1. はじめに(この手順書の対象)
本手順書は、以下のような方を対象にしています。
- 中小企業の情シス担当者
- Microsoft 365 を利用しているが、EDR(侵入後検知)は初めて
- 専用SOCやSIEM(Sentinel等)までは考えていない
- まずは「確実に守れる状態」を作りたい
補足
Defender for Business は、専門チームがいない環境でも「自動調査と修復」を活用しやすい中小企業向けのEDRです。
2. 購入前に必ず確認する前提条件(重要)
2.1 対象となるOS(ここでつまずく人が多い)
Windows 10/11 Pro / Enterprise
OK利用可能
Windows 10/11 Home
NGオンボード不可
macOS(比較的新しい3世代程度)
OK利用可能
Windows Server
注意サーバー用ライセンスが別途必要
重要
Windows Home はオンボードできません。
(Windows Defender(AV)はありますが、EDRとして管理コンソールへ登録できないため)
(Windows Defender(AV)はありますが、EDRとして管理コンソールへ登録できないため)
2.2 必要な管理者権限
- Microsoft 365 グローバル管理者 または セキュリティ管理者
- 途中で「設定が全般しか見えない」等の場合は、権限不足が原因のことが多い
2.3 テナント側の前提
- Microsoft 365 テナント(組織)が存在していること
- ユーザーが作成済みであること
- 対象ユーザーへ Defender for Business のライセンスを割り当てること
3. ライセンス構成の考え方(混乱しやすいポイント)
3.1 よくある構成例(Intuneなし)
例
Microsoft 365 Business Standard + Microsoft Defender for Business
※この構成では Intune は含まれません(端末管理は別サービス)。
※この構成では Intune は含まれません(端末管理は別サービス)。
3.2 Defender for Business の特徴
- ユーザー単位ライセンス(最大300ユーザー規模向け)
- クライアント端末(Windows 10/11 Pro以上、macOS)向けのEDR
- サーバーを守る場合は 別途サーバー用ライセンス が必要
注意
本手順書はクライアント(PC)中心です。Windows Server を守る場合は
Microsoft Defender for Business servers 等のサーバー用ライセンスが別途必要です。
4. ライセンス購入手順
4.1 Microsoft 365 管理センターへ
https://admin.microsoft.com4.2 ライセンスを購入
- 左メニュー 課金情報
- 製品を購入
- Microsoft Defender for Business を選択
- 必要なユーザー数分を購入
4.3 ライセンスをユーザーに割り当て(必須)
- 左メニュー ユーザー → アクティブなユーザー
- 対象ユーザーを選択
- ライセンスとアプリ
- ✅ Microsoft Defender for Business を ON
重要
ライセンスを「購入しただけ」では不十分です。ユーザーへ割り当てないと管理画面が正しく表示されないことがあります。
5. Defender 管理コンソールへのアクセス
5.1 アクセスURL
https://security.microsoft.com5.2 初回アクセス時のポイント
- 表示名は 「Microsoft Defender」 となることが多い(Businessと明示されない場合あり)
- 「Sentinel と Defender XDR を接続…」などの案内は 広告・推奨であり、今すぐ必須ではないことが多い
Tip
“表示名”よりも、デバイスがオンボードできる・アラート/インシデントが見えるかが重要です。
6. オンボード前の事前確認(PC側)
6.1 Windows 端末の確認項目
- OSが Windows 10/11 Pro 以上である(Homeは不可)
- Windows Update が最新に近い状態になっている
- 他社ウイルス対策が入っている場合は、競合に注意(必要なら無効化または削除)
注意
他社AVが有効なままだと、Microsoft Defender の リアルタイム保護が無効になることがあります。
7. Windows のオンボード手順(ローカルスクリプト)
Intune がない構成では、少数台のオンボードは ローカルスクリプトが現実的です。
7.1 オンボーディング画面へ
Defender 管理センターで以下へ進みます。
- 設定 → エンドポイント → デバイスのオンボーディング
7.2 OS と展開方法を選択
- OS:Windows 10 / 11
- 展開方法:ローカル スクリプト
7.3 スクリプト実行(管理者として)
- 1オンボードパッケージ(ZIP)をダウンロード
- 2対象PCへZIPをコピー → 展開
- 3
WindowsDefenderATPLocalOnboardingScript.cmdを 管理者として実行 - 4確認が出たら Y を入力して続行
OK
実行後しばらくすると、Defender 管理画面の デバイス一覧 に端末が表示されます。
7.4 オンボード完了確認(必須)
表示された端末をクリックし、以下を確認します。
- 状態:アクティブ
- センサー:有効
- リアルタイム保護:有効(端末側でも確認推奨)
補足
「インシデントが0件」でも問題ありません。攻撃が発生していないだけで、EDRは監視中です。
8. macOS のオンボード(概要)
macOS は Windows と異なり、エージェント(アプリ)のインストールと権限許可が必要です。
- Defender の macOS 用アプリをインストール
- フルディスクアクセスなど必要な権限を許可
- Defender 管理画面に表示されれば完了
注意
macOSは権限設定(フルディスクアクセス等)が不十分だと “部分的” になりやすいため、別途詳細手順書化がおすすめです。
9. よくある注意点・つまずきポイント
つまずき①
Windows Home だった
→ Pro へアップグレードが必要(Homeはオンボード不可)
→ Pro へアップグレードが必要(Homeはオンボード不可)
つまずき②
設定メニューが「全般」しか見えない/エンドポイントが出ない
→ 管理者権限不足、またはテナント初期化・反映待ちの可能性
→ 管理者権限不足、またはテナント初期化・反映待ちの可能性
つまずき③
Sentinel / XDR の案内が表示されて不安
→ 多くの場合は “上位機能の案内(広告)” なので無視してOK
→ 多くの場合は “上位機能の案内(広告)” なので無視してOK
つまずき④
他社AVが残っている
→ リアルタイム保護がOFFになったり、表示が不整合になることがあります
→ リアルタイム保護がOFFになったり、表示が不整合になることがあります
10. ここまでで出来上がる状態(導入完了のゴール)
オンボードが完了し、端末がアクティブに表示されていれば、以下が利用できる状態です。
- ✅ リアルタイム保護(Microsoft Defender Antivirus)
- ✅ EDR(侵入後検知・可視化)
- ✅ 自動調査と修復(Automated Investigation & Remediation)
- ✅ 管理画面からのスキャン/端末隔離/調査パッケージ収集
- ✅ 中小企業向けとして十分な防御力
まとめ
「購入 → 割り当て → オンボード」まで出来れば、セキュリティの土台は完成です。
次は “どう見るか(運用)” が重要になります。
次は “どう見るか(運用)” が重要になります。
11. 次回予告(運用編)
次回は、導入後に必ず知っておくべき運用面として、以下を解説します。
- ✅ Microsoft Defender 管理コンソールの見方(まず見るべき画面)
- ✅ 「無視していい表示/見るべき表示」一覧
- ✅ インシデント・アラートの読み方と優先順位
- ✅ 自動調査に任せていいケース/人が対応すべきケース
- ✅ 情シス1人でも回る週次・月次の運用ルール例