次の方法で共有


手順 2: プロキシを使用して Defender for Endpoint サービスに接続するようにデバイスを構成する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

重要

IPv6 専用トラフィック用に構成されているデバイスはサポートされていません。

注:

プロキシを正しく使用するには、Defender for Endpoint で次の 2 つの異なるプロキシ設定を構成します。

オペレーティング システムに応じて、Microsoft Defender for Endpointに使用するプロキシを自動的に構成できます。 自動検出、自動構成ファイル、またはデバイスで実行されている Defender for Endpoint サービスに静的に固有のメソッドを使用できます。

Defender for Endpoint センサーでは、センサー データを報告し、Defender for Endpoint サービスと通信するために Microsoft Windows HTTP (WinHTTP) が必要です。 埋め込み Defender for Endpoint センサーは、 LocalSystem アカウントを使用してシステム コンテキストで実行されます。

ヒント

転送プロキシをインターネットへのゲートウェイとして使用する場合は、ネットワーク保護を使用して、 転送プロキシの背後で発生する接続イベントを調査できます。

WinHTTP構成設定は、Windows インターネット (WinINet) 参照プロキシ設定とは無関係です (「WinINet と WinHTTP」を参照)。 プロキシ サーバーを検出できるのは、次の検出方法を使用することだけです。

  • 自動検出メソッド:

    • 透過プロキシ

    • Web プロキシ自動発見プロトコル (WPAD)

      注:

      ネットワーク トポロジで透過プロキシまたは WPAD を使用している場合は、特別な構成は必要ありません。

  • 手動の静的プロキシの構成:

    • レジストリ ベースの構成

    • netsh コマンドを使用して構成された WinHTTP – 安定したトポロジのデスクトップ (同じプロキシの背後にある企業ネットワークのデスクトップなど) だけに適しています。

注:

Microsoft Defenderウイルス対策プロキシと EDR プロキシは個別に設定できます。 以下のセクションでは、これらの違いに注意してください。

レジストリ ベースの静的プロキシ設定を使用してプロキシ サーバーを手動で構成する

Defender for Endpoint の検出と応答 (EDR) センサー用のレジストリ ベースの静的プロキシを構成して、診断データを報告し、コンピューターがインターネットに直接接続できない場合は Defender for Endpoint サービスと通信します。

注:

常に最新の更新プログラムを適用して、Defender for Endpoint サービスへの正常な接続を確保してください。

静的プロキシ設定はグループ ポリシー (GP) を使用して構成できます。グループ ポリシー値の下の両方の設定を構成する必要があります。 グループ ポリシーは、[管理用テンプレート] で使用できます。

  • 管理用テンプレートの > Windows コンポーネント > データ収集とプレビュー ビルド > 、接続されたユーザー エクスペリエンスとテレメトリ サービスの認証済みプロキシの使用状況を構成します。

    [有効] に設定し、[認証済みプロキシの使用を無効にする] を選択します。

    [グループ ポリシー設定 1 の状態] ウィンドウ

  • 管理用テンプレートの > Windows コンポーネント > データ収集とプレビュー ビルド > 接続されたユーザー エクスペリエンスとテレメトリを構成します。

    プロキシ情報を入力します。

    [グループ ポリシー設定 2 の状態] ウィンドウ

グループ ポリシー レジストリ キー レジストリ エントリ
接続されたユーザー エクスペリエンスとテレメトリ サービス用に認証されたプロキシ使用状況を構成する HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
接続されたユーザー エクスペリエンスと利用統計情報を構成する HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例: 10.0.0.6:8080 (REG_SZ)

注:

完全にオフラインのデバイスでTelemetryProxyServer設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、1の値を持つ追加のレジストリ設定PreferStaticProxyForHttpRequestを追加する必要があります。

PreferStaticProxyForHttpRequestの親レジストリ パスの場所がHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

次のコマンドを使用して、レジストリ値を正しい場所に挿入できます。

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

前に説明したレジストリ値は、バージョン 10.8210.* 以降、またはバージョン 10.8049.* 以降 MsSense.exe 以降でのみ適用できます。

Microsoft Defender ウイルス対策の静的プロキシを構成する

Microsoft Defender ウイルス対策のクラウドで提供される保護では、新しい脅威や新たな脅威に対してほぼ瞬時に自動化された保護が提供されます。 Microsoft Defenderウイルス対策がアクティブなマルウェア対策ソリューションであり、ブロック モードの EDR である場合は、カスタム インジケーターに接続が必要です。これは、Microsoft 以外のソリューションがブロックを実行しなかった場合のフォールバック オプションを提供します。

[管理用テンプレート] で使用できるグループ ポリシーを使用して静的プロキシを構成します:

  1. 管理用テンプレートの>Windows コンポーネント > Microsoft Defenderウイルス対策 > ネットワークに接続するためのプロキシ サーバーを定義します。

  2. これを [有効] に 設定し、プロキシ サーバーを定義します。 URL には、 http:// または https://が必要です。 https://でサポートされているバージョンについては、「Microsoft Defenderウイルス対策の更新プログラムを管理する」を参照してください。

    Microsoft Defender ウイルス対策のプロキシ サーバー

  3. レジストリ キー HKLM\Software\Policies\Microsoft\Windows Defenderの下で、ポリシーはレジストリ値を REG_SZ としてProxyServer設定します。

    レジストリ値 ProxyServer は、次の文字列形式を取ります:

    <server name or ip>:<port>

    たとえば、http://10.0.0.6:8080 のように指定します。

注:

完全にオフラインのデバイスで静的プロキシ設定を使用している場合(つまり、オペレーティング システムがオンライン証明書失効リストまたはWindows Updateに接続できない場合は、DWORD 値が 2SSLOptions追加のレジストリ設定を追加する必要があります。 SSLOptionsの親レジストリ パスの場所がHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SpynetSSLOptionsの詳細については、「Cloud Protection」を参照してください。

回復性とクラウド提供の保護のリアルタイムの性質のために、Microsoft Defenderウイルス対策は最後に既知の動作プロキシをキャッシュします。 セキュリティで保護されたクラウド接続が切断されるため、プロキシ ソリューションで SSL 検査が実行されていないことを確認します。

Microsoft Defenderウイルス対策では、更新プログラムをダウンロードするために静的プロキシを使用してWindows Updateまたは Microsoft Update に接続しません。 代わりに、Windows Updateを使用するように構成されている場合はシステム全体のプロキシを使用し、構成されたフォールバック順序に従って構成された内部更新ソースを使用します。 必要に応じて、Windows コンポーネント>管理テンプレート> Microsoft Defenderウイルス対策を使用>ネットワークに接続するためのプロキシの自動構成 (.pac) を定義できます。 複数のプロキシを使用して高度な構成を設定する必要がある場合は、[管理用テンプレート] > [Windows コンポーネント] > Microsoft Defender [ウイルス対策] > [アドレスの定義] を使用してプロキシ サーバーをバイパスし、Microsoft Defenderウイルス対策がそれらの宛先にプロキシ サーバーを使用できないようにします。

PowerShell を Set-MpPreference コマンドレットと一緒に使用して、次のオプションを構成できます:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

netsh コマンドを使用してプロキシ サーバーを手動で構成する

netshを使用して、システム全体の静的プロキシを構成します。

注:

この構成は、既定のプロキシで WinHTTP を使用する Windows サービスを含むすべてのアプリケーションに影響します。

  1. 管理者特権でコマンド プロンプトを開きます。

    1. [スタート] に移動し、「cmd」と入力します。
    2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
  2. 次のコマンドを入力して、Enter キーを押します。

    netsh winhttp set proxy <proxy>:<port>
    

    例: netsh winhttp set proxy 10.0.0.6:8080

  3. winhttp プロキシをリセットするには、次のコマンドを入力して Enter キーを押します。

    netsh winhttp reset proxy
    

詳細については、「Netsh コマンドの構文、コンテキスト、およびフォーマット」を参照してください。

以前の MMA ベースのソリューションを実行している Windows デバイス

Windows 7、Windows 8.1、Windows Server 2008 R2、および統合エージェントにアップグレードされず、Microsoft Monitoring Agent (Log Analytics Agent とも呼ばれます) を使用して Defender for Endpoint サービスに接続するサーバーの場合は、システム全体のプロキシ設定を使用するか、プロキシまたはログ分析ゲートウェイ経由で接続するようにエージェントを構成できます。

以前のバージョンの Windows をオンボードする

次の手順

手順 3: Microsoft Defender for Endpoint サービス URL へのクライアント接続を確認する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。