どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋の山口です。
今回の投稿では、MDB のオフボード対応についてまとめてみました。オフボード操作は、1ユーザーあたり、5台のオンボード状況を是正するための操作として、追加されている様な機能であるため、わりとイマイチな動作になっています・・・(^^;
Microsoft Defender for Business のオフボード操作についての小話
- 管理下のデバイスの機能が無効化され、サービスへの通信が停止します。
- セキュリティセンター上、登録されたデバイスが一覧から、削除されるこはなく、最大180日間デバイスインベントリ上残ります。
- セキュリティセンターにて、対象 PC が非アクティブ状態と表示されるまで、1週間ほど掛かります。
- セキュリティセンターにて、対象 PC のオフボード状況を即時確認する方法の提供はございません。オフボード後、対象デバイスの"最後に表示されたデバイス(Last Seen)"が更新されなくなりますので、セキュリティセンター上で、オフボード結果を確認頂く場合には、この更新状況をご確認ください。
- オフボード状況を直接ご確認頂く場合には、クライアントアナライザーを利用することで確認頂くことが可能です。
- オフボード操作を行った対象デバイスのソフトウェアインベントリや脆弱性情報については、セキュリティセンター上、引き続き、表示されるため、運用に応じて、「デバイスを除外する」操作を実施してください。
- デバイスのアクションの「デバイスを除外する」操作をした場合には、セキュリティセンターの脆弱性の管理ページの各項目の状態報告の対象から、除外されます。
- 脆弱性の管理機能とあわせた運用を行う場合には、必要に応じて、「デバイスを除外がする」操作をご検討ください。
オフボードパッケージを利用したオフボード手順
- セキュリティセンター(https://security.microsoft.com)の「設定」-「エンドポイント」-「オフボーディング」にアクセスします。
- オフボート対象のオペレーティングシステムを選択し、「パッケージのダウンロード」をクリックします。
- 「ダウンロード」をクリックします。
- MDB をオフボードする対象の Windows デバイスにパッケージを展開し、パッケージを管理者として実行します。
- "Successfully offboarded machine from Microsoft Defender for Endpoint"、"続行するには何かキーを押してください…"を確認したら、Enter キーを押して画面を閉じます。
※ クライアントアナライザーでレポートを出力することで、MDB のオフボード状況を即時確認することが可能です。
※ センサーの正常性状態が「非アクティブ」に変更される迄には、約1週間掛かります。
※ サービスへの通信が停止するため、デバイスの状態報告については、日時更新が行われない状態となります。