この記事では、Microsoft Defender for Endpointの選択的応答アクション機能の概要について説明します。 対象となるのは、ドメイン コントローラー、ADFS サーバー、その他の重要なインフラストラクチャなどの Tier-0 システムと価値の高い資産 (HVA) を含む環境でのMicrosoft Defender for Endpointの管理を担当するセキュリティ管理者と IT 運用チームです。
概要
選択的応答アクションは、組織がオンボード中に影響の大きいセキュリティ操作を調整できるようにするMicrosoft Defender for Endpoint機能です。 階層 0 システムやその他の価値の高い資産に対する応答アクションの適用方法を正確に制御でき、強力な保護を提供しながら運用の安定性を維持するのに役立ちます。
背景
ドメイン コントローラー、ADFS サーバー、その他の Tier-0 システムなどの価値の高い資産 (HVA) にMicrosoft Defender for Endpointを展開するには、強力な保護と運用の安定性のバランスを取るために、慎重なアプローチが必要です。 利用可能な強力な応答機能を考えると、組織は多くの場合、機密性の高い環境でこれらのアクションを適用する方法をより詳しく制御する必要があります。
多くの組織 (特に厳密な特権アクセス管理ポリシーを持つ組織) は、セキュリティとコンプライアンスの要件に合わせて、階層 0 のシステムでクラウドによって開始される管理アクションを制限することを好みます。
選択的応答アクション機能は、より制御された柔軟なアプローチを提供することで、これらのニーズに対応します。 これにより、組織は重要な資産に対して許可される応答アクションを正確に定義でき、Defender の保護の恩恵を受けながら運用継続性を維持できます。
この機能はどのように機能しますか?
まず、テナントで機能を有効にする必要があります。 「選択的応答アクションを有効にする」を参照してください。
この機能を有効にしたら、Defender デプロイ ツール (DDT) を使用して、セキュリティ操作の設定が制限されたオンボード パッケージを作成します。 パッケージを構成する場合は、完全な機能 (既定のオンボード モード(オンボードデバイスですべての応答アクションが許可される)と制限された機能 (影響の大きい応答アクションが許可されない場合) のどちらかを選択します。 制限付き機能を選択した場合は、オンボード後にデバイスで許可されるアクションを指定できます。
次の表では、許可または禁止できる影響の大きい応答アクションについて説明します。
| 機能 | 説明 | 注釈 |
|---|---|---|
| 基本的な応答 | ウイルス対策スキャンを実行し、 ファイルを収集し、 調査パッケージを収集します。 |
[ファイルの収集] 機能は、ライブ応答で使用できるGetFile コマンドではなく、ポータルの [ファイル] ページからファイルを取得することを指します。 |
| 高度な応答 | デバイスを分離し、 アプリの実行を制限し、 修復を要求します。 | 修復を要求 すると、セキュリティ管理者は特定のデバイスで特定された脆弱性に対する修復アクションを開始できます。 |
| ライブ応答 | リモート デバイスへの ライブ応答セッション を許可します。 | |
| デバイス保護 | デバイス で自動調査と応答 (AIR) を実行できるようにします。 | これは、自動的にトリガーされる AIR と手動で開始された AIR の両方に適用されます。 |
このようなパッケージを構成する方法の詳細については、「 セキュリティ操作の設定が制限されたオンボード パッケージを生成 する」を参照してください。
注:
制限モードでオンボードされたデバイスは、ライブ応答スクリプトの実行をサポートしていません。ライブ応答が有効になっている場合でも、これは設計上無効になります。 制限付きモードは、検出、アラート、センサーカバレッジには影響しません。 すべてのアラート、タイムライン、脅威検出は引き続き期待どおりに機能します。
前提条件とサポートされているオペレーティング システム
制限付きモードは、次の Windows クライアント ワークステーションと、Sense バージョン 10.8798 以降を実行しているオペレーティング システムWindows Serverでサポートされています。
オペレーティング システム 必須 KB Windows Server 2025 年、すべてのエディション KB5063878 Windows Server 2022 KB5063880 Windows Server 2019 KB5063877 Windows 10 22H2 KB5062649 Windows 11 23H2 KB5062663 Windows 11 24H2 KB5062660 Windows 11 25H2 すべて 制限付きモードを使用するには、機能スイッチ [ オンボード中の制限付きセキュリティ操作を許可する] を有効にする必要があります。 「選択的応答アクション機能を有効にする」を参照してください。
選択的応答アクション機能を有効にする
選択的応答アクション機能を使用するには、Microsoft Defender ポータルで機能を有効にします。
- Microsoft Defender ポータルにサインインします。
- [設定>Endpoints>Advanced 機能に移動します。
- [ オンボード中に制限付きセキュリティ操作を許可する] をオンにします。
![オンボード中に制限付き操作を許可するを有効にした [高度な機能] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/enable-selective-response-actions.png#lightbox)
有効にすると、Defender 展開ツール (DDT) を使用して Windows 用の Defender 展開パッケージを作成するときに、制限モード オプションが使用できるようになります。 その後、オンボードするデバイスで許可するセキュリティ操作を指定するデプロイ パッケージを作成できます。 詳細については、「 制限付きセキュリティ操作設定を使用してオンボード パッケージを生成 する」を参照してください。 デプロイ パッケージが生成されたら、それを使用して デバイスをオンボードします。
セキュリティ操作の設定が制限されたオンボード パッケージを生成する
Microsoft Defender ポータル (security.microsoft.com) で、System>Settings>Endpoints>Onboarding に移動します。
[手順 1] ドロップダウン メニューで、[Windows] を選択 します。
[ パッケージまたはファイルをダウンロードして適用してデプロイする] で、[ オンボード ] ボタンを選択します。
![Microsoft Defender ポータルの [パッケージのダウンロード] ボタンを示すスクリーンショット。](media/restrict-response-actions-high-value-assets/defender-deployment-tool-windows-download-package.png)
アクセス キーを使用して Defender デプロイ ツールを生成するページが表示されます。
パッケージの名前を指定します。 必ず、一意でわかりやすい名前を作成してください。
パッケージの有効期限を設定します。 有効期限は、最大 1 年間に設定できます。 承認されていないデプロイ パッケージの使用のリスクを軽減するために、パッケージの有効期間をできるだけ短くすることをお勧めします。
[ 制限付き] を選択します。
影響の大きいセキュリティ操作の一覧が表示されます。 オンボードデバイスで許可する操作の横にあるボックスを選択し、禁止する操作の横にあるボックスの選択を解除します。
注:
制限モードでオンボードされたデバイスは、これらの設定でライブ応答が有効になっている場合でも、 ライブ応答 スクリプトの実行をサポートしていません。 この制限は、機密性の高い資産に対するより高いレベルの保護を維持して、スクリプト ベースのアクションがブロックされたままになるように設計によって適用されます。
すべての応答アクションが許可されている制限付きモード は、 完全な機能と同等ではありません。 制限付きパッケージを使用してデバイスをオンボードすると、スクリプトの実行は設計上無効になりますが、フル機能パッケージを使用したオンボードでは、サポートされているすべての応答アクションと機能に無制限にアクセスできます。
パッケージの構成が完了したら、[生成] を選択 します。
パッケージの準備ができたら、次の図のように、パッケージ アクセス キーとダウンロード ボタンを含むページが表示されます。
キーをコピーして保存します。これはデプロイ ツールで必要になります。
キーをコピーして保存したら、[ デプロイ ツールのダウンロード] を選択します。 これにより、Defender 展開ツール実行可能ファイルの .zip ファイルがダウンロードされます。
![Microsoft Defender ポータルの [パッケージのダウンロード] ボタンを示すスクリーンショット。](media/restrict-response-actions-high-value-assets/defender-deployment-tool-windows-download-package.png#lightbox)
応答アクションが制限されたデバイスをオンボードする
目的の制限付きセキュリティ操作設定を使用して展開パッケージを生成してダウンロードしたら、「Defender 展開ツールを使用して Windows デバイスにMicrosoft Defender for Endpointを展開する (プレビュー)」の説明に従って、パッケージを使用してデバイスをオンボードします。
オンボードデバイスのセキュリティ操作状態をチェックする方法
デバイスのセキュリティ操作の状態は、いくつかの方法で識別できます。
Defender ポータルの [ デバイス インベントリ] ページで、[ セキュリティ操作 ] というプロパティは、各デバイスのオンボード モードを示します。
- デバイスがフル機能でオンボードされている場合、値は [完全] と表示されます。
- デバイスが制限付き機能でオンボードされている場合、この値は 制限付きとして表示され、このデバイスに限られたリモート セキュリティ操作のセットがあることを管理者に示します。
この可視性は、セキュリティ チームが各デバイスの運用範囲をすばやく理解し、必要に応じて適切なアクションを実行するのに役立ちます。
![セキュリティ操作の状態を示す [デバイス インベントリ] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/device-inventory.png)
デバイスが制限モードの場合、 制限付きセキュリティ操作 というラベルの付いたタグがデバイスに自動的に追加され、セキュリティ チームは機能が制限された資産をすばやく識別できます。 このタグは、[ デバイス] ページで確認できます。 [ デバイス] ページ には、デバイス用に構成されたリモート セキュリティ機能のレベルを反映するセキュリティ 操作 の状態も含まれています。
- Full は、デバイスがMicrosoft Defender for Endpoint機能の完全なセットでオンボードされていることを示します。 すべてのリモート応答アクションを使用できます。
- 制限付 きは、デバイスが使用可能な限られた応答アクションセットでオンボードされていることを示します。
![セキュリティ操作の状態を示す [デバイス] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/device-page.png)
前の図では、デバイスでライブ応答セッションの開始が許可されていないことを確認できます。
デバイス上のすべてのセキュリティ コントロールとその現在の状態 (有効または無効) の詳細な一覧にアクセスするには、[ セキュリティ操作情報の表示 ] を選択して [ デバイス セキュリティ操作 ] ウィンドウを表示します。
![セキュリティ操作の詳細を示す [デバイス] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/security-operations-details.png)
また、Advanced Hunting プロパティ
RestrictedDeviceSecurityOperationsを使用して、デバイスで制限されているセキュリティ操作をチェックすることもできます。 値は、制限されている特定のセキュリティ操作カテゴリを表します。 たとえば、RestrictedDeviceSecurityOperationsプロパティの値が LiveResponse の場合は、デバイスで Live Response 機能のみが許可され、他のすべての操作は許可されることを意味します。
選択的応答は、パブリック API を使用する場合にもブロックされます。 API を介して制限付きアクションを実行しようとすると、デバイスで操作が許可されていないことを示すエラー メッセージが表示されます。
![セキュリティ操作の状態を示す [デバイス インベントリ] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/device-inventory.png#lightbox)
![セキュリティ操作の状態を示す [デバイス] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/device-page.png#lightbox)
![セキュリティ操作の詳細を示す [デバイス] ページのスクリーンショット。](media/restrict-response-actions-high-value-assets/security-operations-details.png#lightbox)
制限設定の変更
制限付き設定でデバイスをオンボードすると、そのセキュリティ操作の構成を変更または変更することはできません。 デバイスの応答機能を更新するには、デバイスをオフボードし、目的の設定で新しい展開パッケージを使用して再オンボードする必要があります。 デバイス ID は変わらず、すべての履歴データが保持されます。
フル モードで Defender for Endpoint に既にオンボードされているデバイスでの応答アクションを制限する場合は、まずデバイスをオフボードしてから、制限付き設定で構成されたオンボード パッケージを使用して再オンボードする必要があります。 デバイス ID は変わらず、すべての履歴データが保持されます。