おかしんワークス

Microsoft Defender ATPを購入したので、早速有効化していきたいと思います。なお、Microsoft Defender ATPは 2020/11/24 現在「Microsoft Defender For Endpoint」という名前に変更されていますが、この記事で実施する手順における管理画面や公式のドキュメントには未だに「Microsoft Defender ATP」と表示されている箇所が多い為、記事内ではMicrosoft Defender ATPもしくはMDATPで統一します。

基本的には「Microsoft Intune で Microsoft Defender ATP を構成する」を参考にしてIntuneでの展開を目指します。（正直全然ドキュメント通りじゃなかったです）

こちらのドキュメントによれば

[エンドポイント セキュリティ] > [Microsoft Defender ATP] の順に選択し、 [Microsoft Defender セキュリティ センターを開く] を選択します。

とあるのですが、ライセンスを誰にも割り振っていない状態では「Microsoft Defender セキュリティセンターを開く」の時点で unavailable となってしまい、設定を進めることができませんでした。

最低でも一名以上、Defender ATPもしくはMS 365 E5などを付与してから実施しましょう。

Security Centerを開くとWelcome画面が開くので、とりあえずSTEP2に進みます。

エンドポイントデータの保持期限などの設定です。公式ドキュメントによると、Defender ATPが収集するデバイスのデータの保存場所や期限の設定のようです。

なんとなく、GDPRとかの絡みがめんどくさそうなので無難にUSに設定し、他は初期設定にしました。

Deployment methodを「Intune」に設定し、パッケージをダウンロードしておいてから「Start using Microsoft Defender for Endpoint」に進みます。

Step4は開かず、Security Centerが開きました。

ここからやっと公式ドキュメントと同じ画面になりました。公式ドキュメントはSecurity Centerの初期セットアップが完了している前提で書かれているようです。

ドキュメント通り、「Settings」⇒「Advanced features」から「Microsoft Intune connection」を有効化します。

一旦、Security Centerからは離れてMicrosoft Endpoint Manager admin centerに移動します。

ドキュメントの指示どおり、Android, iOS, Windowsを「オン」にします。

ここまできて、Mac用のドキュメントがあることに気づいたので、そちらで進めますが、このドキュメントは一部古くて、IntuneAppUtilなどの部分は 2020/11/24 現在は不要になっています。

• Security Center を開きます
• [Setting] ⇒ [Device management] ⇒ [Onboarding] を開きます

• OSをmacOS, MDMをIntuneに設定して、オンボーディングパッケージをダウンロードします

• ダウンロードしたZipを解凍しておきます。
• MicrosoftのGitHubリポジトリから fulldisk.mobileconfig をダウンロードし、 tcc.xml として保存します
  • MDATPにMacのFulldisk Accessを許可するプロファイル
• MicrosoftのGitHubリポジトリから netfilter.mobileconfig をダウンロードし、 netext.xml として保存します
  • MDATPがセキュリティポータルに通信するのを許可するプロファイル
• MicrosoftのGitHubリポジトリから notif.mobileconfig をダウンロードします
  • Microsoftの自動更新と通知を許可するプロファイル
• ここまでで以下ファイル・フォルダが揃います（この先で利用するファイルは強調しているものです）
  • netext.xml
  • notif.mobileconfig
  • tcc.xml
  • WindowsDefenderATPOnboardingPackage
    • jamf
      • WindowsDefenderATPOnboarding.plist
    • intune
      • WindowsDefenderATPOnboarding.xml
      • kext.xml

配布予定のMacにはIntuneポータルサイトがインストールされ、プロファイルのインストールなども完了している前提で進めます。

• Microsoft Endpoint Manager admin center で macOS の構成プロファイルを作成します
• プロファイルは「拡張機能（Extensions）」を選択します
• 任意の名前を設定します
• システムの拡張機能の許可するシステム拡張機能 を以下のように設定します
  • 許可するチーム識別子
    • com.microsoft.wdav.epsext
      • UBF8T346G9
    • com.microsoft.wdav.netext
      • UBF8T346G9

• 配布先のグループを設定します

• 設定内容に問題がないことを確認し、作成します

• Microsoft Endpoint Manager admin center で macOS の構成プロファイルを作成します
• プロファイルは「カスタム（Custom）」を選択します
• 任意の名前を設定します
• 構成プロファイル ファイルに kext.xml をアップデートします（前項でダウンロードして解凍した以下のファイルです）
  • WindowsDefenderATPOnboardingPackage
    • intune
      • kext.xml
• 割り当てるグループを設定します

• 内容に問題が無いことを確認して作成します
• 同様に以下2つのファイルについてもカスタムプロファイルを作成します
  • tcc.xml
  • WindowsDefenderATPOnboardingPackage
    • intune
      • WindowsDefenderATPOnboarding.xml

ここまでで、MDATPを配布する準備が整ったので、アプリケーション実体を登録し、配布します

• Microsoft Endpoint Managerの「アプリ」から「追加」します
• 「アプリケーションの種類」では「Microsoft Defender ATP」の「macOS」を選択します

• 配布先のグループを選択して保存します

暫く待っていると、配布先グループの端末にMDATPがインストールされます。ポータルサイトアプリを開いてサインインを実行するとIntuneに対してチェックインが行われるので、これまでに作成したプロファイルやMDATP本体をより素早くインストールすることができます。

前項で登録した「macOS 用 Microsoft Defender ATP」のデバイスのインストール状態を見るとインストール状況を見ることが出来ます。

また、MacOSの「設定」⇒「プロファイル」からプロファイルのインストール状況を見ることが出来ます。

インストールが完了すると、MacのシステムバーにMDATPのアイコンが表示されます

定義の更新やクイックスキャンが問題なく行われれば完了です。

お疲れさまでした。