Microsoft Defender for Endpointのデバイス ターゲット設定は、2 つのステージに従います。最初に、ビジネス コンテキストでデバイスにラベルを付けるタグを作成し、そのタグに基づいてデバイス グループを作成して、ロールベースのアクセス、カスタム データ収集、自動化ルール、攻撃面削減ポリシーなどの大規模なセキュリティ操作をターゲットにします。
前提条件
タグとターゲット デバイスを作成する前に、次の要件を確認してください。
アクセス許可
- 動的タグ: 資産ルール管理で適切なアクセス許可が必要です。
- 手動タグ: Defender ポータルでデバイス レベルのアクセス許可が必要です。
- オートメーション ルール: ルールの作成アクセス許可が必要です。
- デバイス グループ: グループを作成および管理するには、セキュリティ管理者ロールが必要です。
サポートされるオペレーティング システム
デバイスのタグ付けは、次の場合にサポートされています。
- Windows 11、Windows 10 (バージョン 1709 以降)、Windows 8.1、Windows 7 SP1
- Windows Server (バージョン 1803 以降)、Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2 SP1
- macOS、Linux、iOS、Android
パフォーマンスに関する注意事項
- 各デバイスは複数のタグを持つことができます。
- 動的タグは約 1 時間ごとに更新されます。
- タグがデバイスに追加されてから、デバイスの一覧とデバイス ページの可用性までの間に待機時間が発生する可能性があります。
- 多数のタグはパフォーマンスに大きな影響を与えません。
- カスタム データ収集ルールは、複数のタグの組み合わせを対象にすることができます。
タグとグループ、動的タグと手動タグ、ターゲットシナリオの背景については、「 デバイスのターゲット設定」を参照してください。
タグを作成する
デバイスにタグを追加するには、次の方法を使用します。 各方法は、さまざまなシナリオとデバイス プラットフォームに適しています。
| メソッド | プラットフォーム | 手順 |
|---|---|---|
| ポータル | サポートされているすべてのプラットフォーム | 個々のデバイスまたは小さなグループにタグを手動で追加します。 「ポータルを使用してデバイス タグを追加する」を参照してください。 |
| 動的ルール | サポートされているすべてのプラットフォーム | デバイスのプロパティに基づいてタグを自動的に割り当て、削除するルールを Defender ポータルで作成します。 「 資産ルール管理 - デバイスの動的ルール」を参照してください。 |
| レジストリ キー | Windows | タグ名 (最大 200 文字) を含むREG_SZ値Groupレジストリ キーのHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows 高度な脅威保護\DeviceTagging\を設定します。 タグは 1 日 1 回同期されます。デバイスを再起動して即時同期します。タグを削除するには、 Group キーを削除するのではなく、値データをクリアします。 |
| セキュリティ設定の管理 | macOS、Linux | エンドポイント検出と応答のセキュリティ ポリシーを作成します。 「MDEオンボード デバイスのエンドポイント セキュリティ ポリシーを管理する」と「Defender for Endpoint でエンドポイント セキュリティ ポリシーを管理する」を参照してください。 |
| 構成プロファイル | macOS、Linux |
macOS: .plist 構成プロファイルを作成し、手動または管理ツールを使用してデプロイします。 「macOS でMDEの基本設定を設定する」と「Intuneの macOS のカスタム設定」を参照してください。
Linux: .json構成プロファイルを作成します。 LinuxでのMDEの設定に関するページを参照してください。 |
| カスタム Intune プロファイル | Windows 10 以降 | Intuneでカスタム設定を使用してデバイス構成プロファイルを作成します。 データ型 String で OMA-URI ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group を使用 します。
Intuneの「カスタム設定を使用してプロファイルを作成する」を参照してください。 |
| Intuneのアプリ構成ポリシー | iOS、Android | Intuneでアプリ構成プロファイルを作成して、モバイル デバイスのタグを定義して適用します。 iOS の場合は、「iOS 機能でMicrosoft Defender for Endpointを構成する」を参照してください。 Android の場合は、「 Android 機能で Defender for Endpoint を構成する」を参照してください。 詳細については、「Microsoft Defender for Endpointを使用してモバイル デバイスにタグ付けする」を参照してください。 |
注:
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
API を使用してデバイス タグを追加するには、「デバイス タグ API の追加または削除」を参照してください。
ポータルを使用してデバイス タグを追加する
タグを管理するデバイスを選択します。 次のいずれかのビューからデバイスを選択または検索できます。
アラート キュー - アラート キューからデバイス アイコンの横にあるデバイス名を選択します。
[デバイス インベントリ ] - デバイスの一覧からデバイス名を選択します。
検索ボックス - ドロップダウン メニューから [デバイス] を選択し、デバイス名を入力します。
ファイル ビューと IP ビューからアラート ページにアクセスすることもできます。
[応答アクション] の行から [ タグの管理 ] を選択します。
![[タグの管理] ボタンの画像](media/manage-tags-option.png)
入力してタグを検索または作成します。
![[タグの管理] ボタンの画像](media/manage-tags-option.png#lightbox)
タグはデバイス ビューに追加され、 デバイス インベントリ ビューにも反映されます。 その後、[ タグ] フィルターを使用して、関連するデバイスの一覧を表示できます。
注:
かっこまたはコンマを含むタグ名では、フィルター処理が機能しない場合があります。
新しいタグを作成すると、既存のタグの一覧が表示されます。 一覧には、ポータルで作成されたタグのみが表示されます。 クライアント デバイスから作成された既存のタグは表示されません。
このビューからタグを削除することもできます。
デバイス グループを作成する
デバイスにタグを付けた後、デバイス グループを使用して、特定のデバイス セットにアクセスして管理できるセキュリティ チームを制御します。 デバイス グループは、多くの場合、タグに基づく照合ルールを使用してメンバーシップを決定し、ロールベースのアクセス制御、自動修復レベル、スコープ付きセキュリティ ポリシーを有効にします。
デバイス グループの作成、ランク付け、管理の手順については、「デバイス グループの 作成と管理」を参照してください。
セキュリティ アクションを適用する
デバイスをタグとグループで整理したら、大規模なセキュリティ操作を対象にすることができます。 デバイス グループとタグは、調査と脅威ハンティング、カスタム データ収集、自動化ルール、ロールベースのアクセス、攻撃面の縮小ルール、条件付きアクセス ポリシーなどの機能にタグを付けます。
シナリオやリンクなど、デバイス グループを対象にできるセキュリティ アクションの完全な一覧については、「 ターゲット設定によるセキュリティ アクション」を参照してください。