LinuxでオフボードまたはアンインストールMicrosoft Defender for Endpoint

この記事は、Linux サーバーからMicrosoft Defender for Endpointをオフボードまたはアンインストールする必要がある IT 管理者とセキュリティの専門家を対象としています。 オフボードとアンインストールの違いについて説明し、シナリオに適したオプションを決定するのに役立ち、各メソッドの詳細な手順を示します。 また、オフボードデバイスとアンインストールされたデバイスがMicrosoft Defenderポータルでどのように表示されるかについても説明します。

概要

Defender for Endpoint からデバイスに乗り込んだり、Defender アプリケーションをアンインストールしたりすると、新しい検出、脆弱性、またはセキュリティ データはMicrosoft Defender ポータルに送信されません。 デバイスのオフボードから 7 日後に、センサーの正常性状態が 非アクティブに変わります。 オフボードまたはアンインストールされたデバイスのアラート、脆弱性、デバイス タイムラインなどの過去のデータは、構成された保持期間が切れるまで、Microsoft Defender ポータルに表示されます。 また、デバイス インベントリにデバイス プロファイル (データなし) が最大 180 日間表示されます。 過去 30 日以内にアクティブになっていないデバイスは、organizationの露出スコアには考慮されません。

アクティブなデバイスのデータのみを表示するには、 センサーの正常性状態、 デバイス タグ、 デバイス グループなどのフィルターを使用できます。

オフボードとアンインストールの違いは何ですか?

オフボードとアンインストールには重要な違いがあります。

• オフボードでは、デバイスが Defender サービスから切断されるため、エージェントをインストールしたままでセキュリティ データの送信が停止します。
• アンインストールすると、Defender for Endpoint のソフトウェアとサービスがデバイスから完全に削除され、セキュリティ データの送信が停止されます。

オフボードとアンインストールを選択する方法

• Defender アプリケーションをLinux サーバーにインストールしたまま Defender サービスとの通信を一時的に停止する場合はオフボード。 このオプションは、後でエージェントを再インストールせずに Defender を再度有効にする場合に推奨されます。 たとえば、Defender アプリケーションに関する問題のトラブルシューティングを行う必要がある場合や、サーバーのメンテナンスの実行中に Defender を一時的に停止する場合は、オフボードにしたい場合があります。

• インストール リング (Prod/Insider Slow/Insider Fast) の変更時など、Linux サーバーから Defender アプリケーションを完全に削除する場合、またはデバイスでMicrosoft Defenderを使用する予定がなくなった場合はアンインストールします。

オフボードデバイスとアンインストールされたデバイスはどのように動作しますか?

デバイスが正常にオフボードまたはアンインストールされると、Defender アプリケーションは次のように動作します。

• Microsoft Defender ポータルへのテレメトリ (アラートや脆弱性など) の送信を停止します。
• ライセンスが付与されておらず、機能しなくなります。
• Microsoft Defenderによって適用されたセキュリティ ポリシーは削除されます。

Defender ポータルにオフボードデバイスとアンインストール済みデバイスを表示するにはどうすればよいですか?

• オフボードまたはアンインストールされたデバイスのセンサー正常性状態は、テレメトリが 7 日後に [非アクティブ] に変わります。
• オフボードおよびアンインストールされたデバイスは、最大 180 日間表示されます。 データ保持の詳細については、「Microsoft Defender for Endpointデータ ストレージとプライバシー」を参照してください。
• 保有期間中、履歴データ (アラート、タイムライン、ソフトウェア インベントリ) には引き続きアクセスできます。
• ポータルに明示的な Offboarded または Uninstalled ラベルは表示されません。 オフボードまたはアンインストールされたデバイスと、単に切断または非アクティブなデバイスを区別するには、オフボードまたはアンインストールする前にタグをデバイスに追加することをお勧めします。 これにより、後でこれらのデバイスを識別してフィルター処理しやすくなります。

デバイスのオフボード

Microsoft Defender for EndpointからLinux サーバーにオフボードするには、次の 2 つの方法を使用できます。

• スクリプトを使用したオフボード
• オフボード JSON ファイルを使用したオフボード。

どちらの方法でも同じ結果が得られます。そのため、シナリオに最適なものを選択できます。

スクリプトを使用したオフボード

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウの [システム] で、[設定]> [Endpoints] を選択し、[デバイス管理] で [オフボード] を選択します。

3. オペレーティング システムとして [Linux サーバー] を選択し、[展開方法] セクションで [ローカル スクリプト] を選択します。

4. [ パッケージのダウンロード ] を選択し、[ ダウンロード] を選択します。 ダウンロードされる zip 形式のフォルダーには WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip という名前が付けられます (YYYY-MM-DD はパッケージの有効期限です)。

5. Linux サーバーで、ZIP ファイルの内容をローカル ディレクトリに抽出します。

6. ターミナルを開き、 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD ファイルがあるディレクトリに移動します。

7. ターミナルに「 sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py 」と入力します。 これにより、オフボード スクリプトが実行され、Microsoft Defender for Endpointからデバイスがオフボードされます。

オフボード JSON ファイルを使用したオフボード

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。
2. ナビゲーション ウィンドウの [システム] で、[設定]> [Endpoints] を選択し、[デバイス管理] で [オフボード] を選択します。
3. オペレーティング システムとして [Linux サーバー] を選択し、[展開方法] セクションで、お好みのLinux構成管理ツールを選択します。
4. [ パッケージのダウンロード ] を選択し、[ ダウンロード] を選択します。 zip 形式のフォルダーには WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip という名前が付けられます (ここで、YYYY-MM-DD はパッケージの有効期限です)。
5. ZIP ファイルの内容を抽出し、 mdatp_offboard.json ファイルを見つけます。
6. Linux サーバー上の次の場所にmdatp_offboard.jsonをコピーします。/etc/opt/microsoft/mdatp/mdatp_offboard.json

Linux サーバーから Defender アプリケーションをアンインストールする

Linux サーバーから Defender アプリケーションをアンインストールするには、Defender 展開ツールを使用したアンインストール (推奨) または手動アンインストールの 2 つの方法があります。 どちらの方法でも同じ結果が得られます。そのため、シナリオに最適なものを選択できます。

Defender 展開ツールを使用したアンインストール (推奨)

これは、1 つの手順で Defender アプリケーションをアンインストールできるため、推奨される方法です。

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウの [システム] で、[設定>Endpoints] を選択し、[デバイス管理] で [オンボード] を選択します。

3. オペレーティング システムとして [Linux サーバー] を選択します。

4. 展開方法として Defender 展開ツールに移動し、[ パッケージのダウンロード ] を選択します (ZIP ファイルがダウンロードされます)。

5. パッケージを抽出し、次のコマンドを実行します。 これにより、Defender アプリケーションが削除され、リポジトリがクリーンアップされます。

   ./defender_deployment_tool.sh --remove --clean 
   

手動アンインストール

Defender アプリケーションを手動で削除し、リポジトリをクリーンするには、次のいずれかのコマンドを実行します (Linuxディストリビューションに応じて適切なコマンドのいずれか)。

Red Hat Enterprise Linux (RHEL) とバリアント (CentOS および Oracle Linux)

sudo yum remove mdatp

または

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) とバリアント

sudo zypper remove mdatp

Ubuntu と Debian

sudo apt-get purge mdatp

マリナー

sudo dnf remove mdatp

デバイスのオフボード状態を確認する方法

デバイスのオフボード状態を確認するには、次のコマンドを実行します。

mdatp health --field health_issues

予想される出力

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

Defender アプリケーションは、手動でアンインストールされない限り、デバイスにインストールされたままです。

関連コンテンツ

• Microsoft Defender for Endpointからのオフボード デバイス
• LinuxにMicrosoft Defender for Endpointをデプロイする
• Linux 用 Microsoft Defender for Endpoint を構成する
• Linux 用 Microsoft Defender for Endpoint のトラブルシューティング