手順 2: プロキシを使用して Defender for Endpoint サービスに接続するようにデバイスを構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
重要
IPv6 専用トラフィック用に構成されているデバイスはサポートされていません。
注:
プロキシを正しく使用するには、Defender for Endpoint で次の 2 つの異なるプロキシ設定を構成します。
オペレーティング システムに応じて、Microsoft Defender for Endpointに使用するプロキシを自動的に構成できます。 自動検出、自動構成ファイル、またはデバイスで実行されている Defender for Endpoint サービスに静的に固有のメソッドを使用できます。
- Windows デバイスの場合は、「 デバイス プロキシとインターネット接続設定の構成 (この記事)」を参照してください。
- Linux デバイスの場合は、「静的プロキシ検出用に Linux でMicrosoft Defender for Endpointを構成する」を参照してください。
- macOS デバイスについては、「Mac でのMicrosoft Defender for Endpoint」を参照してください。
Defender for Endpoint センサーでは、センサー データを報告し、Defender for Endpoint サービスと通信するために Microsoft Windows HTTP (WinHTTP
) が必要です。 埋め込み Defender for Endpoint センサーは、 LocalSystem
アカウントを使用してシステム コンテキストで実行されます。
ヒント
転送プロキシをインターネットへのゲートウェイとして使用する場合は、ネットワーク保護を使用して、 転送プロキシの背後で発生する接続イベントを調査できます。
WinHTTP
構成設定は、Windows インターネット (WinINet
) 参照プロキシ設定とは無関係です (「WinINet と WinHTTP」を参照)。 プロキシ サーバーを検出できるのは、次の検出方法を使用することだけです。
自動検出メソッド:
透過プロキシ
Web プロキシ自動発見プロトコル (WPAD)
注:
ネットワーク トポロジで透過プロキシまたは WPAD を使用している場合は、特別な構成は必要ありません。
手動の静的プロキシの構成:
レジストリ ベースの構成
netsh コマンドを使用して構成された WinHTTP – 安定したトポロジのデスクトップ (同じプロキシの背後にある企業ネットワークのデスクトップなど) だけに適しています。
注:
Microsoft Defenderウイルス対策プロキシと EDR プロキシは個別に設定できます。 以下のセクションでは、これらの違いに注意してください。
レジストリ ベースの静的プロキシ設定を使用してプロキシ サーバーを手動で構成する
Defender for Endpoint の検出と応答 (EDR) センサー用のレジストリ ベースの静的プロキシを構成して、診断データを報告し、コンピューターがインターネットに直接接続できない場合は Defender for Endpoint サービスと通信します。
注:
常に最新の更新プログラムを適用して、Defender for Endpoint サービスへの正常な接続を確保してください。
静的プロキシ設定はグループ ポリシー (GP) を使用して構成できます。グループ ポリシー値の下の両方の設定を構成する必要があります。 グループ ポリシーは、[管理用テンプレート] で使用できます。
管理用テンプレートの > Windows コンポーネント > データ収集とプレビュー ビルド > 、接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用状況を構成します。
[有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します。
管理用テンプレートの > Windows コンポーネント > データ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリを構成します。
プロキシ情報を入力します。
グループ ポリシー | レジストリ キー | レジストリ エントリ | 値 |
---|---|---|---|
接続されたユーザー エクスペリエンスとテレメトリ サービス用に認証されたプロキシ使用状況を構成する | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
接続されたユーザー エクスペリエンスと利用統計情報を構成する | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port 例: 10.0.0.6:8080 (REG_SZ) |
注:
完全にオフラインのデバイスでTelemetryProxyServer
設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、1
の値を持つ追加のレジストリ設定PreferStaticProxyForHttpRequest
を追加する必要があります。
PreferStaticProxyForHttpRequest
の親レジストリ パスの場所がHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
。
次のコマンドを使用して、レジストリ値を正しい場所に挿入できます。
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
前に説明したレジストリ値は、バージョン 10.8210.*
以降、またはバージョン 10.8049.*
以降 MsSense.exe 以降でのみ適用できます。
Microsoft Defender ウイルス対策の静的プロキシを構成する
Microsoft Defender ウイルス対策のクラウドで提供される保護では、新しい脅威や新たな脅威に対してほぼ瞬時に自動化された保護が提供されます。 Microsoft Defenderウイルス対策がアクティブなマルウェア対策ソリューションであり、ブロック モードの EDR である場合は、カスタム インジケーターに接続が必要です。これは、Microsoft 以外のソリューションがブロックを実行しなかった場合のフォールバック オプションを提供します。
[管理用テンプレート] で使用できるグループ ポリシーを使用して静的プロキシを構成します:
管理用テンプレートの>Windows コンポーネント > Microsoft Defenderウイルス対策 > ネットワークに接続するためのプロキシ サーバーを定義します。
これを [有効] に 設定し、プロキシ サーバーを定義します。 URL には、
http://
またはhttps://
が必要です。https://
でサポートされているバージョンについては、「Microsoft Defenderウイルス対策の更新プログラムを管理する」を参照してください。レジストリ キー
HKLM\Software\Policies\Microsoft\Windows Defender
の下で、ポリシーはレジストリ値をREG_SZ
としてProxyServer
設定します。レジストリ値
ProxyServer
は、次の文字列形式を取ります:<server name or ip>:<port>
たとえば、
http://10.0.0.6:8080
のように指定します。
注:
完全にオフラインのデバイスで静的プロキシ設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、DWORD 値が 2
のSSLOptions
追加のレジストリ設定を追加する必要があります。
SSLOptions
の親レジストリ パスの場所がHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet
。
SSLOptions
の詳細については、「Cloud Protection」を参照してください。
回復性とクラウド提供の保護のリアルタイムの性質のために、Microsoft Defenderウイルス対策は最後に既知の動作プロキシをキャッシュします。 セキュリティで保護されたクラウド接続が切断されるため、プロキシ ソリューションで SSL 検査が実行されていないことを確認します。
Microsoft Defenderウイルス対策では、更新プログラムをダウンロードするために静的プロキシを使用してWindows Updateまたは Microsoft Update に接続しません。 代わりに、Windows Updateを使用するように構成されている場合はシステム全体のプロキシを使用し、構成されたフォールバック順序に従って構成された内部更新ソースを使用します。 必要に応じて、Windows コンポーネント>管理テンプレート> Microsoft Defenderウイルス対策を使用>ネットワークに接続するためのプロキシの自動構成 (.pac) を定義できます。 複数のプロキシを使用して高度な構成を設定する必要がある場合は、[管理用テンプレート] > [Windows コンポーネント] > Microsoft Defender [ウイルス対策] > [アドレスの定義] を使用してプロキシ サーバーをバイパスし、Microsoft Defenderウイルス対策がそれらの宛先にプロキシ サーバーを使用できないようにします。
PowerShell を Set-MpPreference
コマンドレットと一緒に使用して、次のオプションを構成できます:
ProxyBypass
ProxyPacUrl
ProxyServer
netsh
コマンドを使用してプロキシ サーバーを手動で構成する
netsh
を使用して、システム全体の静的プロキシを構成します。
注:
この構成は、既定のプロキシで WinHTTP
を使用する Windows サービスを含むすべてのアプリケーションに影響します。
管理者特権でコマンド プロンプトを開きます。
-
[スタート] に移動し、「
cmd
」と入力します。 - [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
-
[スタート] に移動し、「
次のコマンドを入力して、Enter キーを押します。
netsh winhttp set proxy <proxy>:<port>
例:
netsh winhttp set proxy 10.0.0.6:8080
winhttp
プロキシをリセットするには、次のコマンドを入力して Enter キーを押します。netsh winhttp reset proxy
詳細については、「Netsh コマンドの構文、コンテキスト、およびフォーマット」を参照してください。
以前の MMA ベースのソリューションを実行している Windows デバイス
Windows 7、Windows 8.1、Windows Server 2008 R2、および統合エージェントにアップグレードされず、Microsoft Monitoring Agent (Log Analytics Agent とも呼ばれます) を使用して Defender for Endpoint サービスに接続するサーバーの場合は、システム全体のプロキシ設定を使用するか、プロキシまたはログ分析ゲートウェイ経由で接続するようにエージェントを構成できます。
- プロキシを使用するようにエージェントを構成する: プロキシ構成
- プロキシまたはハブとして機能するように Azure Log Analytics (旧称 OMS ゲートウェイ) を設定する: Azure Log Analytics エージェント
次の手順
手順 3: Microsoft Defender for Endpoint サービス URL へのクライアント接続を確認する
関連記事
- 切断された環境、プロキシ、およびMicrosoft Defender for Endpoint
- グループ ポリシー設定を使用して Microsoft Defender ウイルス対策を管理する
- Windows デバイスのオンボード
- Microsoft Defender for Endpoint の問題のトラブルシューティング
- Microsoft Defender for Endpointにインターネットにアクセスせずにデバイスをオンボードする
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。