SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Microsoft Defender for Cloud / Microsoft Defender for Endpoint 統合についての覚書

leave a comment

いくつか確認中の内容があるため、本投稿は適宜修正を行っていきますが、Microsoft Defender for Cloud (MDfC) と Microsoft Defender for Endpoint (MDE) の統合についての覚書。

Microsoft Defender for Cloud を使用したオンプレミス Server のマルウェア対策の統合管理を検証する際のとりかかりに見ておく情報 に追記してもよかったのですが、急ぎで情報の整理をしておきたかったので新しい投稿にしています。

Microsoft Defender for Endpoint Server について

サーバー OS の保護に必要となるライセンス

サービスのメリットを得る権限をユーザーに提供するライセンスについて には、サーバー OS の保護には「Microsoft Defender for Endpoint Server」の記載がありますが、Defender for endpoint P1 license and defender for server p1 で次のようなコメントがあります。

"Microsoft Defender for Endpoint Server

As of September 2022, Microsoft Defender for Endpoint Server is no longer generally available for new customers."

現在、Microosft Defender for Endpoint Server を購入することができなくなっていますので、MDE を主語にしてサーバー OS の保護を行う場合には、「Microsoft Defender for Business」から調査をしていくことになるかと。

2023/08 時点のドキュメントでは ライセンスの要件 は次のような記載となっており、サーバー OS の保護については、「Micorosoft Defender for Business Server」(MDfB) または「Microsoft Defender for Cloud」が必要となるかと思います。(厳密には Microsoft 365 Business Premium も入ると思いますが)

Defender for Endpoint Plan 1 とプラン 2 (スタンドアロンまたは他の Microsoft 365 プランの一部) には、サーバー ライセンスは含まれません。 これらのプランにサーバーをオンボードするには、クラウド用またはMicrosoft Defender for Business servers用のMicrosoft Defenderが必要です。

 

 

ユーザーライセンスは 50 ライセンス以上取得する必要があるか?

以前は Defender for Endpoint Server の製品条項の記載 として、次のような内容がありました。

Microsoft Defender for Endpoint (サーバー) を取得する権利

1 つ以上の以下のサービスを組み合わせて 50 以上のライセンスをお持ちのお客様は、Microsoft Defender for Endpoint (サーバー) のライセンスを取得できます (対象となる OSE サーバーごとに 1 つ)。 Microsoft Defender for Endpoint (per user)、Windows E5/A5、Microsoft 365 E5/A5、および Microsoft 365 E5 Security User SL。

2022/10 以降は Defender for Endpoint Server の新規ライセンスが購入できなくなったため、現在は無効な条項となっているかと。

2023/06/23 に Update configure-server-endpoints.md で learn の ドキュメントの修正も行われており、50 ライセンス以上の記載は現在のドキュメントでは残っていないと思います。

 

台数の制限

MDfB を使用したセットアップについては、Microsoft Defender for Businessを設定して構成する から確認できます。

Microsoft Defender for Business serversを取得する方法 には次の記載があります。

  • Microsoft 365 Business Premiumまたは Defender for Business には、サブスクリプションごとに 60 Microsoft Defender for Business servers ライセンスの制限があります。

これについては 製品条項 にも記載されています。

Microsoft Defender for Business サーバー

OSE ごとに別途ライセンスが必要です。1 顧客につき最大 60 のライセンスを取得できます。

MDfB を使用したサーバー保護については、60 台という制限があり、それ以上の台数を使用する場合には、Microsoft Defender for Cloud の利用を検討する必要があるのではないでしょうか。

 

オンボードの方法

オンボードについては、Microsoft Defender for Cloud (厳密には今回の対象は MDfC に含まれる Microsoft Defender for Server (MDfS) / Microsoft Defender for Endpoint のどちらを起点にするかによって操作方法が変わってきます。

 

Microsoft Defender for Cloud にオンボードすることで Defender for Endpoint にもオンボードする

サーバー OS の保護には、Microsoft Defender for Cloud の中の Microsoft Defender for Server (MDfS) を使用することになります。

MDfS は プラン 1 / プラン 2 が提供されていますが、どちらも Defender for Endpoint 統合が含まれており、MDfS としてオンボードされることで MDE との統合が行われます。

これは、Microsoft Defender for Cloudとの統合 に記載されている内容になるかと思います。

オンプレミスの Windows Server を対象とする場合は、Azure Arc 対応サーバーをインストールしておき、MDfS をサブスクリプションレベルで有効にしておけば、拡張機能として「MDE.Windows」がインストールされ、MDE 側でもデバイスがオンボードされた状態となるかと思います。

 

Microsoft Defender for Endpoint にオンボードすることで Defender for Cloud にもオンボードする

上述の内容は MDfC から MDE にオンボードしていますが、MDE にオンボードすることで MDfC (MDfS) にオンボードするということもできます。

MDE で Windows Server をオンボードする方法については、次のドキュメントが参考となります。

MDfC のドキュメントとして、Defender for Endpoint を利用して Microsoft Defender for Cloud に Azure 以外のマシンを接続する が公開されています。

Azure 側の MDfC の操作として、「Defender for Endpoint での直接オンボード」という設定を有効化することができます。

image

この設定を有効にすると、Defender for Endpoint にオンボードを行うと Defender for Cloud にもオンボードをすることができます。
この際、Azure Arc は不要で、Defender for Endpoint (Microsoft Defender Antivirus + ATP の設定) のみで Azure にもオンボードすることができます。

Defender for Cloud ポータル上での有効化 に次の記載がありますが、私が最初に検証した際には、MDE でオンボードしてから Azure で確認できるようになるまでには、本当に 24 時間近くかかりました。

これで、テナントでの直接オンボードが有効になりました。 初回の有効化では、指定したサブスクリプションで Azure 以外のサーバーが表示されるまでに最大 24 時間かかる場合があります。

この機能が想定通り動作している、MDfC の「インベントリ」に「Servers – Defender for Endpoint」というリソースが表示されるようになります。

image

MDE にオンボードした後に、テスト用のアラートを発生させた場合、Azure 側のセキュリティの警告に表示されるのは 24 時間より前だったのですが、インベントリに表示されるのは MDE にオンボード後 24 時間ぐらい経過してからでした。

この方法によるオンボードは Defender for Endpoint から Azure に連携をしているという流れになるようですのでエージェントは不要となります。

ただし、現在の制限 に記載されているように利用できる機能は Defender for Server のプラン 1 がベースとなり、プラン 2 のすべての機能を使用するためには、Azure Monitor エージェントの導入が必要となりますので、Azure Arc が必要となってきます。

 

MDE からの直接オンボードを使用する場合に必要となるライセンス

MDE からの直接オンボードについては、Microsoft Defender for Server (MDfS)として認識がされる環境となり、直接オンボードについては、Microsoft Defender for Server P1 / P2 が必要となります。
(直線オンボードを利用する場合は、MDfS P1 が有効になるため、P1 を基本として P2 を有効化した場合には P2 のコストが発生します)

そのため、直接オンボードについては、MDE のライセンスではなく、MDfS のライセンスが必要となってきます。

MDfS には プランの機能 に記載されている MDE の EDR 機能の利用権が含まれていますが、MDE ポータルを使用して MDE の操作を行う場合には、MDE 側のライセンスが必要になってくるようで、使用する機能 / 管理方法によっては MDfS だけでなく MDE のライセンスも必要となるとのことでした。

Share

Written by Masayuki.Ozawa

8月 9th, 2023 at 1:48 pm

Leave a Reply