クラウドネイティブPCを試してみよう⑤ ~構築編その2 エンドポイントセキュリティの設定~
エンドポイント保護
Intune で管理された Windows 10 や Mac を Microsoft Defender ATP に登録し、高度な脅威からの保護を有効にしましょう。
1. MDATP テナントの準備
2. Windows 10 のオンボード
3. macOS のオンボード
1. MDATP テナントの準備
1) MDATP 管理ダッシュボード に全体管理者でサインインします
2) Welcome ページで [Next] をクリックします
3) 下記を入力して [Next] をクリックします
* データ保存先: US (アメリカ) / UK (イギリス) / Europe (ヨーロッパ)
* データ保存期間 (最大 180 日)
* 企業規模
* プレビュー機能 ON/OFF
4) 後からデータ保存場所を変更できないことを示す警告が表示されたら [Continue] をクリックします
5) Defender ATP テナントの作成が開始されます
6) [Start using Microsoft Defender ATP] をクリックします
7) 管理対象のコンピューターが 1 台もオンボードされていないことを示す警告が表示されたら [Proceed anyway] をクリックします
8) MDATP テナントが作成されました
このまま MDATP と他の MTP 機能との連携設定をしてしまいましょう!
9) 左下の Settings をクリックし、"General" 配下の [Advanced features] をクリックします
10) すべてのトグル ボタンを ON に設定し、[Save preferences] をクリックします
2. Windows 10 のオンボード
Intune MDM を使用して MDATP に Windows 10 をオンボードします。
Defender ATP 用のベースラインポリシーの作成
1) Microsoft Endpoint Manager admin center に全体管理者でサインインします
2) [エンドポイント セキュリティ ] - [セキュリティのベースライン] - [Windows Defender ATP ベースライン] の順にクリックします
3) [プロファイルの作成] をクリックします
4) プロファイルの名前 (説明は任意) を入力します
5) [次へ] をクリックします
6) [次へ] をクリックします
7) "割り当て先" を [選択したグループ] に設定し、"含めるグループの選択" で POC グループを選択します
8) [作成] をクリックしてプロファイルの作成を完了します
Defender ATP のオンボードポリシーの作成
1) [デバイス構成] - [プロファイル] - [プロファイルの作成] の順にクリックします
2) 下記を入力して [次へ] をクリックします
* プラットフォーム: Windows 10 以降
* プロファイル: Microsoft Defender ATP (Windows 10 デスクトップ)
3) プロファイルの名前 (説明は任意) を入力します
4) "すべてのファイルのサンプル共有" および "テレメトリの報告頻度を早める" を [有効にする] に設定し [OK] をクリックします
5) [OK] - [作成] の順にクリックしてプロファイルの作成を完了します
6) 作成したプロファイルが選択された状態で [割り当て] をクリックします
7) "割り当て先" を [選択したグループ] に設定し、"含めるグループの選択" で POC グループを選択します
8) [保存] をクリックします
上記設定後しばらくすると自動的に MDATP にオンボードされますが、すぐに設定を反映させたい場合は下記の手順を実施します。
9) Windowsのスタートメニューから [設定] を開き、検索ボックスに「職場または学校へのアクセス」と入力し、表示された候補をクリックします
10) "XXXXX への Azure AD に接続済み" (XXXXX は組織名) と表示されているメニューを展開し、[情報] をクリックします
11) "デバイスの同期状態" 配下の [同期] をクリックします
補足
正常に MDATP にオンボードされたかどうかは下記のように確認できます。管理者のビュー:
MDATP ダッシュボード にオンボード対象のコンピューターが表示されているかを確認します
ユーザーのビュー:
オンボード対象のコンピューター上でプロセス "MsSense.exe" が実行中であることを確認します
3. macOS のオンボード
Intune MDM を使用して MDATP に macOS デバイスをオンボードします。
MDATP を macOS デバイスに配布するために、本手順の一部は macOS デバイス上で実行する必要があります。
MDATP のインストール パッケージとオンボード パッケージをダウンロードします。
1) MDATP 管理ダッシュボード に全体管理者でサインインします
2) Settings をクリックします
3) "Machine management" 配下の [Onboarding] をクリックします
4) "Select operating system to start onboarding process:" で [macOS] を選択します
5) "Deployment method" で [Mobile Device Management / Microsoft Intune] を選択します
6) [Download installation package] と [Download onboarding package] のそれぞれをクリックして任意の場所にダウンロードします
7) Intune ラッピング ツールを公開している GitHub ページ に Mac のブラウザでアクセスします
8) [Clone or download] - [Download ZIP] の順にクリックし、ラッピング ツールを任意の場所にダウンロードします
※本手順では Download フォルダにダウンロードしました
9) Mac でターミナルを起動し、ラッピング ツールのダウンロード先に移動します
cd Downloads/intune-app-wrapping-tool-mac-master/
10) 下記コマンドを実行して IntuneAppUtil を実行形式のファイルに変換します
chmod +x IntuneAppUtil
11) 下記コマンドを実行して MDATP アプリを Intune が配布できる形式に変換します
./IntuneAppUtil -c <adav.pkg のパス> -o <出力先フォルダのパス>
例:
./IntuneAppUtil -c Users/username/Downloads/wdav.pkg -o Users/username/Downloads
コマンドが成功すると IntuneAppUtil successfully processed "adav.pkg" と表示されます
出力先フォルダに "wdav.pkg.intunemac" が出力されます
次に、macOS に配布する Intune のカスタム プロファイルを 4 つ作成します。
* カーネル拡張
* MDATP の構成情報
* MDATP へのフル ディスク アクセスの許可
* MDATP 通知の構成情報
カーネル拡張
12) Intune 管理ダッシュボード で [デバイス構成] - [プロファイル] - [プロファイルの作成] の順にクリックします
13) "プラットフォーム" で [macOS] を選択し、"プロファイル" で [カスタム] を選択して [作成] をクリックします
14) 任意のプロファイルの名前 (例: macOS - MDATP kext) を入力します
15) 任意のカスタム構成プロファイルの名前 (例: macOS - MDATP kext) を入力します
16) 構成プロファイルとして指定するファイルに手順 6. [Download onboarding package] でダウンロードした "WindowsDefenderATPOnboardingPackage\intune\kext.xml" を指定します
17) [OK] - [作成] の順にクリックします
18) [割り当て] をクリックし、割当先として PoC ユーザー グループを指定し [保存] をクリックします
上記の 12. から 18. の手順を残りの 3 つのカスタム プロファイルにも実施します。
MDATP の構成情報
プロファイルの名前 (例): macOS - MDATP omboarding
構成ファイル: 手順 6. [Download onboarding package] でダウンロードした "WindowsDefenderATPOnboardingPackage\intune\WindowsDefenderATPOnboarding.xml"
MDATP へのフル ディスク アクセスの許可
プロファイルの名前 (例): macOS - MDATP tcc
構成ファイル: tcc.xml
MDATP 通知の構成情報
プロファイルの名前 (例): macOS - MDATP notifications
構成ファイル: notifications.mobileconfig
続いて、インストール パッケージを Intune で配布します。
19) Intune 管理ダッシュボード で [クライアント アプリ] - [アプリ] - [追加] の順にクリックします
20) [基幹業務アプリ] を選択して [追加] をクリックします
21) [アプリ パッケージ ファイルの選択] をクリックし、手順 11. でラッピングした wdav.pkg.intunemac を指定して [OK] をクリックします
22)
参考 URL
Microsoft Defender ATP for Mac 用 Intune ベースの展開
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/mac-install-with-intune
Author And Source
この問題について(クラウドネイティブPCを試してみよう⑤ ~構築編その2 エンドポイントセキュリティの設定~), 我々は、より多くの情報をここで見つけました https://qiita.com/nextread/items/373eadcf30f897528dbf著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .