今回はグループポリシーを使って Windows デバイスを Microsoft Defender セキュリティセンターへオンボードする方法を紹介します。
前回はローカルスクリプトでのオンボーディングを紹介しました。検証用で数台なら耐えられますが、本番環境への適用となると到底耐えられなくなると思います。そこで、Windows デバイスを大量にオンボーディングさせるためにグループポリシーを使います。
前提条件
グループポリシーを使うので、ドメイン環境があることを前提とします。対象となる Windows のバージョンは次の通りです。
- Windows 10
- Windows Server SAC 1809
- Windows Server 2019
オンボーディング手順
動作の仕組み
動作の仕組みとしては単純で、ローカルスクリプトでのオンボーディングと同じスクリプトを起動時に実行するように、グループポリシーでタスクを仕込みます。1台ごとに設定する必要はなく、デバイスが増えても統一した管理方法でオンボーディングできます。
オンボーディング用ファイルをダウンロード
Microsoft Defender セキュリティセンターからオンボーディング用のスクリプトをダウンロードします。
左メニューの [Settings]>[Onboarding] をクリックします。[Select operating system to start onboarding process] で [Windows Server 1803 and 2019] (もしくは[Windows 10]) を選択します。
[Deployment method] で [Group Policy] を選択します。[Download package] をクリックし、オンボーディングスクリプトをダウンロードします。
ダウンロードしたファイルをドメインコントローラーか、GPO 管理操作を実行できるコンピューターに配置します。
グループポリシーの作成
グループポリシーを設定する前に準備をしておきます。ダウンロードしたファイルを展開します。「WindowsDefenderATPOnboardingPackage」フォルダ内にある「WindowsDefenderATPOnboardingScript.cmd」というスクリプトファイルをオンボーディングしたいデバイスがアクセス可能な共有ストレージに配置してください。
読み取り可能な権限があれば問題ないです。デバイスとしてアクセスするのでシステムユーザー(SYSTEM)に許可を与えます。
これは必須ではありませんが、GPO でエンドポイント保護の構成を設定できるようにするために「WindowsDefenderATPOnboardingPackage」フォルダ内にある管理テンプレートファイルはドメインの SYSVOL フォルダ内に適切に配置しておきます。
[グループポリシーの管理] を起動し、オンボーディング用のグループポリシーオブジェクトを新規作成します。例として「OnboardingMDSC」というオブジェクトを作成しています。作成したオブジェクトを右クリックして [編集] をクリックします。
[グループ ポリシー管理エディター] にて [コンピューターの構成]>[基本設定]>[コントロール パネルの設定]>[タスク] をクリックします。右側ペインの一覧の中で右クリックし、[新規作成]>[即時タスク(Windows 7 以降)] をクリックします。
[新しいタスク] ウィンドウにて、[全般] タブで次の項目を設定します。
- [名前]:任意のタスク名
- [セキュリティ オプション]
- [タスクの実行時に使うユーザーアカウント]:NT AUTHORITY\System (SYSTEM と検索する)
- [ユーザーがログオンしているかどうかにかかわらず実行する]:有効
- [最上位の特権で実行する]:有効
[操作] タブで [新規] をクリックします。
[新しい操作] ウィンドウにて、[プログラム/スクリプト] にスクリプト(WindowsDefenderATPOnboardingScript.cmd)を配置したパスを入力し、[OK] をクリックします。
[OK] をクリックしてポリシーの設定を終了します。
作成したポリシーは、オンボーディングしたいデバイスを含んでいる OU などにリンクしておきます。
オンボーディング確認
グループポリシーを適用したあと、デバイスを再起動もしくはポリシーを更新します。正常に動作していれば、しばらくすると追加したデバイスが Microsoft Defender セキュリティセンターに表示されるようになります。
コメント