スタンドアロン クライアントで Endpoint Protection を構成する

Configuration Manager (現在のブランチ) に適用

組織には、Microsoft Configuration Managerで管理または保護できないスタンドアロン クライアントが多数存在する場合があります。 エンドポイント保護が実施されていない場合、これらのスタンドアロン クライアントは潜在的なマルウェア攻撃に対して脆弱です。 このようなスタンドアロン クライアントを保護するには、このトピックで説明するように、Endpoint Protection を使用して手動で構成できます。

注:

Configuration Managerによって管理されていないデバイスにエンドポイント保護クライアントをインストールする場合は、デバイスに管理ライセンス (ML) が必要になる場合があります。

スタンドアロン クライアントで Endpoint Protection を手動で構成するには:

• スタンドアロン クライアントのマルウェア対策ポリシーを作成する
• Endpoint Protection クライアント インストール パッケージをスタンドアロン クライアントに転送する
• スタンドアロン クライアントに Endpoint Protection をインストールする

前提条件

スタンドアロン クライアントで Endpoint Protection を構成するための前提条件を次に示します。

• Endpoint Protection クライアント インストール パッケージ ( scepinstall.exe) へのアクセス権が必要です。 このパッケージは、C:\Program Files\Microsoft Configuration Manager\Client フォルダーにあります。
• Endpoint Protection クライアントの 2017 年 1 月のマルウェア対策プラットフォーム更新プログラムがインストールされていることを確認します。

スタンドアロン クライアントのマルウェア対策ポリシーを作成する

この手順では、Configuration Manager コンソールでカスタムマルウェア対策ポリシーを作成し、スタンドアロン クライアントに転送します。

マルウェア対策ポリシーを作成するときは、スタンドアロン クライアントでポリシー定義を最新の状態に保つように定義の更新ソースを構成する必要があります。 スタンドアロン クライアントがインターネットに接続されている場合は、定義の更新ソースを Microsoft Update および Microsoft マルウェア プロテクション センター として構成できます。 または、定義配布ソースとして [ネットワーク共有 ] を選択し、最新の定義更新プログラム パッケージで定期的に更新します。

スタンドアロン クライアントのマルウェア対策ポリシーを作成するには:

1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

2. [ 資産とコンプライアンス ] ワークスペースで、[ Endpoint Protection] を展開し、[ マルウェア対策ポリシー] をクリックします。

3. [ ホーム ] タブの [ 作成 ] グループで、[ マルウェア対策ポリシーの作成] をクリックします。

4. [マルウェア対策ポリシーの作成] ダイアログ ボックスの [全般] セクションで、ポリシーの名前と説明を入力します。

5. [ マルウェア対策ポリシーの作成 ] ダイアログ ボックスで、このマルウェア対策ポリシーに必要な設定を構成し、[OK] をクリック します。 構成できる設定の一覧については、「 マルウェア対策ポリシー設定の一覧」を参照してください。

   注:

   [定義更新] 設定で、[Microsoft Update から配布更新を選択し、スタンドアロン クライアントがインターネットに接続されている場合はMicrosoft マルウェア プロテクション センターから配布更新。
   または、UNC ファイル共有から更新を選択して、ネットワーク共有を介してポリシー定義を配布します。 次に、ネットワーク共有上の定義更新ファイルの場所に 1 つ以上の UNC パスを追加します。

6. 新しく作成したポリシーを XML としてエクスポートします。

   1. [ マルウェア対策ポリシー] の一覧で、ポリシーを右クリックします。
   2. [エクスポート] を選択します。
   3. ポリシーを XML として保存します (例: standalone.xml)。

7. Endpoint Protection を構成するターゲット スタンドアロン クライアントに新しいマルウェア対策ポリシー XML を転送します。

Endpoint Protection クライアント インストール パッケージをスタンドアロン クライアントに転送する

この手順では、Configuration Manager サーバーから Endpoint Protection クライアント インストール パッケージ (scepinstall.exe) をコピーし、スタンドアロン クライアントに転送します。

1. Configuration Manager サーバーにログインします。
2. Configuration Manager インストール フォルダー (C:\Program Files\Microsoft Configuration Manager\Client) のクライアント フォルダーに移動します。
3. scepinstall.exeコピーします。
4. scepinstall.exeを、Endpoint Protection クライアント ソフトウェアをインストールするターゲット スタンドアロン クライアントに転送します。

スタンドアロン クライアントに Endpoint Protection をインストールする

この手順では、スタンドアロン クライアントのコマンド プロンプトからインストーラー パッケージ (scepinstall.exe) とマルウェア対策ポリシー (どちらも Configuration Manager サーバーから転送済み) を実行します。

スタンドアロン クライアントに Endpoint Protection をインストールするには:

1. スタンドアロン クライアントで、管理者としてコマンド プロンプトを開きます。

2. ディレクトリを、 scepinstall.exe インストーラー ファイルを保存したフォルダーに変更します。

3. 次のコマンドを入力して、マルウェア対策ポリシー を使用してscepinstall.exe を実行します。

   scepinstall.exe /policy <full path>\<policy file>
   

   をマルウェア対策ポリシー XML ファイルを保存したパスに置き換え、policy fileマルウェア対策ポリシー ファイル名に置き換えますfull path。

   インストーラーが抽出され、インストール ウィザードが起動します。

4. 画面の指示に従って、クライアントのインストールを完了します。

   インストール ウィザードの最後の画面で、最新の更新プログラムを取得した後に潜在的な脅威がないかコンピューターをスキャンするオプションが既定で選択されています。 チェック ボックスをオフにすると、スキャンをスキップできます。

スタンドアロン Endpoint Protection クライアントでマルウェア対策ポリシー設定を変更する

スタンドアロン Endpoint Protection クライアントでマルウェア対策ポリシーを変更または更新するには、次の手順を実行します。

1. スタンドアロン クライアントのマルウェア対策ポリシーを作成します。
2. スタンドアロン クライアントで次のコマンドを実行します。

C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe <full path>\<policy file>

を、新しいマルウェア対策ポリシー XML ファイルを保存したパスに置き換え、policy fileマルウェア対策ポリシー ファイル名に置き換えますfull path。

次の手順

Endpoint Protection を使用して、Configuration Manager クライアント コンピューターのセキュリティとマルウェアを管理する方法については、「Endpoint Protection の構成」を参照してください。