企業環境での Microsoft Defender ウイルス対策の構成

企業環境での Microsoft Defender ウイルス対策の構成

2024 年 9 月 8 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアがエンタープライズ環境で Microsoft Defender ウイルス対策 (MDAV) を効果的に構成および管理できるようガイドすることを目的としています。 Windows オペレーティング システムの不可欠な部分である MDAV は、基本的なソリューションから Microsoft のセキュリティ戦略の堅牢かつ基本的なコンポーネントに進化し、マルウェア、ランサムウェア、ファイルレス攻撃などの幅広い脅威に対する次世代のエンドポイント保護を提供します [1]。

はじめに

進化し続けるサイバー脅威の状況では、信頼性が高く、適切に構成されたウイルス対策ソリューションを用意することが、あらゆる組織にとって防御の最前線となります。 Microsoft Defender ウイルス対策は、一元管理すると、Microsoft エコシステムとシームレスに統合する強力な保護を提供し、統合された可視性と制御を提供します。このガイドでは、エンタープライズ環境で Defender AV を構成し、組織を一貫して効果的に保護するための最も一般的な方法について説明します。

管理ツール

エンタープライズ環境で Microsoft Defender AV を管理するには、いくつかの方法があります。最も一般的なものは次のとおりです。

  • Microsoft Intune (推奨): 最新のクラウドベースの管理を使用している組織向け。 Microsoft エンドポイント マネージャー ポータルに、セキュリティ ポリシーを作成および展開するための集中インターフェイスを提供します。
  • グループ ポリシー (GPO): オンプレミスの Active Directory インフラストラクチャを使用する組織向け。グループ ポリシー オブジェクトを使用した構成を許可します。
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): 多くの場合、ハイブリッド環境での大規模な管理用。
  • PowerShell: 詳細または一括の自動化と構成用。

このガイドでは、IntuneGPO という 2 つの最も一般的な方法に焦点を当てます。

前提条件

  • オペレーティング システム: Windows 10、Windows 11、または Windows Server 2016 以降。
  • 管理アクセス: Intune 管理者 (Intune の場合) またはドメイン管理者 (GPO の場合) のアクセス許可。
  • ライセンス: Defender AV は Windows に含まれています。高度な機能 (Microsoft Defender for Endpoint など) には追加のライセンスが必要です (例: Microsoft 365 E5)。

Microsoft Intune を使用した Defender AV の構成

これは、クラウド管理デバイスに対して推奨される最新のアプローチです。

  1. Microsoft Intune ポータル: https://intune.microsoft.com に移動します。
  2. [エンドポイント セキュリティ] > [ウイルス対策] に移動します。
  3. [ポリシーの作成] をクリックします。
  4. 以下を選択します。
    • プラットフォーム: Windows 10 以降
    • プロファイル: 「Microsoft Defender ウイルス対策」
  5. [作成] をクリックします。
  6. 基本: ポリシーに名前 (例:「Windows - Defender AV Default Policy」) と説明を付けます。 [次へ] をクリックします。
  7. 構成設定: これは最も重要なステップです。ベスト プラクティスに従って次のセクションを構成します。
    • クラウド保護:
      • クラウド提供の保護を有効にする: 「はい」。リアルタイムの脅威インテリジェンスに不可欠です。
      • クラウドで提供される保護レベル:「高」。より積極的な検出を提供します。
      • 延長された Defender Cloud タイムアウト:「50」秒。これにより、クラウド サービスが疑わしいファイルを分析する時間が増えます。
    • リアルタイム保護:
      • リアルタイム保護を有効にする: 「はい」。ディフェンダープロテクションの中核。
      • 動作監視を有効にする: 「はい」。
      • ダウンロードされたすべてのファイルと添付ファイルをスキャンします: 「はい」。
    • 検証:
      • 毎日のクイックチェックをスケジュールする: 使用時間を短く設定します (例: 12:00)。
      • スケジュールされたスキャンの種類: 「クイック スキャン」。
    • 除外: セキュリティ違反を避けるために、除外を慎重に構成してください。 Microsoft Defender ウイルス対策の除外 ポリシーを使用して、これを一元管理します。
  8. 割り当て: Azure AD デバイスのグループにポリシーを割り当てます。
  9. 確認と作成: ポリシーを確認して作成します。

グループ ポリシー (GPO) を使用した Defender AV の構成

ローカル Active Directory を使用する環境の場合。

  1. グループ ポリシー管理エディタを開きます。
  2. 上に作成しますGPO を作成するか、既存の GPO を編集して目的の OU (組織単位) にリンクします。
  3. 「コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Microsoft Defender ウイルス対策」に移動します。
  4. 次のポリシーを設定します (「有効」に設定し、オプションを調整します)。
    • Microsoft Defender ウイルス対策を無効にする: 常にオンになるように「無効」に設定します。
    • リアルタイム保護:
      • 動作監視を有効にする
      • ダウンロードされたすべてのファイルと添付ファイルをスキャン
      • コンピュータ上のファイルとプログラムのアクティビティを監視する
    • MAPS (クラウド保護に相当):
      • 「Microsoft MAPS に参加」: 「高度な MAPS」を選択します。
      • 「一目でブロック」機能を設定: 有効
    • 検証:
      • 「スキャン タイプ」や「スキャン日」などのスケジュール スキャン オプションを構成します。

検証と監視

  • ローカル: クライアント デバイスで Windows セキュリティ アプリを開き、「ウイルスと脅威の防止」設定が組織によって管理されていることを確認します。
  • PowerShell 経由: Get-MpComputerStatus コマンドを実行して、AMRunningMode (「Normal」である必要があります) および署名日付を含むウイルス対策ステータスを確認します。
  • Microsoft 365 Defender ポータル: Defender for Endpoint をお持ちの場合、ポータル (security.microsoft.com) では、レポート > デバイスの正常性 ですべてのデバイスのウイルス対策の正常性に関する詳細なレポートが提供されます。

結論

Microsoft Defender ウイルス対策を正しく構成することは、組織のエンドポイントを保護するための基本的な手順です。 Microsoft Intune による最新の管理でも、GPO による従来の管理でも、セキュリティ ポリシーを一貫して適用することで、企業の防御の第一線が堅牢で回復力があり、最新の脅威に対して常に最新の状態になることが保証されます。 Microsoft ポータルを介した継続的な監視によりループが閉じられ、環境のコンプライアンスとセキュリティを確保するために必要な可視性が提供されます。

参考文献

[1] マイクロソフト。 (2023年)。 Windows の Microsoft Defender ウイルス対策。 [2] マイクロソフト。 (2023年)。 Microsoft Intune を使用して Microsoft Defender ウイルス対策を管理。 [3] マイクロソフト。 (2023年)。 グループ ポリシー設定を使用して、Microsoft Defender ウイルス対策を構成および管理します