Microsoft Defender セキュリティセンター オンボーディング〜Windows デバイス グループポリシー編〜

Microsoft Defender セキュリティセンター オンボーディング〜Windows デバイス グループポリシー編〜

今回はグループポリシーを使って Windows デバイスを Microsoft Defender セキュリティセンターへオンボードする方法を紹介します。

前回はローカルスクリプトでのオンボーディングを紹介しました。検証用で数台なら耐えられますが、本番環境への適用となると到底耐えられなくなると思います。そこで、Windows デバイスを大量にオンボーディングさせるためにグループポリシーを使います。

前提条件

グループポリシーを使うので、ドメイン環境があることを前提とします。対象となる Windows のバージョンは次の通りです。

  • Windows 10
  • Windows Server SAC 1809
  • Windows Server 2019

オンボーディング手順

動作の仕組み

動作の仕組みとしては単純で、ローカルスクリプトでのオンボーディングと同じスクリプトを起動時に実行するように、グループポリシーでタスクを仕込みます。1台ごとに設定する必要はなく、デバイスが増えても統一した管理方法でオンボーディングできます。

オンボーディング用ファイルをダウンロード

Microsoft Defender セキュリティセンターからオンボーディング用のスクリプトをダウンロードします。

左メニューの [Settings]>[Onboarding] をクリックします。[Select operating system to start onboarding process][Windows Server 1803 and 2019] (もしくは[Windows 10] を選択します。

[Deployment method][Group Policy] を選択します。[Download package] をクリックし、オンボーディングスクリプトをダウンロードします。

ダウンロードしたファイルをドメインコントローラーか、GPO 管理操作を実行できるコンピューターに配置します。

グループポリシーの作成

グループポリシーを設定する前に準備をしておきます。ダウンロードしたファイルを展開します。「WindowsDefenderATPOnboardingPackage」フォルダ内にある「WindowsDefenderATPOnboardingScript.cmd」というスクリプトファイルをオンボーディングしたいデバイスがアクセス可能な共有ストレージに配置してください。

読み取り可能な権限があれば問題ないです。デバイスとしてアクセスするのでシステムユーザー(SYSTEM)に許可を与えます。

これは必須ではありませんが、GPO でエンドポイント保護の構成を設定できるようにするために「WindowsDefenderATPOnboardingPackage」フォルダ内にある管理テンプレートファイルはドメインの SYSVOL フォルダ内に適切に配置しておきます。

[グループポリシーの管理] を起動し、オンボーディング用のグループポリシーオブジェクトを新規作成します。例として「OnboardingMDSC」というオブジェクトを作成しています。作成したオブジェクトを右クリックして [編集] をクリックします。

[グループ ポリシー管理エディター] にて [コンピューターの構成]>[基本設定]>[コントロール パネルの設定]>[タスク] をクリックします。右側ペインの一覧の中で右クリックし、[新規作成]>[即時タスク(Windows 7 以降)] をクリックします。

[新しいタスク] ウィンドウにて、[全般] タブで次の項目を設定します。

  • [名前]:任意のタスク名
  • [セキュリティ オプション]
    • [タスクの実行時に使うユーザーアカウント]:NT AUTHORITY\System(SYSTEM と検索する)
    • [ユーザーがログオンしているかどうかにかかわらず実行する]:有効
    • [最上位の特権で実行する]:有効

[操作] タブで [新規] をクリックします。

[新しい操作] ウィンドウにて、[プログラム/スクリプト] にスクリプト(WindowsDefenderATPOnboardingScript.cmd)を配置したパスを入力し、[OK] をクリックします。

[OK] をクリックしてポリシーの設定を終了します。

作成したポリシーは、オンボーディングしたいデバイスを含んでいる OU などにリンクしておきます。

オンボーディング確認

グループポリシーを適用したあと、デバイスを再起動もしくはポリシーの更新します。正常に動作していれば、しばらくすると追加したデバイスが Microsoft Defender セキュリティセンターに表示されるようになります。