Microsoft Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする

適用対象:

• エンドポイントのデータ損失防止
• インサイダー リスク管理

サポートされているクライアント オペレーティング システム

Configuration Managerを使用して、次のオペレーティング システムをオンボードできます。

• Windows 11

• Windows 10バージョン 1709 以降

重要

エンドポイント用の Microsoft Purview にシステムをオンボードする場合、別のウイルス対策またはマルウェア対策ソリューションが使用されている場合でも、システムは Defender for Endpoint にも報告されます。 このような場合、これらのシステムは パッシブ モードで Defender for Endpoint に報告し、既存のウイルス対策またはマルウェア対策ソリューションに干渉がないことを確認します。

Configuration Managerを使用した Microsoft Purview for Endpoint へのオンボード

Configuration Managerで、クライアントが構成ファイルを認識するように Endpoint Protection 設定を次のように構成します。

• [コンピューター上のエンドポイント保護クライアントの管理] を[はい] に設定します。

• クライアント コンピューターへのエンドポイント保護クライアントのインストールは、No に設定できます。

注:

これは、クライアントがConfiguration Managerから構成ファイルを受信できるようにするためです。 これをオンにしないと、構成ファイルがクライアントに展開されない可能性があります。

• Windows Server 2012 R2 のMicrosoft Defender for Endpoint クライアントを設定し、Windows Server 2016を MDE クライアントに設定します (推奨)。

このクライアント設定構成を、システムのオンボードに使用されるコレクションに展開します。

Configuration Managerを使用してデバイスをオンボードする

1. Microsoft Purview ポータルから構成パッケージ .zip ファイル (DeviceComplianceOnboardingPackage.zip) を取得します。

2. ナビゲーション ウィンドウで、 設定>Device Onboarding>Onboarding を選択します。

3. [オンボーディング プロセスを開始するオペレーティング システムの選択]: [Windows 10] を選択し、[展開方法] フィールドで [Microsoft Endpoint Configuration Manager] を選択します。

4. [ パッケージのダウンロード ] を選択し、.zip ファイルを保存します。

5. .zip ファイルの内容を、展開のためにConfiguration Manager コンソールからアクセスできる共有の読み取り専用の場所に抽出します。 DeviceCompliance.onboarding という名前のファイルが存在することを確認します。

デバイスのオンボード

1. Configuration Manager コンソールで、[資産とコンプライアンス>Endpoint Protection>Microsoft Defender for Endpoint ポリシー] に移動します。

   注:

   Microsoft Purview と Microsoft Defender for Endpointは、同じ方法を使用して Microsoft クラウド セキュリティ環境に接続します。

2. [Microsoft Defender for Endpoint ポリシーの作成] を選択して、ポリシー ウィザードを開きます。

3. [ これらのライセンス条項と両方のエージェントの自動更新に同意する] を選択します。 次に、Microsoft Defender for Endpoint ポリシーの [名前] と [説明] を入力し、[オンボード] を選択します。

4. [ 参照] を 選択し、ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

   注:

   Windows 10 と 11 のワークスペース キーとワークスペース ID は必要ありません。

   [次へ] を選択します。

5. 分析のためにマネージド デバイスから収集および共有されるファイル サンプルを指定します。

   • なし

   • すべてのファイルの種類

6. 概要を確認し、ウィザードを完了します。

7. 作成したポリシーを右クリックし、[デプロイ] を選択し、Microsoft Defender for Endpoint ポリシーを展開するコレクションを選択します。

監視する

1. Configuration Manager コンソールで、[監視>展開] の順に移動し、Defender for Endpoint ポリシーの展開用に作成したデプロイを選択します。

2. [ 状態の表示 ] をクリックして、情報を確認します。 [ 準拠 ] で、オンボードされたシステムの状態を確認できます。 まだオンボードされていないシステムは、[ 不明] タブに表示される場合があります。

注:

このプロセスには時間がかかる場合があり、変更を有効にするためにシステムを再起動する必要がある場合があります。

構成マネージャーを使用してデバイスをオフボードする

セキュリティ上の理由から、Offboard デバイスに使用されるパッケージは、ダウンロード日から 30 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、パッケージ名にも含まれます。

注:

オンボード ポリシーとオフボード ポリシーを同時に同じデバイスに展開しないでください。そうしないと、予期しない競合が発生します。

現在のブランチを使用Microsoft Configuration Managerオフボード デバイス

現在のブランチMicrosoft Configuration Manager使用する場合は、「オフボード構成ファイルを作成する」を参照してください。

オフボード構成ファイルを作成する

1. Microsoft Purview コンソールにサインインします。

2. [ 設定] を選択し、[ デバイスのオンボード ] を選択し、オンボード見出しの下にある [オフボード ] を選択します。

3. オペレーティング システムのWindows 10と展開方法の Microsoft Endpoint Configuration Managerを選択します。

   • Windows 10 オプションを使用すると、コレクション内のすべてのデバイスがオフボード状態になり、必要に応じ MMA がアンインストールされます。

4. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。 オフボード ファイルは 30 日間有効です。

5. Configuration Manager コンソールで、[資産とコンプライアンス>Endpoint Protection>Microsoft Defender [エンドポイント ポリシー] に移動し、[Microsoft Defender for Endpoint ポリシーの作成] を選択します。 ポリシー ウィザードが開きます。

6. Microsoft Defender for Endpoint ポリシーの [名前] と [説明] を入力し、[オフボード] を選択します。

7. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

8. 概要を確認し、ウィザードを完了します。

9. [展開] を選択して、Purview からオフボードするクライアントにMicrosoft Defender for Endpoint ポリシーをターゲットにします。

重要

Microsoft Purview for Endpoint 構成ファイルには機密情報が含まれており、セキュリティで保護する必要があります。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用版の条件の詳細について説明します。

デバイスの構成を監視する

現在のブランチMicrosoft Configuration Manager使用する場合は、Configuration Manager コンソールの組み込みのMicrosoft Defender for Endpoint ダッシュボードを使用します。 詳細については、「Advanced Threat Protection - Monitor のMicrosoft Defender」を参照してください。

デバイスがエンドポイント データ損失防止サービスに準拠していることを確認する

Configuration Managerで構成項目のコンプライアンス規則を設定して、デプロイを監視できます。

注:

この手順とレジストリ エントリは、エンドポイント DLP と Defender for Endpoint に適用されます。

この規則は、対象となるデバイス上のレジストリ キーの値を監視する 修復されていない コンプライアンス規則構成項目である必要があります。

次のレジストリ キー エントリを監視します。

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

詳細については、「 コンプライアンス設定の計画と構成」を参照してください。

関連記事

• グループ ポリシーを使用してWindows 10およびWindows 11デバイスをオンボードする

• モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード

• ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード

• 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

• 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する

• Microsoft Defender for Endpoint の問題のトラブルシューティング