Windows 10 での Windows Defender の構成
IT 担当者は、Microsoft Active Directory と Windows Server Update Services (WSUS) を使用して、Windows 10 の Windows Defender の定義の更新およびクラウド ベースの保護を構成できます。
エンドポイントを確実に保護するために、定義を定期的に更新することが重要です。組織の要件に合わせて、定義の更新を構成できます。
Windows Defender は、他の Microsoft エンドポイント保護製品と同じ更新オプション (複数の定義ソースの使用など) をサポートします。詳細については、「定義の更新の構成」を参照してください。
Windows Defender で複数の定義ソースを構成する場合、[グループ ポリシー] 設定で次の値を使ってフォールバック順序を構成できます。
- InternalDefinitionUpdateServer - WSUS
- MicrosoftUpdateServer - Microsoft Update
- MMPC - Microsoft マルウェア プロテクション センターの定義ページ
- FileShares - ファイルの共有
「Windows Defender のグループ ポリシー管理テンプレート設定の説明」の記事で Windows Defender の管理テンプレート ファイルの展開について確認してください。
System Center Configuration Manager を使って Windows Defender の更新構成設定を管理することもできます。詳細については、「Configuration Manager でエンドポイント保護のための定義の更新を構成する方法」を参照してください。
定義の更新のロジック
Windows Defender の定義は、ビジネス要件に応じた 4 つの方法で更新できます。
- WSUS、管理対象サーバー。エンタープライズ環境のコンピューターに Microsoft Update を介してリリースされた更新プログラムの配布を管理できます。詳細については、Windows Server Update Services の Web サイトを参照してください。
- Microsoft Update、管理されていないサーバー。このメソッドを使用して、Microsoft Update から定期的な更新プログラムを取得することができます。
- Microsoft マルウェア プロテクション センターの定義ページ (別のダウンロード場所)。 最新の定義をダウンロードする場合は、この方法を使うことができます。
- ファイル共有、定義パッケージをダウンロードする場所。ファイル共有から定義の更新を取得できます。ファイル共有は、更新ファイルを使って定期的にプロビジョニングする必要があります。
Active Directory と WSUS を使った Windows Defender の定義の更新
このセクションでは、Active Directory と WSUS を使って Windows 10 エンドポイント用の Windows Defender の定義を更新する方法について説明します。
| 方法 | 手順 |
|---|---|
WSUS |
同様に Windows Defender に適用される、「定義の更新の構成」トピックの「ソフトウェア更新プログラムと Windows Server Update Services の定義の更新」を参照してください。 |
Microsoft Update |
次のフォールバック順序 [グループ ポリシー] を設定して Microsoft Update を有効にします。
|
Windows Defender で更新された署名をダウンロードできるようにするには、次のフォールバック順序 [グループ ポリシー] を設定します。
|
|
ファイル共有 |
|
.png "\"定義の更新をダウンロードするための更新元の順序を定義する\" field")
.png "\"定義の更新をダウンロードするためのファイル共有を定義する\" field")
クラウド ベースの保護の管理
Windows Defender では、Microsoft Active Protection Service を使った、エンドポイント保護クライアントのクラウドベースの保護と脅威インテリジェンスが改善されました。Microsoft Active Protection Service コミュニティの詳細については、「Microsoft Active Protection Service コミュニティへの参加」を参照してください。
[グループ ポリシー] 設定と管理用テンプレート ファイルを使うと、Microsoft Active Protection Service の有効と無効が切り替えられます。
Windows Defender の管理テンプレート ファイルの展開の詳細については、「Windows Defender のグループ ポリシー管理テンプレート設定の説明」の記事を参照してください。
Microsoft Active Protection Service は、次の [グループ ポリシー] 設定で構成できます。
- [グループ ポリシー エディター] を開きます。
- [ローカル コンピューター ポリシー] ツリーで、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[アプリ パッケージの展開] の順に展開します。
- [MAPS] をクリックします。
- [Microsoft MAPS に参加する] をダブルクリックします。
- [Microsoft MAPS に参加する] 一覧から構成オプションを選択します。注 エンドポイントで設定が変更されても、管理者のポリシー設定によって上書きされます。
Windowsdefender.adm*[グループ ポリシー]* テンプレート ファイルを使って、Windows Defender in Windows 10 のポリシー設定を制御します。
ポリシー設定: [Microsoft SpyNet 報告を構成する]
レジストリ キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SpyNetReporting
ポリシーの説明: [Adjusts membership in Microsoft Active Protection Service] (Microsoft Active Protection Service のメンバーシップの調整)
次の Windows PowerShell のパラメーターを使って基本設定を構成することもできます。
- Microsoft Active Protection Service の無効化: Set-MpPreference -MAPSReporting 0
- Microsoft Active Protection Service の有効化: Set-MpPreference -MAPSReporting 2
詳しくは、次の項目をご確認ください。
注 Windows Defender が収集した情報は、サーバーへの転送中に暗号化され、セキュリティで保護されたシステムに保管されます。 Microsoft は、名前、メール アドレス、アカウント ID など、ユーザーが直接特定される情報を収集しないように、いくつかの手順を用いています。
プライバシー設定の管理方法の詳細については、「Windows 10 サービスの基本設定の設定」を参照してください。
Microsoft Update へのオプトイン
Microsoft Update を使用して、企業ネットワークに接続されていないときに Windows 10 で Windows Defender を実行しているモバイル コンピューターの定義を最新の状態に保つことができます。モバイル コンピューターに Windows Server Update Service (WSUS) 接続がない場合も、署名は Microsoft Update から送られます。つまり、WSUS が Windows Update よりも優先される場合でも、(Microsoft Update を介して) 署名はプッシュできます。
Microsoft Update から定義の更新を取得できるようにするには、モバイル コンピューターで Microsoft Update にオプトインする必要があります。
Windows Defender for Windows 10 で Microsoft Update にオプトインするには、2 つの方法があります。
- VBScript を使用してスクリプトを作成し、ネットワーク内の各コンピューターで実行します。
- [設定] メニューを介してネットワーク上のすべてのコンピューターを手動でオプトインします。
VBScript を作成してネットワーク上の各コンピューターで実行できます。これは Microsoft Update にオプトインするための効率的な方法です。
.gif "Mt622088.wedge(ja-jp,VS.85).gif")
Microsoft Update にオプトインするための VBScript の使用
- VBScript を作成するには、MSDN 記事「Microsoft Update へのオプトイン」の手順を使用します。
- 作成した VBScript をネットワーク内の各コンピューターで実行します。
ネットワーク上の各コンピューターを手動でオプトインして Microsoft Update を受信することができます。
Microsoft Update への手動オプトイン
- オプトインするコンピューターの [更新とセキュリティ] 設定で [Windows Update] を開きます。
- [詳細] オプションをクリックします。
- [Windows の更新時に他の Microsoft 製品の更新プログラムを入手する] のチェック ボックスをオンにします。
Microsoft Update の更新のスケジュール
Microsoft Update にオプトインすると、外出中でもソフトウェア バージョンとセキュリティ定義を最新の状態に保てるように、システム管理者がモバイル コンピューターの更新をスケジュールできるようになります。
更新のスケジュールの詳細については、「定義の更新の構成」を参照してください。