Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@nextreadinネクストリード株式会社

クラウドネイティブPCを試してみよう⑤ ~構築編その2 エンドポイントセキュリティの設定~

Last updated at Posted at 2020-10-27

エンドポイント保護

Intune で管理された Windows 10 や Mac を Microsoft Defender ATP に登録し、高度な脅威からの保護を有効にしましょう。

1. MDATP テナントの準備
2. Windows 10 のオンボード
3. macOS のオンボード

1. MDATP テナントの準備

  1. MDATP 管理ダッシュボード に全体管理者でサインインします

  2. Welcome ページで [Next] をクリックします
    image.png

  3. 下記を入力して [Next] をクリックします

  • データ保存先: US (アメリカ) / UK (イギリス) / Europe (ヨーロッパ)
  • データ保存期間 (最大 180 日)
  • 企業規模
  • プレビュー機能 ON/OFF
    image.png

  1. 後からデータ保存場所を変更できないことを示す警告が表示されたら [Continue] をクリックします
    image.png

  2. Defender ATP テナントの作成が開始されます
    image.png

  3. [Start using Microsoft Defender ATP] をクリックします
    image.png

  4. 管理対象のコンピューターが 1 台もオンボードされていないことを示す警告が表示されたら [Proceed anyway] をクリックします
    image.png

  5. MDATP テナントが作成されました
    image.png

このまま MDATP と他の MTP 機能との連携設定をしてしまいましょう!

  1. 左下の [Settings] (画車のアイコン) をクリックし、"General" 配下の [Advanced features] をクリックします
  2. すべてのトグル ボタンを ON に設定し、[Save preferences] をクリックします
    image.png

2. Windows 10 のオンボード

Intune MDM を使用して MDATP に Windows 10 をオンボードします。

Defender ATP 用のベースラインポリシーの作成

  1. Microsoft Endpoint Manager admin center に全体管理者でサインインします

  2. [エンドポイント セキュリティ ] - [セキュリティのベースライン] - [Windows Defender ATP ベースライン] の順にクリックします
    image.png

  3. [プロファイルの作成] をクリックします
    image.png

  4. プロファイルの名前 (説明は任意) を入力します
    image.png

  5. [次へ] をクリックします
    image.png

  6. [次へ] をクリックします
    image.png

  7. "割り当て先" を [選択したグループ] に設定し、"含めるグループの選択" で POC グループを選択します
    image.png

  8. [作成] をクリックしてプロファイルの作成を完了します
    image.png

Defender ATP のオンボードポリシーの作成

  1. [デバイス構成] - [プロファイル] - [プロファイルの作成] の順にクリックします
  2. 下記を入力して [次へ] をクリックします
  • プラットフォーム: Windows 10 以降
  • プロファイル: Microsoft Defender ATP (Windows 10 デスクトップ)

  1. プロファイルの名前 (説明は任意) を入力します

  2. "すべてのファイルのサンプル共有" および "テレメトリの報告頻度を早める" を [有効にする] に設定し [OK] をクリックします
    image.png

  3. [OK] - [作成] の順にクリックしてプロファイルの作成を完了します

  4. 作成したプロファイルが選択された状態で [割り当て] をクリックします

  5. "割り当て先" を [選択したグループ] に設定し、"含めるグループの選択" で POC グループを選択します

  6. [保存] をクリックします

上記設定後しばらくすると自動的に MDATP にオンボードされますが、すぐに設定を反映させたい場合は下記の手順を実施します。

  1. Windowsのスタートメニューから [設定] を開き、検索ボックスに「職場または学校へのアクセス」と入力し、表示された候補をクリックします
    image.png

  2. "XXXXX への Azure AD に接続済み" (XXXXX は組織名) と表示されているメニューを展開し、[情報] をクリックします
    image.png

  3. "デバイスの同期状態" 配下の [同期] をクリックします
    image.png

補足
正常に MDATP にオンボードされたかどうかは下記のように確認できます。

管理者のビュー:
MDATP ダッシュボード にオンボード対象のコンピューターが表示されているかを確認します
image.png

ユーザーのビュー:
オンボード対象のコンピューター上でプロセス "MsSense.exe" が実行中であることを確認します
image.png

3. macOS のオンボード

Intune MDM を使用して MDATP に macOS デバイスをオンボードします。
MDATP を macOS デバイスに配布するために、本手順の一部は macOS デバイス上で実行する必要があります。

MDATP のインストール パッケージとオンボード パッケージをダウンロードします。

  1. MDATP 管理ダッシュボード に全体管理者でサインインします

  2. [Settings] (左下の歯車アイコン) をクリックします

  3. "Machine management" 配下の [Onboarding] をクリックします

  4. "Select operating system to start onboarding process:" で [macOS] を選択します

  5. "Deployment method" で [Mobile Device Management / Microsoft Intune] を選択します

  6. [Download installation package] と [Download onboarding package] のそれぞれをクリックして任意の場所にダウンロードします
    image.png

  7. Intune ラッピング ツールを公開している GitHub ページ に Mac のブラウザでアクセスします

  8. [Clone or download] - [Download ZIP] の順にクリックし、ラッピング ツールを任意の場所にダウンロードします
    image.png

※本手順では Download フォルダにダウンロードしました
image.png

  1. Mac でターミナルを起動し、ラッピング ツールのダウンロード先に移動します
cd Downloads/intune-app-wrapping-tool-mac-master/
  1. 下記コマンドを実行して IntuneAppUtil を実行形式のファイルに変換します
chmod +x IntuneAppUtil
  1. 下記コマンドを実行して MDATP アプリを Intune が配布できる形式に変換します
./IntuneAppUtil -c <adav.pkg のパス> -o <出力先フォルダのパス>  

例:
./IntuneAppUtil -c Users/username/Downloads/wdav.pkg -o Users/username/Downloads

コマンドが成功すると IntuneAppUtil successfully processed "adav.pkg" と表示されます
image.png

出力先フォルダに "wdav.pkg.intunemac" が出力されます
image.png

次に、macOS に配布する Intune のカスタム プロファイルを 4 つ作成します。

  • カーネル拡張
  • MDATP の構成情報
  • MDATP へのフル ディスク アクセスの許可
  • MDATP 通知の構成情報

カーネル拡張

  1. Intune 管理ダッシュボード で [デバイス構成] - [プロファイル] - [プロファイルの作成] の順にクリックします

  2. "プラットフォーム" で [macOS] を選択し、"プロファイル" で [カスタム] を選択して [作成] をクリックします
    image.png

  3. 任意のプロファイルの名前 (例: macOS - MDATP kext) を入力します

  4. 任意のカスタム構成プロファイルの名前 (例: macOS - MDATP kext) を入力します

  5. 構成プロファイルとして指定するファイルに手順 6. [Download onboarding package] でダウンロードした "WindowsDefenderATPOnboardingPackage\intune\kext.xml" を指定します
    image.png

  6. [OK] - [作成] の順にクリックします

  7. [割り当て] をクリックし、割当先として PoC ユーザー グループを指定し [保存] をクリックします
    image.png

上記の 12. から 18. の手順を残りの 3 つのカスタム プロファイルにも実施します。

MDATP の構成情報

プロファイルの名前 (例): macOS - MDATP omboarding
構成ファイル: 手順 6. [Download onboarding package] でダウンロードした "WindowsDefenderATPOnboardingPackage\intune\WindowsDefenderATPOnboarding.xml"

MDATP へのフル ディスク アクセスの許可

プロファイルの名前 (例): macOS - MDATP tcc
構成ファイル: tcc.xml

MDATP 通知の構成情報

プロファイルの名前 (例): macOS - MDATP notifications
構成ファイル: notifications.mobileconfig

続いて、インストール パッケージを Intune で配布します。

  1. Intune 管理ダッシュボード で [クライアント アプリ] - [アプリ] - [追加] の順にクリックします
  2. [基幹業務アプリ] を選択して [追加] をクリックします
  3. [アプリ パッケージ ファイルの選択] をクリックし、手順 11. でラッピングした wdav.pkg.intunemac を指定して [OK] をクリックします

参考 URL

Microsoft Defender ATP for Mac 用 Intune ベースの展開
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/mac-install-with-intune

2
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?