【Made in Home 365 #7】EPP(Microsoft Defender AntiVirus)を構成する

 

Made in Home シリーズも #7 まで来ました。改めて、ここまでのおさらいを簡単に図示しておきます。

PC のセットアップがだいぶ進みましたね!おそらく PC のセットアップでやりたいことは半分ぐらいまではできました。今後更に細かい設定を行っていきますので続編もお楽しみに!そしてバックナンバーは下記から確認できますのでぜひ一気読みしてくださいね!

記事一覧 - JBS Tech Blog

用語説明

今回は Intune 登録済みの PC にポリシーを配布して、Microsoft Defender AntiVirus を構成します。
今回(#7)と次回(#8)で EPP と EDR について紹介しながら構成しますが、用語と略語を簡単に紹介します。

  • EPP(Endpoint Protection Platform)
    マルウェア感染を防止することに特化した製品です。組織内に侵入したマルウェアを検知し、自動的に駆除したりマルウェアが実行されないようにする機能を提供します。
  • MDAV(Microsoft Defender AntiVirus)
    マイクロソフト社が提供するアンチウィルス製品です。
  • EDR(Endpoint Detection and Response)
    マルウェアの感染防止を目的としているEPPとは異なり、マルウェア感染後の調査や対応を支援する製品です。
  • MDfE(Microsoft Defender for Endpoint)
    マイクロソフト社が提供する EDR 製品です。

ポリシー作成

Intune 管理センター(https://endpoint.microsoft.com/)にログインして
[エンドポイント セキュリティ] > [ウィルス対策] > [+ポリシーの作成] の順にクリックします。

プラットフォーム:Windows 10、Windows 11、Windows Server
プロファイルの種類:Microsoft Defender ウィルス対策
を選択して [作成] をクリックします。

名前、説明を任意で入力して、[次へ] をクリックします。

下記設定を行って、[次へ] をクリックします。

※ポリシーの詳細は下記 URL から確認ください。

ポリシー CSP - Defender - Windows Client Management | Microsoft Docs

 

設定名

設定値

動作監視を許可する

許可済み。リアルタイムの動作監視を有効にします。

クラウド保護を許可する

許可済み。Microsoft Active Protection Service を有効にする。

リアルタイム監視を許可する

許可済み。リアルタイム監視サービスをオンにして実行します。

定義更新間隔

構成されました(8時間)

重大な脅威の修復アクション

検疫。ファイルを検疫に移します。

重大度が中程度の脅威の修復アクション

検疫。ファイルを検疫に移します。

重大度が低い脅威の修復アクション

検疫。ファイルを検疫に移します。

重大度が高い脅威の修復アクション

検疫。ファイルを検疫に移します。

 

スコープタブは設定を行わずに、[次へ] をクリックします。
割り当ての画面で [デバイスをすべて追加] をクリックし、配布対象に「すべてのデバイス」が追加されたことを確認して、[次へ] をクリックします。

※今回はデバイスに対して配布しましたが、ユーザーに対して配布しても動作影響はありません。

内容確認が表示されるので、[次へ] をクリックします。

以上でポリシー設定は完了です。

端末側での動作確認

配布したポリシーが適用されたかを端末で確認します。
[設定] > [更新とセキュリティ] の順にクリックし、[Windows セキュリティ] > [Windows セキュリティを開く] をクリックします。

「ウィルスと脅威の防止の更新」を見るとウィルス定義ファイルが最新の状態ですと表示されています。

また「ウィルスと脅威の防止の設定」の設定を管理をクリックします。

下記のように設定が強制されていることが分かります。

続いてデスクトップ上にサンプルウィルス(EICAR)を配置してみます。
EICAR テストファイルの詳細は下記 URL を参照してください。

EICARテストファイル - Wikipedia

すぐに通知が表示されます。

通知の詳細を確認するとサンプルウィルスが検疫されたことを確認できます。

これで EPP が正常に構成されたことが確認できたと思います。

以上で端末確認は完了です。


さていかがでしたでしょうか。

Windows Defender は OS 標準で搭載されているため、EPP 用のエージェントを設定する必要はなく手軽に導入できます。ポリシーは数がありますし、定義ファイルのダウンロード設定などネットワークトラフィックに関わる設定もあるため、企業で導入する際は慎重に検討を行ってください。

次回は EDR の設定を紹介予定です。

投稿者プロフィール
山口 翔平

山口 翔平

M365を中心としたゼロトラストやセキュリティ分野のシステムアーキテクトやプロジェクトマネジメントをしている。趣味はバイク、猫、お酒。

執筆記事一覧