次の方法で共有

Defender for Endpoint を使用して Azure 以外のサーバーを Microsoft Defender for Cloud に接続する

Microsoft Defender for Cloud を使用すると、Microsoft Defender for Endpoint を介してオンプレミスサーバーとマルチクラウド サーバーをオンボードできます。 このセットアップでは、追加のエージェントを必要とせずに Azure 以外のマシンを保護し、すべてのサーバー (Azure と Azure 以外) を 1 つの統合セキュリティ ビューに表示します。

Azure Arc 経由で Azure 以外のマシンを接続するには、「Azure Arc を使って Azure 以外のマシンを Microsoft Defender for Cloud に接続する」を参照してください。

しくみ

直接オンボーディングは、Defender for Endpoint と Defender for Cloud の間のネイティブな統合です。 有効にすると、Defender for Endpoint を持つ Azure 以外のサーバーが、選択したサブスクリプションの下の Defender for Cloud に表示されます。

Defender for Cloud では、選択したサブスクリプションを使用して、ライセンス、課金、アラート、セキュリティの分析情報を取得します。 このサブスクリプションでは、Azure Policy やゲスト構成などの Azure 管理機能はサポートされていません。 他のツールを使用して、ウイルス対策ポリシー、攻撃面の減少ルール、更新プログラムなどのセキュリティ設定を管理します。

セキュリティの設定を管理する

サーバーの種類 管理オプション
Windows Server Defender for Endpoint のセキュリティ設定の管理
構成マネージャー
グループ ポリシー
PowerShell
WMI
Linux Server Defender for Endpoint のセキュリティ設定の管理
Defender for Endpoint on Linux でセキュリティ設定を構成する

可用性

この機能は 一般公開 (GA) されており、オンプレミス のサーバーとマルチクラウド VM をサポートしています。

サポートされているオペレーティング システムには、Defender for Endpoint でサポートされているすべての Windows Server および Linux サーバー バージョンが含まれます。 OS 固有の要件については、以下を参照してください。

この機能は、次の両方で機能します。

  • Defender for Servers プラン 1 (P1)
  • Defender for Servers プラン 2 (P2) (制限あり)

直接オンボーディングを有効にする

直接オンボードを有効にすると、Defender for Cloud は、同じ Microsoft Entra テナント内の Defender for Endpoint にオンボードされている既存のサーバーと新しいサーバーの両方に設定を適用します。 有効にすると、選択したサブスクリプションの下にサーバーが表示され、アラート、脆弱性データ、インベントリが Defender for Cloud と統合されます。

作業を開始する前に、次のことを行います。

  • 必要なアクセス許可があることを確認します。
    • オンボード用に選択したサブスクリプションに対するサブスクリプション所有者のアクセス許可。
    • テナントに対する Microsoft Entra セキュリティ管理者 (またはそれ以上) のアクセス許可。
  • テナントに Defender for Endpoint for Servers ライセンスが既にある場合は、Defender for Cloud で 指定 します
  • 現在の 制限事項を確認する

Defender for Cloud ポータル上で有効にする

  1. Azure portal にサインインします。

  2. Defender for Cloud を検索して選択します。

  3. 環境設定>に移動します。

  4. 直接オンボーディングを オンに切り替えます。

  5. Defender for Endpoint 経由でオンボードされたサーバーに使用するサブスクリプションを選択します。

  6. [保存] を選択します。

Defender for Cloud ポータルの [Direct onboarding] トグルを示すスクリーンショット。

Azure 以外のサーバーは、選択したサブスクリプションに表示されるまでに最大 24 時間かかる場合があります。

Defender for Endpoint をサーバーにデプロイする

直接オンボードの有無にかかわらず、Windows サーバーと Linux サーバーで同じ方法で Defender for Endpoint エージェントをデプロイします。 詳細については、「Defender for Endpoint へのサーバーを登録する方法」を参照してください。

現在の制限

  • プランのサポート – 直接オンボードでは、Defender for Servers プラン 1 のすべての機能が提供されます。 一部の Defender for Servers プラン 2 の機能には、引き続き Azure Arc が必要です。プラン 2 を有効にした場合、直接オンボードされたサーバーはプラン 1 + Defender 脆弱性管理機能を 利用できます。

  • マルチクラウドのサポート – ダイレクト オンボードでは、Defender for Endpoint エージェントを使用した AWS VM と GCP VM がサポートされます。 ただし、マルチクラウド コネクタを使用して AWS または GCP アカウントを Defender for Servers に接続する場合は、引き続き Azure Arc を使用することをお勧めします。

  • 同時オンボード – Defender for Cloud では、複数の方法でオンボードされたサーバーが自動的に関連付けられます。 以前のバージョンの Defender for Endpoint エージェントでは、この動作が制限され、まれに重複する課金が発生する可能性があります。 エージェントが以下の最低バージョンを満たすか、超過していることを確認する。

    オペレーティング システム エージェントの最小バージョン
    Windows Server 2019 以降 10.8555
    Windows Server 2016 または Windows 2012 R2
    (最新の統合ソリューション)    		 10.8560
    Linux (AMD64) 30.101.23052.009
    Linux (ARM64) 30.101.25022.004

次のステップ

Azure 以外のサーバーをオンボードした後、Defender for Cloud でセキュリティ体制と接続状態を監視できます。