どうも、株式会社ソフトクリエイト で情報屋やってます。山口です。
普段は企業様向けに Microsoft 365 活用のご支援をおこなっています。
Defender for Business(MDB)を使っていて、「もうちょっと高度なセキュリティ機能が欲しいな〜」「シャドウAI/シャドウIT対策したいな!」「コンプライアンス対策も Microsoft 製品で実現したい!」なんて状況になることがあります(^^
特に、Microsoft 製品で、シャドウAI対策を構成する場合には、Purview を前提とした機能を利用するため、最近では、このようなケースが出ています。
Microsoft Defender for Business から Defender for Endpoint Plan 2 への画面切り替え方法を解説
■ MDB と MDE P2 の違い ― “防御”から“可視化・分析”への進化
Microsoft Defender for Business(以下 MDB)と Microsoft Defender for Endpoint P2(以下 MDE P2)は、同じ Microsoft Defender 管理画面を利用しますが、セキュリティ運用の“深さ”や"広さ"が大きく異なります。
• MDB:SMB*1向けの 必要十分なエンドポイント保護
• MDE P2:SMB~エンタープライズ向けの 高度な可視化・分析・自動化を備えたフル機能版 + MDA*2やPurview 連携に対応
*1 SMB:Small and Medium Businessの略称。おおよそ中堅・中小企業の意。
*2 MDA:Microsoft Defender for Cloud Apps の略称
切り替え検討の本質は「守れるか」ではなく「どこまで深く追えるか」「他サービス連携を行うか」です。
| 項目 | MDB | MDE P2 |
|---|---|---|
| 対象規模 | ~300 ユーザー | SMB~エンタープライズ |
| 代表的な含有ライセンス | MDB 単体 M365 Business Premium | MDE P2 単体 M365 E5/A5/G5Windows E5/A5 |
| 機能ボリューム | 中 | 多(フル) |
| Advanced Hunting | ✖ | ✔ |
| MDA デバイスグループ連携 | 制限あり | フル |
| Purview Endpoint DLP*3 連携 | ✔ | ✔(分析拡張) |
*3 DLP:Data Loss Prevention の略称 データ漏洩を防ぐ仕組み
◆ MDAとの連携
MDAは、Microsoft 製品群におけるSaaS/生成AI利用の可視化と制御を担うCASB*4 です。
• 可視化: どのユーザーが、どのデバイスから、どのクラウドアプリ(シャドウIT/AI)を利用しているかを特定。
• 制御: MDE P2 と連携することで、ブラウザやアプリを問わず、端末レベルで特定のクラウドサービスへのアクセスを禁止(ブロック)できます。業務端末 → 生成AI 業務利用許可
o 標準端末 → 個人向け生成AI・クラウドストレージサービス禁止
o 開発端末 → 開発系 SaaS のみ許可
*4 CASB:Cloud Access Security Broker の略称
※ MDB×MDAの構成の場合には、可視化や全台一律の利用制限は可能ですが、端末レベル(デバイスグループ毎)でのアクセス制御ができないため、柔軟な運用が難しくなります。
◆ Purview との連携
MDA が「出口(どのサイトか)」を監視するのに対し、Purview(Endpoint DLP)は「中身(どのデータか)」を監視します。
• 分析: 「機密ファイルが(DLP)」「ブラウザ経由で(MDE)」「許可されていない生成AIに(MDA)」アップロードされた、という一連の挙動を Microsoft Defender XDR 上で一つのインシデントとして相関分析できます。
※ Endpoint DLP(Purview)は、PCなどの「端末(エンドポイント)」上での機密データの取り扱いを直接監視・制御するソリューションです。USBメモリへのコピー、クラウドへのアップロード、印刷、機密情報のクリップボードへの貼り付けなどを制限し、意図しない情報漏洩を物理的に防ぎます。
■ 注意点:十分なライセンスがあるか、将来的な MDE P2の本格導入をするのか?事前確認
切り替えには 十分なアクティブな試用版または有料ライセンス が必要と案内されています。
• MDE P2 のライセンスが十分に割り当てられているか
=======
エクスペリエンスを Defender for Endpoint に変更する
https://learn.microsoft.com/ja-jp/defender-business/mdb-manage-subscription
Defender for Business エクスペリエンスがあり、Defender for Endpoint エクスペリエンスに変更する場合は、サポートにお問い合わせください。
切り替えるには、十分なアクティブな試用版または有料ライセンスが必要です。
=======
また、MDE Plan 2 への切り替え後に、ユーザー側で MDB のエクスペリエンスへ戻すことは現状できません。
「とりあえず試してみよう」でポチっと切り替えると、戻れなくなる可能性があるので、切り替えは慎重に判断してくださいね。 どうしても戻したい場合は、Microsoft サポートへの問い合わせが必要になるようです。
🔄 切り替え方法
実は、Microsoft Defender 管理センターから 管理者自身が設定を変更する こともできます!
管理者ユーザーで Microsoft Defender 管理センター ( https://security.microsoft.com ) にサインインします。
「システム」→「設定」→「エンドポイント」をクリックします。
「全般」→「ライセンス」に移動し、ライセンスサブスクリプションの状態以下の「サブスクリプション設定の管理」をクリックします。
「Microsoft Defender for Endpoint プラン2」を選択し、「完了」をクリックします。
"プラン2のサブスクリプションに変更しますか?"のメッセージが表示されたら、「続ける」をクリックします。
サブスクリプションの状態が、「Microsoft Defender for Endpoint Plan 2」に変更されていることを確認します。この状態になったら、6~24時間程度待ちます。
■ 切り替え後の管理センターのエクスペリエンスの変更確認
MDE P2 への切り替えが完了したら、以下を順番にチェックしていきましょう!(^^
・高度な追及が使用可能になったか?
・設定のエンドポイント画面に、「デバイスグループ」が表示されたか?
■ MDE P2×MDA 連携時に利用する「対象のプロファイル」タブが表示されない問題
ついでの案内ですが、MDE P2×MDA 連携時で、デバイスグループの処理を定義する"スコーププロファイル(Scoped Profiles)"を設定するためのタブが表示されないことがあります。
「設定」→「クラウドアプリ」→「アプリタグ」画面の↓以下のあたりに、「対象のプロファイル」と表示されるのが本来あるべき状況
このような場合には、「設定」→「クラウド検出」→「Microsoft Defender for Endpoint」画面にある「アプリへのアクセスを強制する」にチェックを入れ、「保存」をクリックします。
※本チェックを入れる前に、検出済みのクラウドアプリに、「承諾されていない」タグをつけてあると、各ユーザーでのクラウドアプリへのアクセスが制限されるので、ご注意ください。
「はい」をクリックします。
10分~30分待って、ブラウザを再起動して、画面を確認します。
「設定」→「クラウドアプリ」→「アプリタグ」画面の以下の部分に、「対象のプロファイル」タブが表示されていれば、成功です。
組織内へのクラウドアプリのアクセス制御の本番前の場合には、「設定」→「クラウド検出」→「Microsoft Defender for Endpoint」画面にある「アプリへのアクセスを強制する」のチェックを外し、「保存」をクリックして、元の状態に戻します。
■ まとめ
今回は、Defender for Business (MDB) から Defender for Endpoint Plan 2 (MDE P2) への切り替え方法 について解説しました。
• 切り替え方法:管理センターから自分で操作で対応
• 反映までは最大 6~24 時間 かかることを想定しておく
• MDE P2 から MDB に戻すことは現状できない ので慎重に判断
MDB は、中小企業(SMB)向けに設計されており、必要不可欠なセキュリティ機能に焦点を当て、手頃な価格で提供されているのが特徴なので、コスト重視の中小企業にはとても良いプランです。
ただ、シャドウAI対策、シャドウIT対策等の上位のセキュリティやコンプライアンス運用をしたい場合は、MDE P2 への切り替えを検討する必要性が出てきます。
