デバイスを Microsoft Defender for Business にオンボードする

この記事では、デバイスを Defender for Business にオンボードする方法について説明します。

ビジネス デバイスをすぐに保護するためにオンボードします。 会社のデバイスをオンボードするには、いくつかのオプションから選択できます。 この記事では、オプションについて説明し、オンボードのしくみについて説明します。

操作

1. タブを選択します。
   • Windows 10 と 11
   • Mac
   • モバイル (iOS および Android デバイスで新しい機能を利用できます)。
   • サーバー (Windows Server または Linux Server)
2. オンボード オプションを表示し、選択したタブのガイダンスに従います。
3. オンボードされたデバイスの一覧を表示します。
4. デバイスでフィッシング テストを実行します。
5. 次の手順に進みます。

Windows 10 と 11

Windows 10 と 11

注:

Windows デバイスは、次のいずれかのオペレーティング システムを実行している必要があります。

• Windows 10 または 11 Business
• Windows 10 または 11 Professional
• Windows 10 または 11 Enterprise

詳細については、「 Microsoft Defender for Business の要件」を参照してください。

Windows クライアント デバイスを Defender for Business にオンボードするには、次のいずれかのオプションを選択します。

• ローカル スクリプト (Microsoft Defender ポータルでデバイスを手動でオンボードする場合)
• グループ ポリシー (組織内でグループ ポリシーを既に使用している場合)
• Microsoft Intune (Intune を既に使用している場合)

Windows 10 および 11 のローカル スクリプト

ローカル スクリプトを使用して、Windows クライアント デバイスをオンボードできます。 デバイスでオンボード スクリプトを実行すると、Microsoft Entra ID を使用して信頼が作成され (その信頼がまだ存在しない場合)、デバイスが Microsoft Intune に登録され (まだ登録されていない場合)、デバイスが Defender for Business にオンボードされます。 現在 Intune を使用していない場合は、ローカル スクリプト メソッドが Defender for Business のお客様に推奨されるオンボード方法です。

ヒント

ローカル スクリプト メソッドを使用する場合は、一度に最大 10 台のデバイスをオンボードすることをお勧めします。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. [ Windows 10 および 11] を選択します。

4. [ 接続の種類] で、[ 合理化] を選択します。

5. [ デプロイ方法 ] セクションで、[ ローカル スクリプト] を選択し、[ オンボード パッケージのダウンロード] を選択します。 オンボード パッケージはリムーバブル ドライブに保存することをお勧めします。

6. Windows デバイスで、構成パッケージの内容をデスクトップ フォルダーなどの場所に抽出します。 という名前 WindowsDefenderATPLocalOnboardingScript.cmdのファイルが必要です。

7. 管理者としてコマンド プロンプトを開きます。

8. スクリプト ファイルの場所を入力します。 たとえば、ファイルをデスクトップ フォルダーにコピーした場合は、 と入力 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdし、Enter キーを押します (または [OK] を選択します)。

9. スクリプトの実行後、 検出テストを実行します。

Windows 10 および 11 のグループ ポリシー

グループ ポリシーを使用して Windows クライアントをオンボードする場合は、「 グループ ポリシーを使用した Windows デバイスのオンボード」のガイダンスに従ってください。 この記事では、Microsoft Defender for Endpoint にオンボードする手順について説明します。 Defender for Business にオンボードする手順も同様です。

Windows 10 および 11 用 Intune

Intune 管理センター (https://intune.microsoft.com) を使用して、Intune で Windows クライアントやその他のデバイスをオンボードできます。 Intune にデバイスを登録するために使用できる方法はいくつかあります。 次のいずれかの方法を使用することをお勧めします。

• 会社所有または会社が管理するデバイスの Windows 自動登録を有効にする
• Intune で独自の Windows 10/11 デバイスを登録するようにユーザーに依頼する

Windows 10 および 11 の自動登録を有効にする

自動登録を設定すると、ユーザーは自分の職場アカウントをデバイスに追加します。 バックグラウンドでは、デバイスは Microsoft Entra ID を登録して参加させ、Intune に登録します。

1. Azure portal (https://portal.azure.com/) に移動し、サインインします。

2. Microsoft Entra ID>Mobility (MDM と MAM)>Microsoft Intune を選択します。

3. MDM ユーザー スコープと MAM ユーザー スコープを構成します。

   

   • MDM ユーザー スコープでは、すべてのユーザーが自動的に Windows デバイスを登録できるように、[ すべて ] を選択することをお勧めします。

   • [MAM ユーザー スコープ] セクションでは、URL に次の既定値を使用することをお勧めします。

     • MDM 使用条件 URL
     • MDM 探索 URL
     • MDM 準拠 URL

4. [保存] を選択します。

5. Intune に登録したデバイスは、Defender for Business のデバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

ヒント

詳細については、「 Windows の自動登録を有効にする」を参照してください。

ユーザーに Windows 10 および 11 デバイスの登録を依頼する

1. 登録のしくみについては、次のビデオをご覧ください。
   
   

2. この記事を組織内のユーザーと共有する: Intune で Windows 10/11 デバイスを登録する。

3. Intune に登録したデバイスは、Defender for Business のデバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

Windows 10 または 11 デバイスで検出テストを実行する

Defender for Business に Windows デバイスをオンボードしたら、デバイスで検出テストを実行して、すべてが正常に動作していることを確認できます。

1. Windows デバイスで、フォルダーを作成します: C:\test-MDATP-test。

2. 管理者としてコマンド プロンプトを開き、次のコマンドを実行します。

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、約 10 分以内に新しくオンボードされたデバイスの Microsoft Defender ポータル (https://security.microsoft.com) に新しいアラートが表示されます。

Mac

Mac

注:

ローカル スクリプトを使用して Mac をオンボードすることをお勧めします。 Intune を使用して Mac の登録を設定できますが、ローカル スクリプトは、Mac を Defender for Business にオンボードするための最も簡単な方法です。

Mac をオンボードするには、次のいずれかの方法があります。

• Mac 用のローカル スクリプト (推奨)
• Intune for Mac (Intune を既に使用している場合)

Mac 用のローカル スクリプト

Mac でローカル スクリプトを実行すると、Microsoft Entra ID を使用して信頼が作成され (その信頼がまだ存在しない場合)、Mac が Microsoft Intune に登録され (まだ登録されていない場合)、Mac が Defender for Business にオンボードされます。 この方法を使用して、一度に最大 10 台のデバイスをオンボードすることをお勧めします。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. [macOS] を選択します。

4. [ 接続の種類] で、[ 合理化] を選択します。

5. [ デプロイ方法 ] セクションで、[ ローカル スクリプト] を選択し、[ オンボード パッケージのダウンロード] を選択します。 パッケージをリムーバブル ドライブに保存します。 [ インストール パッケージのダウンロード] を選択し、リムーバブル デバイスに保存します。

6. Mac で、インストール パッケージ wdav.pkg を としてローカル ディレクトリに保存します。

7. オンボード パッケージを、インストール パッケージ WindowsDefenderATPOnboardingPackage.zip に使用したのと同じディレクトリに保存します。

8. Finder を使用して保存した場所に wdav.pkg 移動し、開きます。

9. [ 続行] を選択し、ライセンス条項に同意し、メッセージが表示されたらパスワードを入力します。

10. Microsoft からのドライバーのインストールを許可するように求められます ( [システム拡張機能がブロックされました] または [ インストールが保留]、またはその両方)。 ドライバーのインストールを許可する必要があります。 [セキュリティ設定を開く] または [システム環境設定>を開く] [セキュリティ & プライバシー] を選択し、[許可] を選択します。

11. オンボード パッケージを実行するには、次の Bash コマンドを使用します。

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Mac が Intune に登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

Intune for Mac

Intune を既に使用している場合は、Intune 管理センター (https://intune.microsoft.com) を使用して Mac コンピューターを登録できます。 Mac を Intune に登録する方法はいくつかあります。 次のいずれかの方法をお勧めします。

• 会社所有の Mac のオプションを選択する
• Intune に自分の Mac を登録するようにユーザーに依頼する

会社所有 Mac のオプション

会社が管理する Mac デバイスを Intune に登録するには、次のいずれかのオプションを選択します。

オプション	説明
Apple 自動デバイス登録	Apple Business Manager または Apple School Manager を使用して購入したデバイスでの登録を自動化するには、この方法を使用します。 自動デバイス登録では、登録プロファイルが "無線で" 展開されるため、デバイスに物理的にアクセスする必要はありません。 「Mac を Apple Business Manager または Apple School Manager に自動的に登録する」を参照してください。
デバイス登録マネージャー (DEM)	大規模な展開にこの方法を使用します。また、登録の設定に役立つ複数のユーザーが組織内に存在する場合は、この方法を使用します。 デバイス登録マネージャー (DEM) アクセス許可を持つユーザーは、1 つの Microsoft Entra アカウントで最大 1,000 台のデバイスを登録できます。 このメソッドは、ポータル サイトまたは Microsoft Intune を使用してデバイスを登録します。 自動デバイス登録を使用してデバイスを登録するには、DEM アカウントを使用できません。 「 デバイス登録マネージャー アカウントを使用して Intune にデバイスを登録する」を参照してください。
直接登録	直接登録では、ユーザー アフィニティのないデバイスが登録されるため、この方法は、1 人のユーザーに関連付けられていないデバイスに最適です。 このメソッドでは、登録する Mac に物理的にアクセスする必要があります。 「 Mac の直接登録を使用する」を参照してください。

Intune に自分の Mac を登録するようにユーザーに依頼する

ユーザーが自分のデバイスを Intune に登録することを希望する場合は、次の手順に従ってユーザーに指示します。

1. ポータル サイト Web サイト (https://portal.manage.microsoft.com/) に移動し、サインインします。

2. ポータル サイト Web サイトの指示に従って、デバイスを追加します。

3. にポータル サイト アプリをインストールし、アプリ https://aka.ms/EnrollMyMacの指示に従います。

Mac がオンボードされていることを確認する

1. デバイスが会社に関連付けられていることを確認するには、Bash で次の Python コマンドを使用します。

   mdatp health --field org_id.

2. macOS 10.15 (Catalina) 以降を使用している場合は、デバイスを保護するために Defender for Business の同意を付与します。 [システム環境設定>] [セキュリティ] & [プライバシー]>[フル>ディスク アクセス] の順に移動します。 ダイアログの下部にあるロック アイコンを選択して変更を行い、 Microsoft Defender for Business (または Defender for Endpoint (表示される場合) を選択します。

3. デバイスがオンボードされていることを確認するには、Bash で次のコマンドを使用します。

   mdatp health --field real_time_protection_enabled

デバイスが Intune に登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

モバイル デバイス

モバイル デバイス

次の方法を使用して、Android や iOS デバイスなどのモバイル デバイスをオンボードできます。

• Microsoft Defender アプリを使用する
• Microsoft Intune を使用する

Microsoft Defender アプリを使用する

モバイル脅威防御機能 が Defender for Business のお客様に一般提供されるようになりました。 これらの機能を使用すると、Microsoft Defender アプリを使用してモバイル デバイス (Android や iOS など) をオンボードできるようになりました。 この方法では、ユーザーは Google Play または Apple App Store からアプリをダウンロードし、サインインし、オンボード手順を完了します。

重要

モバイル デバイスをオンボードする前に、次のすべての要件が満たされていることを確認します。

1. Defender for Business のプロビジョニングが完了しました。 Microsoft Defender ポータルで、[資産デバイス]> に移動します。
   - "ハングオン! データの新しいスペースを準備して接続しています。その後、Defender for Business はプロビジョニングを完了していません。 このプロセスは現在行われ、完了までに最大 24 時間かかることがあります。
   - デバイスの一覧が表示された場合、またはデバイスのオンボードを求められた場合は、Defender for Business プロビジョニングが完了したことを意味します。
2. ユーザーはデバイスに Microsoft Authenticator アプリをダウンロードし、Microsoft 365 の職場または学校アカウントを使用してデバイスを登録しました。

デバイス	プロシージャ
Android	1. デバイスで、Google Play ストアに移動します。 2. まだインストールしていない場合は、Microsoft Authenticator アプリをダウンロードしてインストールします。 サインインし、Microsoft Authenticator アプリにデバイスを登録します。 3. Google Play ストアで、Microsoft Defender アプリを検索してインストールします。 4. Microsoft Defender アプリを開き、サインインし、オンボード プロセスを完了します。
iOS	1. デバイスで、Apple App Store に移動します。 2. まだインストールしていない場合は、Microsoft Authenticator アプリをダウンロードしてインストールします。 サインインし、Microsoft Authenticator アプリにデバイスを登録します。 3. Apple App Store で、Microsoft Defender アプリを検索します。 4. サインインしてアプリをインストールします。 5. 引き続き使用条件に同意します。 6. Microsoft Defender アプリで VPN 接続を設定し、VPN 構成を追加できるようにします。 7. 通知 (アラートなど) を許可するかどうかを選択します。

ヒント

Microsoft Defender アプリを使用してモバイル デバイスをオンボードしたら、 デバイスでフィッシング テストを実行します。

Microsoft Intune を使用する

サブスクリプションに Microsoft Intune が含まれている場合は、Android や iOS/iPadOS デバイスなどのモバイル デバイスのオンボードに使用できます。 これらのデバイスを Intune に登録する方法については、次のリソースを参照してください。

• Android デバイスを登録する
• iOS または iPadOS デバイスを登録する

デバイスが Intune に登録されたら、デバイス グループに追加できます。 Defender for Business のデバイス グループについて詳しくは、こちらをご覧ください。

サーバー

サーバー

注:

Windows Server または Linux Server のインスタンスをオンボードする予定の場合は、 Microsoft Defender for Business サーバーなどの追加ライセンスが必要です。 または、 Microsoft Defender for Servers プラン 1 またはプラン 2 を使用することもできます。 詳細については、「 Microsoft エンドポイント セキュリティ サブスクリプションが混在している場合はどうなるか」を参照してください。

サーバーのオペレーティング システムを選択します。

• Windows Server
• Linux Server

Windows Server

重要

Windows Server エンドポイントをオンボードする前に、次の要件を満たしていることを確認してください。

• Microsoft Defender for Business サーバーライセンスをお持ちの場合。 (「 Microsoft Defender for Business サーバーを取得する方法」を参照してください)。
• Windows Server の強制範囲がオンになっています。 [設定]>[エンドポイント]>[構成管理]>[強制範囲] の順に移動します。 [ MDE を使用して MEM からセキュリティ構成設定を適用する] を選択し、[ Windows Server] を選択し、[保存] を選択 します。

ローカル スクリプトを使用して、Windows Server のインスタンスを Defender for Business にオンボードできます。

Windows Server のローカル スクリプト

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで [設定] > [エンドポイント] を選択し、[デバイス管理] で [オンボード] を選択します。

3. Windows Server 1803、2019、2022 などのオペレーティング システムを選択し、[展開方法] セクションで [ローカル スクリプト] を選択します。

   Windows Server 2012 R2 と 2016 を選択した場合は、インストール パッケージとオンボード パッケージの 2 つのパッケージをダウンロードして実行できます。 インストール パッケージには、Defender for Business エージェントをインストールする MSI ファイルが含まれています。 オンボード パッケージには、Windows Server エンドポイントを Defender for Business にオンボードするためのスクリプトが含まれています。

4. [オンボーディング パッケージをダウンロードする] を選択します。 オンボード パッケージはリムーバブル ドライブに保存することをお勧めします。

   Windows Server 2012 R2 と 2016 を選択した場合は、[インストール パッケージのダウンロード] も選択し、パッケージをリムーバブル ドライブに保存します

5. Windows Server エンドポイントで、インストール/オンボード パッケージの内容を Desktop フォルダーなどの場所に抽出します。 という名前 WindowsDefenderATPLocalOnboardingScript.cmdのファイルが必要です。

   Windows Server 2012 R2 または Windows Server 2016 をオンボードする場合は、最初にインストール パッケージを抽出します。

6. 管理者としてコマンド プロンプトを開きます。

7. Windows Server 2012R2 または Windows Server 2016 をオンボードする場合は、次のコマンドを実行します。

   Msiexec /i md4ws.msi /quiet

   Windows Server 1803、2019、または 2022 をオンボードする場合は、この手順をスキップして手順 8 に進みます。

8. スクリプト ファイルの場所を入力します。 たとえば、ファイルをデスクトップ フォルダーにコピーした場合は、 と入力 %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdし、Enter キーを押します (または [OK] を選択します)。

9. [Windows Server で検出テストを実行する] に移動します。

Windows Server で検出テストを実行する

Windows Server エンドポイントを Defender for Business にオンボードした後、検出テストを実行して、すべてが正しく動作していることを確認できます。

1. Windows Server デバイスで、 フォルダーを作成します。 C:\test-MDATP-test

2. 管理者としてコマンド プロンプト ウィンドウを開きます。

3. コマンド プロンプト ウィンドウで、次の PowerShell コマンドを実行します:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされ、約 10 分以内に新しくオンボードされたデバイスの Microsoft Defender ポータル (https://security.microsoft.com) に新しいアラートが表示されます。

Linux Server

重要

Linux Server エンドポイントをオンボードする前に、次の要件を満たしていることを確認してください。

• Microsoft Defender for Business サーバーライセンスをお持ちの場合。 (「 Microsoft Defender for Business サーバーを取得する方法」を参照してください)。
• Linux 上の Microsoft Defender for Endpoint の前提条件を満たしています。

Linux Server エンドポイントのオンボード

次の方法を使用して、Linux Server のインスタンスを Defender for Business にオンボードできます。

• ローカル スクリプト: 「 Linux で Microsoft Defender for Endpoint を手動でデプロイする」を参照してください。
• Ansible: 「 Ansible を使用して Linux に Microsoft Defender for Endpoint をデプロイする」を参照してください。
• シェフ：「Chef を使用して Linux に Defender for Endpoint をデプロイする」を参照してください。
• 人形： 「 Puppet を使用して Linux に Microsoft Defender for Endpoint をデプロイする」を参照してください。

注:

Linux Server のインスタンスを Defender for Business にオンボードすることは、 Linux 上の Microsoft Defender for Endpoint へのオンボードと同じです。

オンボードされたデバイスの一覧を表示する

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで、[アセット> デバイス] に移動します。 [ デバイス インベントリ ] ビューが開きます。

デバイスでフィッシング テストを実行する

デバイスをオンボードしたら、クイック フィッシング テストを実行して、デバイスが接続されていること、およびアラートが期待どおりに生成されていることを確認できます。

1. デバイスで、 に移動します https://smartscreentestratings2.net。 Defender for Business は、ユーザーのデバイスでその URL をブロックする必要があります。

2. 組織のセキュリティ チームのメンバーとして、Microsoft Defender ポータル (https://security.microsoft.com) に移動してサインインします。

3. ナビゲーション ウィンドウで、[インシデント] に移動 します。 デバイスがフィッシング サイトにアクセスしようとしたことを示す情報アラートが表示されます。

次の手順

• オンボードする他のデバイスがある場合は、それらのデバイス (Windows 10 および 11、Mac、サーバー、またはモバイル デバイス) のタブを選択し、そのタブのガイダンスに従います。
• デバイスのオンボードが完了したら、「 手順 6: Defender for Business でセキュリティ設定とポリシーを構成する」に進みます。