個々のデバイスを Defender for Endpoint に手動でオンボードすることもできます。 ネットワーク内のすべてのデバイスのオンボードにコミットする前に、サービスをテストするときに一部のデバイスをオンボードすることが必要になる場合があります。
重要
この記事で説明するスクリプトは、デバイスを Defender for Endpoint に手動でオンボードする場合に推奨されます。 これは、限られた数のデバイスでのみ使用する必要があります。 運用環境に展開する場合は、Intune、グループ ポリシー、Configuration Managerなど、その他の展開オプションに関するページを参照してください。
Defender for Endpoint の展開のさまざまなパスを確認するには、「 Defender for Endpoint アーキテクチャとデプロイ方法を識別 する」を参照してください。
デバイスのオンボード
- サービス オンボード ウィザードからダウンロードした構成パッケージ .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。 Microsoft Defender ポータルからパッケージを取得することもできます。
注:
[エンドポイント] セクションが表示されない場合は、他の Defender 機能 (インシデントやハンティングなど) にアクセスするか、環境が初期化されるまで数分待ってください。 また、必要なロール (セキュリティ管理者など) と適切なライセンスがあることを確認します。
ナビゲーション ウィンドウで、 設定>Endpoints>Device management>Onboarding を選択します。
オペレーティング システムとして [Windows 10] または [Windows 11] を選択します。
[ デプロイ方法 ] フィールドで、[ ローカル スクリプト] を選択します。
[ パッケージのダウンロード ] を選択し、.zip ファイルを保存します。
構成パッケージの内容を、オンボードするデバイス上の場所 (デスクトップなど) に抽出します。 WindowsDefenderATPLocalOnboardingScript.cmd という名前のファイルが必要です。
デバイスで管理者特権のコマンド ライン プロンプトを開き、スクリプトを実行します。
[スタート] をクリックし、「cmd」と入力します。
[コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
![[管理者として実行] をポイントする [ウィンドウのスタート] メニュー](media/run-as-admin.png)
スクリプト ファイルの場所を入力します。 ファイルをデスクトップにコピーした場合は、次のように入力します。
%userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdEnter キーを押すか、[OK] を選択します。
「Y」と入力し、プロンプトが表示されたら「」と入力します。
スクリプトが完了すると、"任意のキーを押して続行..." と表示されます。 任意のキーを押して、デバイスの手順を完了します。
![[管理者として実行] をポイントする [ウィンドウのスタート] メニュー](media/run-as-admin.png#lightbox)
デバイスが準拠しており、センサー データが正しくレポートされていることを手動で検証する方法については、「Microsoft Defender for Endpointオンボードの問題のトラブルシューティング」を参照してください。
ヒント
デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされたMicrosoft Defender for Endpoint エンドポイントで検出テストを実行する」を参照してください。
サンプル コレクション設定を構成する
デバイスごとに構成値を設定して、詳細な分析のためにファイルを送信するMicrosoft Defender XDR要求が行われたときに、デバイスからサンプルを収集できるかどうかを示すことができます。
regedit を使用するか、.reg ファイルを作成して実行することで、デバイスでサンプル共有設定を手動で構成できます。
構成は、次のレジストリ キー エントリによって設定されます。
Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1
ここで、名前の種類は D-WORD です。 使用可能な値は次のとおりです。
- 0 - このデバイスからのサンプル共有を許可しない
- 1 - このデバイスからすべてのファイルの種類を共有できます
レジストリ キーが存在しない場合の既定値は 1 です。
検出テストを実行してオンボードを検証する
デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。
ローカル スクリプトを使用してデバイスをオフボードする
セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日の 7 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、その日付がパッケージ ファイル名に含まれます。
注:
オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開することはできません。 そうしないと、予期しない競合が発生する可能性があります。
Microsoft Defender ポータルからオフボード パッケージを取得します。
ナビゲーション ウィンドウで、 設定>Endpoints>Device management>Offboarding を選択します。
オペレーティング システムとして [Windows 10] または [Windows 11] を選択します。
[ デプロイ方法 ] フィールドで、[ ローカル スクリプト] を選択します。
[ パッケージのダウンロード ] を選択し、.zip ファイルを保存します。
デバイスがアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。
WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmdという名前のファイルが必要です。デバイスで管理者特権のコマンド ライン プロンプトを開き、スクリプトを実行します。
[スタート] をクリックし、「cmd」と入力します。
[コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
スクリプト ファイルの場所を入力します。 ファイルをデスクトップにコピーした場合は、次のように入力します。
%userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmdEnter キーを押すか、[OK] を選択します。
重要
オフボードすると、デバイスはポータルへのセンサー データの送信を停止しますが、デバイスからのデータ (以前のアラートへの参照を含む) は最大 6 か月間保持されます。
デバイスの構成を監視する
オンボードの問題のトラブルシューティングに関するページのさまざまな検証手順に従って、スクリプトが正常に完了し、エージェントが実行されていることを確認できます。
監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。
ポータルを使用してデバイスを監視する
Microsoft Defender ポータルに移動します。
[ デバイス インベントリ] を選択します。
デバイスが表示されていることを確認します。
関連記事
- グループ ポリシーを使用してデバイスをオンボードする
- Microsoft Endpoint Configuration Manager を使用した Windows デバイスのオンボード
- モバイル デバイス管理ツールを使用した Windows デバイスのオンボード
- 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
- 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
- Microsoft Defender for Endpoint の問題のトラブルシューティング
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。