次の方法で共有


Defender for Endpoint を利用して Microsoft Defender for Cloud に Azure 以外のマシンを接続する

Defender for Cloud では、Defender for Endpoint エージェントをデプロイすることで Azure 以外のサーバーを直接オンボードすることができます。 これにより、単一の統合されたオファリングの下で、クラウド資産と非クラウド資産の両方を保護できます。

Note

Azure Arc 経由で Azure 以外のマシンを接続するには、「Azure Arc を使って Azure 以外のマシンを Microsoft Defender for Cloud に接続する」を参照してください。

このテナント レベルの設定を使用すると、Defender for Endpoint を実行中の Azure 以外のサーバーを、追加のエージェントのデプロイなしで Defender for Cloud に自動的かつネイティブにオンボードできます。 このオンボード パスは、Defender for Servers のもとにサーバー保護を統合することを希望する、混合およびハイブリッドのサーバー資産をお持ちのお客様に最適です。

可用性

側面 詳細
リリース状態 GA
サポートされるオペレーティング システム Defender for Endpoint でサポートされているすべての Windows および Linux Server オペレーティング システム
必要なロールとアクセス許可 この設定を管理するには、選択したサブスクリプションに対するサブスクリプション所有者と、テナントに対する Microsoft Entraセ キュリティ管理者以上のアクセス許可が必要
環境 オンプレミスのサーバー
マルチクラウド VM – 制限付きサポート (制限事項のセクションを参照)
サポートされているプラン Defender for Servers P1
Defender for Servers P2 – 制限付き機能 (制限事項のセクションを参照)

しくみ

直接オンボードは、Defender for Endpoint と Defender for Cloud をシームレスに統合します。追加のソフトウェアをサーバー上にデプロイする必要はありません。 有効にすると、(Microsoft Defender ポータルでの通常の表示に加えて) 構成対象として指定した Azure サブスクリプションの下に、Defender for Cloud の Defender for Endpoint にオンボードされている Azure 以外のサーバー デバイスも表示されます。 Azure サブスクリプションは、ライセンス、課金、アラート、セキュリティ分析情報に使用されますが、Azure Policy、拡張機能、ゲスト構成などのサーバー管理機能は提供されません。 サーバー管理機能を有効にするには、Azure Arc のデプロイを参照してください。

直接オンボードの有効化

直接オンボードの有効化は、テナント レベルでのオプトイン設定です。 これは、同じ Microsoft Entra テナント内の Defender for Endpoint にオンボードされている既存のサーバーと新しいサーバーの両方が対象になります。 この設定を有効にするとすぐに、指定したサブスクリプションの下にサーバー デバイスが表示されます。 アラート、ソフトウェア インベントリ、脆弱性データは、Azure VM の場合と同様の形で Defender for Cloud と統合されます。

作業を開始する前に、次のことを行います。

Defender for Cloud ポータル上での有効化

  1. [Defender for Cloud]>[環境設定]>[直接オンボード] へと移動します。
  2. [直接オンボード] トグルを [オン] に切り替えます。
  3. Defender for Endpoint で直接オンボードされたサーバーに使用するサブスクリプションを選択します。
  4. [保存] を選択します。

Defender for Endpoint で Azure 以外のサーバーをオンボードする画面のスクリーンショット。

これで、テナントでの直接オンボードが有効になりました。 初めて有効にすると、指定されたサブスクリプション内の Azure 以外のサーバーが表示されるまでに最大 24 時間かかる場合があります。

Defender for Endpoint をサーバーにデプロイする

オンプレミスの Windows および Linux サーバーに対する Defender for Endpoint エージェントのデプロイでは、直接オンボード利用の有無で違いはありません。 手順の詳細については「Defender for Endpoint のオンボード ガイド」を参照してください。

現在の制限

  • プランのサポート: 直接オンボードでは、Defender for Servers プラン 1 のすべての機能にアクセスできます。 ただし、プラン 2 の一部の機能では、Azure Monitor エージェントのデプロイが必要です。このエージェントは、Azure 以外のマシンでは Azure Arc でのみ使用できます。 指定したサブスクリプションでプラン 2 を有効にした場合、Defender for Endpoint で直接オンボードされたマシンは、Defender for Servers プラン 1 のすべての機能と、プラン 2 に含まれる Defender Vulnerability Management アドオン機能にアクセスできます。

  • マルチクラウドのサポート: Defender for Endpoint エージェントを使用して、AWS と GCP で VM を直接オンボードできます。 ただし、マルチクラウド コネクタを使用して AWS または GCP アカウントを Defender for Servers に同時接続する予定の場合、現時点では Azure Arc をデプロイすることをお勧めします。

  • 同時オンボードの制限付きサポート: 複数の方法を使用して同時にオンボードされたサーバー (たとえば、Log Analytics ワークスペース ベースのオンボードと組み合わせた直接オンボード) の場合、Defender for Cloud は、それらを 1 つのデバイス表現に関連付けるためにあらゆる努力を行います。 ただし、以前のバージョンの Defender for Endpoint を使用しているデバイスは、特定の制限に直面する可能性があります。 場合によっては、過剰な料金が発生する可能性があります。 通常、最新のエージェント バージョンを使用することをお勧めします。 具体的には、この制限については、Defender for Endpoint エージェントのバージョンが次の最小バージョンを満たしているか、またはそれを超えているか確認してください。

    オペレーティング システム エージェントの最小バージョン
    Windows 2019 10.8555
    Windows 2012 R2、2016 (最新の統合エージェント) 10.8560
    Linux 30.101.23052.009

次のステップ

このページでは、Azure 以外のマシンを Microsoft Defender for Cloud に追加する方法について説明しました。 これらの状態を監視するには、次のページの説明に従って、インベントリ ツールを使用します。