Defender ATP を物理PCに導入する

Microsoft 356 E5 で提供されているDefender ATP を物理PCのWindows 10 に導入する話です。 今回はオンボードまで実施しました。

導入の流れ

Microsoft Docs にあるとおり以下の流れで進めていきます。

  1. セットアップ
    1. ライセンスの状態を確認する
    2. テナントの構成
    3. ネットワーク構成
  2. オンボード

Defender ATP を導入する物理PCの環境

以下の2台の物理PCにDefender ATP を導入します。

  • Windows 10 Enterprise version 2004 がインストールされたノートPC
  • Windows 10 Enterprise version 1909 がインストールされた自作PC

セットアップ

ライセンスの確認

Microsoft Docs の内容に従いMicrosoft 365 E5 ライセンスを確認します。 

マニュアルに記載あるのスクリーンショットと大分異なりますが(Azure Portal のバージョンアップによるUIの変更)、ライセンスがあることは確認できます。

テナントの構成

Microsoft Docs の内容に従い、Defender ATP のテナントの構成を進めます。 

Webブラウザから https://securitycenter.windows.com にアクセスします。 初めてアクセスする場合はここで初期設定が必要となりますが、私の環境ではすでに実施済のためここではその初期設定の内容の省略は割愛します。 基本的にマニュアル通りに進めるだけです。

ネットワーク構成

Microsoft Docs に記載のあるとおりプロキシを利用していない環境ではこのセクションはスキップできます。 私の環境ではプロキシは利用しないためスキップします。  参考までにプロキシが必要な環境ではWinHTTPを構成しましょうということが案内されています。

オンボード

オンボードとは一言でいえばデバイス(物理PC)をクラウド上のDefender ATP の管理システムに登録することです。 

Microsoft Docs ではMicrosoft Endpoint Configuration Manager 使用した展開方法が案内されていますが、他にも複数の展開方法が提供されています。今回は、Microsoft Endpoint Configuration Manager は使用せずシンプルな方法でオンボードを実施します。

オンボードの方法の詳細はこちら。 以下の5つの方法が紹介されています。

オンボード方法説明
グループポリシーを使用した Windows 10 デバイスのオンボードグループポリシーを使って、構成パッケージをデバイスに展開します。
Microsoft Endpoint Configuration Manager を使用した Windows デバイスのオンボードMicrosoft Endpoint Configuration Manager (現在のブランチ) バージョン1606または Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン1602以前のいずれかを使用して、構成パッケージをデバイスに展開できます。
モバイルデバイス管理ツールを使用した Windows 10 デバイスのオンボードモバイルデバイス管理ツールまたは Microsoft Intune を使って、デバイスに構成パッケージを展開します。
ローカルスクリプトを使用した Windows 10 デバイスのオンボードローカル スクリプトを使用して、構成パッケージをエンドポイントに展開する方法について説明します。
内蔵の非永続的仮想デスクトップインフラストラクチャ (VDI) デバイス構成パッケージを使って VDI デバイスを構成する方法について説明します。

今回導入する2台の物理PCはActive Directory ドメインには参加していないため(Azure AD へはJoinしています)、グループポリシーを使用した方法は利用できません。 上記にある”ローカルスクリプトを使用したWindows 10 デバイスへのオンボード” によりオンボードを実施します。

ローカルスクリプトを使用したオンボード

まずは参考とするマニュアルはこちら。 Microsoft Defender Security Center からローカルスクリプトをダウンロードします。

Microsoft Defender Security Center (https://securitycenter.windows.com)にアクセスします。

“Settings” から”Device Management>Onboarding”にアクセスします。

OSにWindows 10 を選択し(既定がWindows 10 )、Deployment method に”Local Script (for up to 10 devices)”(こちらも規定値)を選択し、”Download package” をクリックします。

8KB の”WindowsDefenderATPOnboardingPackage.zip”がダウンロードされます。 このZIP ファイルを展開します。 中身は1つのファイル”WindowsDefenderATPLocalOnboardingScript.cmd”です。 このファイルの中身は環境依存な内容も含まれていたため紹介はしないことにします。

物理PC (Windows 10 Enterprise version 1909)のオンボード

スクリプトを実行します。

コマンドプロンプトで有効化を続行するかの確認が問われます。 “Y”で進めます。 メッセージを以下にテキスト化して紹介します。 Defender ATP portal への反映には5-30分かかるとあります。 今回は関係ありませんが Windows Virtual Desktop などで大量に展開する場合は注意が必要となりそうです。

This script will onboard this machine to the Windows Defender ATP service. Once completed, the machine should light up in the Windows Defender ATP portal within 5-30 minutes, depending on this machine’s internet connectivity availability and machine power state (plugged in vs. battery powered). IMPORTANT: This script is optimized for onboarding a single machine and should not be used for large scale deployment.
For more information, on large scale deployment please consult the Windows Defender ATP documentation on TechNet (links available in the Windows Defender ATP portal under the endpoint onboarding section).

1分もたたずに終了です。

先のメッセージでは5-30分後にMicrosoft Defender Security Center に登録されるとのことでした。 5分たっていませんがアクセスしてみます。 物理PCが登録されていることが確認出来ました。 場合によっては1分もかからずに登録が完了するようです。

デバイスの行をクリックすると、デバイスの詳細情報を確認することが出来ます。 “Logged on users” が”No logged-on users found” となっていることは気になります。 インストールする際にAzure AD のMicrosoft 365 E5 ライセンスを紐づけたアカウントでサインインしているためです。 

一度サインアウトし、サインインしてみましたが”Logged on users”のステータスは変わりません。  とりあえず動作確認を進めます。 (10分後位にサインインユーザの情報を確認出来ました。多少のタイムラグがあるようです)

Microsoft Docs にある”新しく onboarded Microsoft Defender ATP デバイスで検出テストを実行する” で動作確認を行います。

“c:\test-MDATP-test”フォルダを作成し、コマンドプロンプト(管理者で実行)から以下を実行します。

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= ‘silentlycontinue’;(New-Object System.Net.WebClient).DownloadFile(‘http://127.0.0.1/1.exe’, ‘C:\test-MDATP-test\invoice.exe’);Start-Process ‘C:\test-MDATP-test\invoice.exe’

Security Center でincident として検出できたことを確認出来ました。オンボードは正常に終了したと判断します。

物理PC (Windows 10 Enterprise version 2004)のオンボード

Windows 10 Enterprise version 2004 の物理PCでも同様にオンボードをローカルスクリプトから実行します。 こちらも特に問題なくオンボードは完了しました。

またIncident のテストも成功しました。

以上で2台の物理PCのオンボードが完了しました。

まとめ

今回の記事ではオンボードまでの紹介とします。 近い将来のWindows Virtual Desktop でのDefender ATP のテストの予行演習的な側面もありましたが、Defender ATP の導入を始めたのにはもう1つ理由があります。個人で購入しているMicrosoft 365 E5 ライセンスですが、毎月 6,200円の支払いが発生します(今はWindows Virtual Desktop のMulti-session のテストのための2つ購入しているので12,400円/月)。 すべての機能を活用しないともったいないということでMicrosoft 365 E5 が持つ機能をどんどん試す、試すだけではなく実用という面でフル活用しようという思いがありました。あとはお客様に対してMicrosoft 365 E5 をフル活用した新しい世界を提案するにはまずは自分で理解、体験しないといけないなと思ったこともありました。 

以上