デバイスは、Microsoft Defender for Endpointのセキュリティ操作の基盤です。 デバイスが環境内でどのように表示されるか、それらを効果的に管理する方法、およびセキュリティアクションのためにそれらを整理する方法を理解することは、organizationを保護するために不可欠です。
Defender for Endpoint のデバイスとは
Microsoft Defender for Endpointのデバイスには、セキュリティ テレメトリをサービスに報告するすべてのエンドポイントが含まれます。 保持されるデータには以下が含まれます。
- コンピューターとモバイル デバイス: ワークステーション、サーバー、ノート PC、モバイル デバイス (Windows、macOS、Linux、iOS、Android)
- ネットワーク デバイス: ルーター、スイッチ、およびその他のネットワーク インフラストラクチャ
- IoT/OT デバイス: プリンター、カメラ、産業用制御システム、運用テクノロジ デバイス
デバイスは、次の 2 つの主要な方法でインベントリに表示されます。
- オンボード: 完全なエージェントがインストールされている Defender for Endpoint に明示的にオンボードしたデバイス。 オンボードされたデバイスでは、 オンボード状態 が [オンボード済み] に表示され、通常は アクティブ なセンサーの正常性状態が表示されます。 エージェントがインストールされているため、Defender for Endpoint は、アラート、脆弱性、ソフトウェア インベントリなど、これらのデバイスから詳細なセキュリティ データを収集できます。 詳細については、「デバイスをMicrosoft Defender for Endpointにオンボードする」を参照してください。
- 検出: エージェントがインストールされていないネットワーク上でデバイスが自動的に検出されます。 検出は、ネットワーク トラフィック (基本的な検出) を監視するか、環境をアクティブにプローブするオンボード エンドポイント (標準検出) を介して発生します。 検出されたデバイスには、[オンボード可能]、[サポート対象外]、[不十分な情報] のオンボーディング状態が表示されます。 詳細については、「 デバイス検出の概要」を参照してください。
- IoT および OT デバイス: Defender ポータルで IoT のMicrosoft Defenderを有効にすると、IoT および運用テクノロジ (OT) デバイス (プリンター、カメラ、産業用制御システムなど) がインベントリに表示されます。 これらのデバイスは [ IoT/OT デバイス ] タブに表示され、デバイスの種類、サブタイプ、ベンダー、モデルなどの追加フィールドが含まれます。
デバイス インベントリの [検出ソース] 列には、(Defender for Endpoint センサーによって検出された) MDE、Microsoft Defender for IoT (Defender for IoT によって検出) など、各デバイスがどのように検出されたかが示されます。 この列を使用して、デバイスが表示される理由と、オンボードが必要かどうかを理解します。
デバイスのライフサイクルと体験
Defender for Endpoint でのデバイスの管理は、予測可能なライフサイクルに従います。 次の表は、主要なステージ、タスク、関連するロール、および関連ドキュメントの概要を示しています。
| ステージ | タスク | 関連するロール | 詳細情報 |
|---|---|---|---|
| デバイスの検出とオンボード | • ネットワーク上のデバイスを検出する • Defender for Endpoint エージェントを使用してデバイスをオンボードする • デバイス インベントリ内のデバイスを表示する • リスク レベルとエクスポージャー スコアを評価する |
セキュリティ管理者 IT 運用 |
デバイス インベントリ内のデバイスを調べる デバイスのオンボード デバイス検出の構成 |
| スコープと関連性を管理する | • 一時的なデバイスを除外する (自動) • 脆弱性管理からデバイスを除外する (手動) • セキュリティ上の注意が必要なデバイスを決定する |
セキュリティ管理者 | デバイスのスコープと関連性を管理する |
| タグと除外を使用して分類および整理する | • 個々のデバイスに手動タグを追加する • ルールを使用して動的タグを作成する • デバイスを意味のあるグループに整理する • ビジネス コンテキストにタグを適用する |
セキュリティ管理者 セキュリティ アナリスト |
デバイス タグの作成と管理 |
| セキュリティ アクションのターゲット デバイス | • ロールベースのアクセスにデバイス グループを使用する • デバイス グループからカスタム テレメトリを収集する • タグ付けされたデバイスに自動化ルールを適用する • デバイス グループにセキュリティ ポリシーを展開する |
セキュリティ管理者 セキュリティ アナリスト |
デバイス タグとターゲット デバイスの作成と管理 カスタム データ収集 |
| デバイスの調査 | • デバイスのタイムラインを確認する • アラートとインシデントを調査する • インターネットに接続しているデバイスを特定する • デバイス グループ間で脅威を探す • 応答アクションを実行する |
セキュリティ アナリスト セキュリティ管理者 |
デバイスの調査 デバイスのタイムラインを確認する インターネットに接続するデバイスを識別する |
| 監視と保守 | • デバイスの正常性状態を監視する • 異常なセンサーを修正する • センサーの正常性レポートを確認する • オンボードの状態を追跡する |
IT 運用 セキュリティ管理者 |
異常なセンサーを修正する デバイスの正常性レポート |
デバイスのターゲット設定
デバイス のターゲット設定では、デバイス タグを使用して、特定のセキュリティ アクションを受け取るデバイスを特定します。 ターゲット設定では、デバイスを個別に管理するのではなく、デバイスを意味のあるグループに整理し、構成、ポリシー、またはデータ収集ルールを大規模に適用できます。
タグとグループ
デバイス タグ は、部署、場所、重要度などのビジネス コンテキストをキャプチャするために、手動または動的ルールを使用してデバイスにアタッチするラベルです。 すべてのユーザーは、タグ付けされたデバイスを表示できます。 タグだけでは、アクセスを制御したり、セキュリティ ポリシーを適用したりすることはありません。ターゲット設定のための組織の基盤を提供します。
デバイス グループは タグに基づいて構築され、特定のデバイスにアクセスして管理できるセキュリティ チームを制御します。 デバイス グループを作成するときは、一致するルール (多くの場合はタグに基づく) を定義し、自動修復レベルを設定し、ユーザー グループMicrosoft Entra割り当てます。 デバイス グループは、ロールベースのアクセス制御 (RBAC) を有効にして、たとえば、地域のセキュリティ チームが地域内のデバイスのみを表示できるようにします。 詳細な手順については、「 デバイス グループの作成と管理」を参照してください。
動的タグと手動タグ
手動タグ は、ポータルまたは API を介して個々のデバイスに直接適用するカスタム ラベルです。 これらは迅速に設定でき、アクティブな調査中にデバイスにタグを付けるなどのアドホックなニーズに役立ちます。 ただし、スケーリングがうまく行われず、手動で更新する必要があります。 手動タグは、カスタム データ収集や一部の自動化シナリオではサポートされていません。
動的タグ は、 資産ルール管理で定義したルールに基づいて自動的に適用されます。 デバイス プロパティの変更 (約 1 時間ごと) に応じて更新され、数千台のデバイスにスケーリングされ、 カスタム データ収集などの高度な機能に必要です。 手動で作業せずに最新の状態を維持するためにタグが必要な場合は常に動的タグを使用します。
重要
カスタム データ収集を含む多くの高度な Defender for Endpoint 機能には、動的タグが必要です。 これらのシナリオでは、手動タグはサポートされていません。
ターゲット シナリオ
次の表は、デバイスターゲットがセキュリティ操作を推進する一般的なシナリオをまとめたものです。
| シナリオ | 方法 | 例 |
|---|---|---|
| スコープ調査 | 部署またはインシデント別にデバイスにタグを付け、アラートと高度なハンティング クエリをタグでフィルター処理します。 | すべての Finance-Department デバイスで疑わしい横移動を調査します。 |
| 特殊なテレメトリを収集する | ターゲット デバイスの動的タグを作成し、カスタム データ収集ルールを作成します。 動的タグとMicrosoft Sentinel ワークスペースが必要です。 |
Database-Serversからファイル アクセス イベントを収集して、データ アクセスを監視します。 |
| 応答アクションを自動化する | タグに基づいてデバイス グループの自動応答を定義します。 | 重大度の高いマルウェアが検出された場合 Public-Kiosk デバイスを自動分離します。 |
| アナリスト アクセスの制御 (RBAC) | タグからデバイス グループを作成し、セキュリティ チームMicrosoft Entra割り当てます。 | Finance Security Team に、 Finance-Department デバイスにのみアクセス権を付与します。 |
| デバイスの種類別に ASR ルールをデプロイする | さまざまなタグベースのグループに異なる攻撃面の縮小ポリシーを適用します。 |
Internet-Facing-Serversでの積極的なブロック。Development-Machinesのテスト モード。 |
| 条件付きアクセスを適用する | デバイス リスク レベルとグループ メンバーシップを使用して、アクセスの決定を通知します。 | 機密性の高いアプリケーションにアクセス High-Risk-Devices MFA が必要です。 |
| 地域別に整理する | 分散セキュリティ操作のために、リージョンまたはサイトごとにデバイスにタグを付けます。 | EMEA セキュリティ チームは、 Location-EMEA デバイスを監視して応答します。 |
| デバイスのライフサイクルを管理する | 運用ステージ (運用、ステージング、使用停止) によってデバイスにタグを付けます。 | 運用に完全なコントロールを適用します。使用停止の監視を減らしました。 |
| 新しいセキュリティ機能をパイロットする | パイロット グループに手動タグを適用し、テスト モードで機能をデプロイしてから展開します。 | 20 台のデバイスに ASR-Pilot-2026タグを付け、新しいルールをテストし、絞り込み、広くロールアウトします。 |
タグとデバイス グループを作成する手順については、「 デバイス タグとターゲット デバイスの作成と管理」を参照してください。
ターゲット設定を利用したセキュリティ アクション
デバイス タグとグループを使用すると、複数の領域にセキュリティ操作を適用できます。
| セキュリティ アクション | 説明 | シナリオ | 詳細情報 |
|---|---|---|---|
| 調査と脅威ハンティング | 特定のデバイス グループに対するアラートとスコープ調査をフィルター処理する | • 疑わしいアクティビティについてすべての "財務部門" デバイスを調査する • 特定のリージョンの "Windows-Server" 全体で脅威を検出する • インシデント タグを使用して、侵害に関与するデバイスを追跡する |
高度な追求 |
| カスタム データ収集 | 動的タグを使用してデバイスから特殊なテレメトリを収集する | • "Database-Servers" からファイル イベントを収集する • "Developer-Workstations" からネットワーク接続をキャプチャする • "管理システム" でのスクリプト実行の監視 |
カスタム データ収集 カスタム データ収集ルールを作成する |
| 自動化ルール | 自動応答アクションをデバイス カテゴリに適用する | • マルウェアが検出された場合に"パブリック キオスク" デバイスを自動分離する • インシデント時に "Critical-Servers" でフォレンジック コレクションを実行する • 機密性の高いリソースから "BYOD-Devices" を制限する |
自動調査および対応 |
| ロールベースのアクセス用のデバイス グループ | 特定のデバイスで表示および操作できるセキュリティ アナリストを制御する | • 財務セキュリティ チームは、"Finance-Department" デバイスのみを管理します • 地域チームは、地理的な場所でデバイスを管理します • ジュニア アナリストは、"Non-Production" デバイス グループにのみアクセスします |
デバイス グループの作成と管理 |
| 攻撃面の減少ルール | さまざまな種類のデバイスに異なるセキュリティ コントロールを展開する | • "インターネットに接続するサーバー" の厳格なブロック規則 • "Development-Machines" のテスト モード • 一般的なユーザー ワークステーションのStandardベースライン |
攻撃面の減少ルール |
| 条件付きアクセス ポリシー | デバイスのセキュリティ体制とタグに基づいてアクセス制御を適用する | • "リスクの高いデバイス" に MFA を要求する • 企業リソースから "非準拠デバイス" をブロックする • 承認済みサービスへの "Managed-BYOD" 制限付きアクセスを許可する |
Intune での条件付きアクセス |