Defender for Endpoint を利用して Microsoft Defender for Cloud に Azure 以外のマシンを接続する
Defender for Cloud では、Defender for Endpoint エージェントをデプロイすることで Azure 以外のサーバーを直接オンボードすることができます。 これにより、単一の統合されたオファリングの下で、クラウド資産と非クラウド資産の両方を保護できます。
Note
Azure Arc 経由で Azure 以外のマシンを接続するには、「Azure Arc を使って Azure 以外のマシンを Microsoft Defender for Cloud に接続する」を参照してください。
このテナント レベルの設定を使用すると、Defender for Endpoint を実行中の Azure 以外のサーバーを、追加のエージェントのデプロイなしで Defender for Cloud に自動的かつネイティブにオンボードできます。 このオンボード パスは、Defender for Servers のもとにサーバー保護を統合することを希望する、混合およびハイブリッドのサーバー資産をお持ちのお客様に最適です。
可用性
側面 | 詳細 |
---|---|
リリース状態 | GA |
サポートされるオペレーティング システム | Defender for Endpoint でサポートされているすべての Windows および Linux Server オペレーティング システム |
必要なロールとアクセス許可 | この設定を管理するには、選択したサブスクリプションに対するサブスクリプション所有者と、テナントに対する Microsoft Entraセ キュリティ管理者以上のアクセス許可が必要 |
環境 | オンプレミスのサーバー マルチクラウド VM – 制限付きサポート (制限事項のセクションを参照) |
サポートされているプラン | Defender for Servers P1 Defender for Servers P2 – 制限付き機能 (制限事項のセクションを参照) |
しくみ
直接オンボードは、Defender for Endpoint と Defender for Cloud をシームレスに統合します。追加のソフトウェアをサーバー上にデプロイする必要はありません。 有効にすると、(Microsoft Defender ポータルでの通常の表示に加えて) 構成対象として指定した Azure サブスクリプションの下に、Defender for Cloud の Defender for Endpoint にオンボードされている Azure 以外のサーバー デバイスも表示されます。 Azure サブスクリプションは、ライセンス、課金、アラート、セキュリティ分析情報に使用されますが、Azure Policy、拡張機能、ゲスト構成などのサーバー管理機能は提供されません。 サーバー管理機能を有効にするには、Azure Arc のデプロイを参照してください。
直接オンボードの有効化
直接オンボードの有効化は、テナント レベルでのオプトイン設定です。 これは、同じ Microsoft Entra テナント内の Defender for Endpoint にオンボードされている既存のサーバーと新しいサーバーの両方が対象になります。 この設定を有効にするとすぐに、指定したサブスクリプションの下にサーバー デバイスが表示されます。 アラート、ソフトウェア インベントリ、脆弱性データは、Azure VM の場合と同様の形で Defender for Cloud と統合されます。
作業を開始する前に、次のことを行います。
- 必要なアクセス許可を持っていることを確認します
- テナント用の Microsoft Defender for Endpoint for Servers のライセンスを持っている場合には、Defender for Cloud 上で必ずそう指定するようにします
- 制限事項のセクションを確認します
Defender for Cloud ポータル上での有効化
- [Defender for Cloud]>[環境設定]>[直接オンボード] へと移動します。
- [直接オンボード] トグルを [オン] に切り替えます。
- Defender for Endpoint で直接オンボードされたサーバーに使用するサブスクリプションを選択します。
- [保存] を選択します。
これで、テナントでの直接オンボードが有効になりました。 初めて有効にすると、指定されたサブスクリプション内の Azure 以外のサーバーが表示されるまでに最大 24 時間かかる場合があります。
Defender for Endpoint をサーバーにデプロイする
オンプレミスの Windows および Linux サーバーに対する Defender for Endpoint エージェントのデプロイでは、直接オンボード利用の有無で違いはありません。 手順の詳細については「Defender for Endpoint のオンボード ガイド」を参照してください。
現在の制限
プランのサポート: 直接オンボードでは、Defender for Servers プラン 1 のすべての機能にアクセスできます。 ただし、プラン 2 の一部の機能では、Azure Monitor エージェントのデプロイが必要です。このエージェントは、Azure 以外のマシンでは Azure Arc でのみ使用できます。 指定したサブスクリプションでプラン 2 を有効にした場合、Defender for Endpoint で直接オンボードされたマシンは、Defender for Servers プラン 1 のすべての機能と、プラン 2 に含まれる Defender Vulnerability Management アドオン機能にアクセスできます。
マルチクラウドのサポート: Defender for Endpoint エージェントを使用して、AWS と GCP で VM を直接オンボードできます。 ただし、マルチクラウド コネクタを使用して AWS または GCP アカウントを Defender for Servers に同時接続する予定の場合、現時点では Azure Arc をデプロイすることをお勧めします。
同時オンボードの制限付きサポート: 複数の方法を使用して同時にオンボードされたサーバー (たとえば、Log Analytics ワークスペース ベースのオンボードと組み合わせた直接オンボード) の場合、Defender for Cloud は、それらを 1 つのデバイス表現に関連付けるためにあらゆる努力を行います。 ただし、以前のバージョンの Defender for Endpoint を使用しているデバイスは、特定の制限に直面する可能性があります。 場合によっては、過剰な料金が発生する可能性があります。 通常、最新のエージェント バージョンを使用することをお勧めします。 具体的には、この制限については、Defender for Endpoint エージェントのバージョンが次の最小バージョンを満たしているか、またはそれを超えているか確認してください。
オペレーティング システム エージェントの最小バージョン Windows 2019 10.8555 Windows 2012 R2、2016 (最新の統合エージェント) 10.8560 Linux 30.101.23052.009
次のステップ
このページでは、Azure 以外のマシンを Microsoft Defender for Cloud に追加する方法について説明しました。 これらの状態を監視するには、次のページの説明に従って、インベントリ ツールを使用します。