 作成する - GPO が適用され、すべてのサーバーにインストール ファイルがあることを確認する時間をシステムに与えます。 次に、即時タスクを追加します。 これにより、再起動を必要とせずに同じ結果が得られます。

スクリプトには終了メソッドがあり、MMA がインストールされている場合は再実行されないため、毎日スケジュールされたタスクを使用して同じ結果を得ることもできます。 Configuration Managerコンプライアンス ポリシーと同様に、MMA が存在することを確認するために毎日チェックされます。

Server 2008 R2 を中心とする Server のオンボード ドキュメントで説明されているように、以下を参照してください。Windows Server 2008 R2 SP1 については、次の要件を満たしていることを確認してください。

• 2018 年 2 月の月次更新プログラムのロールアップをインストールする
• .NET Framework 4.5 (またはそれ以降) またはKB3154518をインストールします

2008 R2 Windows Serverオンボードする前に、KB が存在することを確認します。 このプロセスを使用すると、サーバーの管理をConfiguration Managerしていない場合は、すべてのサーバーをオンボードできます。

オフボード エンドポイント

サービスから Windows エンドポイントをオフボードするには、次の 2 つのオプションがあります。

• MMA エージェントをアンインストールする
• Defender for Endpoint ワークスペースの構成を削除する

MMA エージェントをアンインストールする

Windows エンドポイントをオフボードするには、MMA エージェントをアンインストールするか、レポートから Defender for Endpoint ワークスペースにデタッチします。 エージェントのオフボード後、エンドポイントはセンサー データを Defender for Endpoint に送信しなくなります。 詳細については、「 エージェントを無効にするには」を参照してください。

Defender for Endpoint ワークスペースの構成を削除する

次のいずれかの方法を使用できます。

• MMA エージェントから Defender for Endpoint ワークスペース構成を削除する
• PowerShell コマンドを実行して構成を削除する

MMA エージェントから Defender for Endpoint ワークスペース構成を削除する

1. [Microsoft Monitoring Agent Properties]\(Microsoft 監視エージェントのプロパティ\) で、[Azure Log Analytics (OMS) タブを選択します。

2. [Defender for Endpoint] ワークスペースを選択し、[削除] を選択 します。

   

PowerShell コマンドを実行して構成を削除する

1. ワークスペース ID を取得します。

   1. ナビゲーション ウィンドウで、[設定]>[オンボーディング] を選択します。
   2. 関連するオペレーティング システムを選択し、ワークスペース ID を取得します。

2. 管理者特権の PowerShell を開き、次のコマンドを実行します。 取得したワークスペース ID を使用し、 WorkspaceIDを置き換えます。

   $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg
   
   # Remove OMS Workspace
   $AgentCfg.RemoveCloudWorkspace("WorkspaceID")
   
   # Reload the configuration and apply changes
   $AgentCfg.ReloadConfiguration()