CSS Japan Secuirty teamHexohttps://jp-sec.github.io/blog/All rights reserved 2026, CSS Japan Secuirty team日本マイクロソフトのセキュリティ製品に関するサポート情報のブログです。Japan CSS Security Support Blog2026-03-23T07:30:23.545ZCSS Japan Secuirty team
本記事では、Microsoft Defender for Endpoint (MDE) のネットワーク保護機能に関連して、ブロックイベントが記録されないにもかかわらずアプリケーション通信に影響が生じる場合の切り分け手順と対処方法をご案内します。
また、ネットワーク保護が原因と判明した場合の対処として、MDAV の IP アドレス除外およびプロセス除外の設定方法についてもご案内しました。
]]>
https://jp-sec.github.io/blog/Endpoint-MDAV-2026-03-06/2026-03-06T06:00:00.000Z
本記事では、Microsoft Defender for Endpoint (MDE) のネットワーク保護機能に関連して、ブロックイベントが記録されないにもかかわらずアプリケーション通信に影響が生じる場合の切り分け手順と対処方法をご案内します。
ネットワーク保]]>
ネットワーク保護機能をブロックモードで使用する環境で発生した通信の問題のトラブルシューティング2026-03-23T07:30:23.545ZCSS Japan Secuirty team
本記事では、Windows デバイスで Microsoft Defender ウイルス対策(MDAV) のクラウド保護機能および改ざん防止機能に関する一般的なトラブルシューティング手順やよくあるお問い合わせについておまとめします。
この項では Microsoft Defender ウイルス対策(MDAV) のクラウド保護機能(MAPS) の問題に関するトラブルシューティング手順についてご案内します。
端末でクラウド保護機能を有効化しているにも関わらず、クラウド保護機能が動作していない場合や、端末が MDE のセキュリティに関する推奨事項「Fix Windows Defender Antivirus cloud service connectivity」の対象として表示される場合などにはこちらの手順をお試しください。
静的 IP アドレスを用いたアクセス管理を行う場合、IP アドレス のページに記載の通り、Azure IP Ranges で公開されている IP アドレス範囲の内、サービスタグ MicrosoftDefenderForEndpoint および OneDsCollector と対応する IP アドレスを許可してください。
重要
静的 IP アドレスを用いたアクセス許可を構成する場合、SmartScreen、Windows Update、CRL などの MDE 以外のサービスとの接続を維持する必要があります。
Windows デバイスの MDE にオンボード操作を実施したものの、Microsoft Defender ポータルの [アセット]>[デバイス] ページにデバイスが登録されない場合の一般的なトラブルシューティング手順をご案内しました。
]]>
https://jp-sec.github.io/blog/Endpoint-MDAV-2025-04-30/2025-05-02T06:00:00.000Z
本記事では、Windows デバイスの Microsoft Defender for Endpoint(MDE) へのオンボード操作を実施したものの、Microsoft Defender ポータルの [アセット]>[デバイス] ページにデバイスが登録されない場合の一般]]>
Microsoft Defender for Endpoint(MDE) にオンボードしたデバイスがデバイスインベントリに登録されない問題のトラブルシューティング手順2026-03-23T07:30:23.545ZCSS Japan Secuirty team
本記事では、Windows セキュリティアプリの更新プログラムである KB5007651 が繰り返し配信され、正常にインストールできない事象についての対処方法をご案内しております。
# Ensure PsExec is downloaded and available in the temporary directory $psExecPath = "$env:TempDir\psexec.exe" Write-Host"Downloading PsExec..." $psExecUrl = "https://download.sysinternals.com/files/PSTools.zip" $zipPath = "$env:TEMP\PSTools.zip" $extractPath = "$env:TEMP\PSTools" Invoke-WebRequest-Uri$psExecUrl-OutFile$zipPath Write-Host"Extracting PsExec..." Expand-Archive-Path$zipPath-DestinationPath$extractPath Write-Host"Copying PsExec to temporary directory..." New-Item-ItemType Directory -Path$env:TempDir-Force Copy-Item-Path"$extractPath\PsExec.exe"-Destination$env:TempDir Write-Host"Cleaning up temporary files..." Remove-Item-Path$zipPath, $extractPath-Recurse
# Run command prompt with system privileges and delete SecurityHealthSetup.exe silently Write-Host"Deleting SecurityHealthSetup.exe..." Start-Process-FilePath$psExecPath-ArgumentList"-s -accepteula -d cmd.exe /c del /f $env:windir\System32\SecurityHealth\SecurityHealthSetup.exe"-Wait
# Modify registry keys as System user $regPath = "HKLM:\Software\Microsoft\Windows Security Health\Platform" Write-Host"Setting 'Registered' registry key to 0..." Start-Process-FilePath$psExecPath-ArgumentList"-s -accepteula -d powershell.exe -Command `"Set-ItemProperty -Path '$regPath' -Name 'Registered' -Value 0`""-Wait Write-Host"Setting 'CoreLocation' registry key to an empty string..." Start-Process-FilePath$psExecPath-ArgumentList"-s -accepteula -d powershell.exe -Command `"Set-ItemProperty -Path '$regPath' -Name 'CoreLocation' -Value ''`""-Wait
# Delete PsExec from the temporary directory Write-Host"Deleting PsExec from temporary directory..." Remove-Item-Path$psExecPath Write-Host"PsExec has been deleted from the $env:TempDir folder."
この記事では Microsoft Defender for Endpoint on mac(MDE on mac) および Microsoft Defender for Endpoint on Linux(MDE on Linux) のデバイス正常性の評価に役立つ Microsoft Defender for Endpoint Client Analyzer(MDECA) の使用方法についてご案内いたしております。
]]>
https://jp-sec.github.io/blog/Endpoint-MDAV-2025-02-19/2025-02-27T06:00:00.000Z
本記事では、Microsoft Defender ウイルス対策(MDAV) および Microsoft Defender for Endpoint(MDE) に関するよくあるお問い合わせに関する情報をおまとめしています。
<]]>
Microsoft Defender ウイルス対策(MDAV) および Microsoft Defender for Endpoint(MDE) に関するよくあるお問い合わせ2026-03-23T07:30:23.545Z
CSS Japan Secuirty team
こんにちは Security & Compliance サポートチームです。
この記事では、Microsoft Defender ウイルス対策(MDAV) および Microsoft Defender for Endpoint(MDE) の検知機能と、ウイルス対策スキャン除外設定に関するよくあるお問い合わせについておまとめいたします。
検出されたファイルがマルウェアであるか否か不明な場合や、誤って検出されている可能性がある場合は、以下の公開情報に記載の手順で Microsoft Defender ポータルや Microsoft セキュリティ インテリジェンス申請サイトから検体ファイルを弊社にアップロードし、解析を要求することができます。
Microsoft Defender ポータルから確認可能なアラートのうち、サービスソースが Microsoft Defender for Endpoint であり、かつ検出ソースが EDR のアラートは通常、MDE の EDR 検出機能により端末内で不審なアクティビティが検出されたことを示しています。
“Administrative Templates (.admx) for Windows 11 2022 Update (22H2)” や “Administrative Templates (.admx) for Windows 10 November 2021 Update (21H2)” など、最新の管理用テンプレートを使用している場合、「一覧に関するローカル管理者の統合動作を構成する」の設定を [有効] に設定することでローカル管理者による除外エントリの追加が禁止されます。
この記事では、Microsoft Defender ウイルス対策(MDAV) および Microsoft Defender for Endpoint(MDE) の検知機能と、]]>
Windows におけるウイルス対策と除外に関するよくあるお問い合わせ2026-03-23T07:30:23.545ZCSS Japan Secuirty team
こんにちは Security & Compliance サポートチームです。 この記事では、Microsoft Defender for Endpoint (MDE) のサポートを効果的に利用するためのお問い合わせ(SR、サポートリクエスト) 発行方法についてご案内させていただきます。
Microsoft Defender for Endpoint (MDE) または Microsoft Defender ウイルス対策(MDAV) に関するお問い合わせの際には 「Defender for Endpoint」 を選択して下さい。
④ 重大度を選択
問題の状況によって、3 種類の重大度が設定可能です。 お客様がご利用されている契約と、重大度に応じて、初回応答時間が設定されています。 初回応答時間は、お問い合わせ起票後から Microsoft のサポートエンジニアがお客様と連絡を取り、サポートが開始されるまでの時間です。重大度 A 以外は営業時間内 (日本では午前9:00~午後17:30) でのご連絡となります。
事業に軽微な影響が及ぶ場合 (重大度 C): Standard サポート契約の場合 8 時間以内
事業に部分的な影響が発生する場合 (重大度 B): Standard サポート契約の場合 4 時間以内
事業に大きな影響が発生する場合 (重大度 A): Standard サポート契約の場合 1 時間以内
Microsoft Defender における製品自体の品質のフィードバック、機能追加・変更といったご要望については、Microsoft Defender ポータル上の 「フィードバック」 にて送信することができます。 以下の手順で Microsoft へのフィードバックを投稿していただくことで、開発部門に直接お声を届けることが可能となっています。
EP チームではエンドポイントを保護するための製品を中心にサポートしております。 主な製品といたしましては、Windows OS 組み込みのアンチウイルスソフトである Microsoft Defender ウイルス対策 (MDAV) や、エンドポイント上の振る舞い監視を提供する EDR (Endpoint Detection & Response) 製品の Microsoft Defender for Endpoint (MDE)、Edge ブラウザを保護する Microsoft Defender SmartScreen があります。 また、2023 年から製品移管が行われており、現在は Messaging Protection 機能を提供する Microsoft Defender for Office 365 (MDO) や、監査等のデータ保護機能を提供する Microsoft Purview も担当しております。
CP チームでは組織がクラウド サービスを安全に利用するためのセキュリティ製品を幅広くサポートしています。 特にボリュームが多いのはクラウド上のサービスやデバイスを監視する Microsoft Defender for Cloud (MDfC)、そして各製品のログを分析し組織全体のセキュリティを強化する Microsoft Sentinel ですが、その他にも様々な製品も取り扱います。
EP と異なり多数の製品をサポートしていますが、はじめからすべての製品を担当するのではなく、一部の製品のサポートからスタートし徐々に担当する製品やサービスを広げていくので、負担なく知識を増やしていくことができます。
Microsoft Defender for Cloudを利用することで、組織全体で利用するクラウド リソースを監視し、攻撃の対象となりやすい構成やリスクがあるリソースが可視化されます。 新たに発見された脆弱性が対策されていないリソースを通知したり、マルウェアの兆候をアラートとして通知することで、セキュリティ担当者がリスクに対して迅速に対応できるよう手助けをしています。
Microsoft Sentinel は様々な製品やサービスからログを収集し、分析することでより高度な攻撃から組織を保護します。 例えば単体のログからは検知できない攻撃の兆候を複数の製品のログを横断的に分析することで発見したり、組織に合わせてアラートやインシデントを調整することにより組織のセキュリティ担当者の負担を軽減し重要度の高い攻撃への対応を促します。
その他の製品について
CP チームではその他にもクラウド アプリを監視する Microsoft Defender for Cloud Apps(MDA) など、様々な製品をサポートしています。
Microsoft Defender for Cloud Apps (MDA) は CASB と呼ばれる製品に該当し、社内で利用する様々なクラウド アプリを適切に利用するための管理を行います。 この製品を利用することによりシャドウ IT の可視化やデータの保護を実現します。
皆さんは Microsoft と聞くとどのようなイメージを持たれるでしょうか。 私は Microsoft と言えば外資系ということもあり、実力主義でチームメンバー間のやり取りもなく冷たいイメージを持っておりました。笑 チームメンバーの方々に入社前の Microsoft に対するイメージについてアンケートを取りましたのでメンバーの思う Microsoft のイメージを確認してみましょう!
アンケート結果からも個人主義であったり、成果主義のためチームメンバー間のフォローがなく、冷たいイメージを持たれていた方が多くいました。。。 Microsoft 入社後の今だからこそわかる Security & Compliance チームのイメージについても確認してみましょう!
日本語でのサポートを提供する業務の性質上日本語が前提で、さらに英語の技術情報や海外のエンジニアとのやりとりがあるため、英語が分かると有利な場面は多いです。 一方で英語を苦手とする人には通訳や翻訳での配慮がされるので、英語が苦手 or 分からなくても問題ありません。 (対面でのリアルタイムの会話についていけない、などの場面は時々ありますが・・・)
グループポリシーまたは Intune(OMA-URI) を使用する場合は、制御対象となるリムーバブルメディアなどを指定するデバイスコントロールグループを指定する XML ファイルと、デバイスコントロールグループに対するアクセス制御ポリシーを記述する XML ファイルをそれぞれ作成し、端末にポリシーとして配布する必要があります。
このシナリオでは、シナリオ 1 で作成した RemovableMediaDevices へのアクセス拒否ポリシーに加えて、特定の USB デバイスを使用する場合にのみアクセスを許可するポリシーを追加します。
まず、デバイスコントロールグループを定義する XML は以下の通りです。
All removable media devices グループはシナリオ 1 で作成したものと同一ですが、新たに Authorized USBs というグループが追加されています。(Intune の OMA-URI を使用する場合は、グループの定義ごとに OMA-URI を追加します)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
<Groups> <GroupId="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> <Name>All removable media devices</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <PrimaryId>RemovableMediaDevices</PrimaryId> </DescriptorIdList> </Group><GroupId="{368a2c82-17be-4137-bffa-370bbdff9672}"> <Name>Authorized USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the instance path id of your device --> <InstancePathId>USB\VID_154B&PID_0028\6EA9150055800605</InstancePathId> </DescriptorIdList> </Group> </Groups>
この XML では、InstancePathId を使用して、特定のデバイスインスタンスパスを持つ リムーバブルメディアのみを Authorized USBs グループの対象として指定しています。 (XML の仕様上、インスタンスパス内の & を & にエスケープしています)
<Groups> <GroupId="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> <Name>All removable media devices</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <PrimaryId>RemovableMediaDevices</PrimaryId> </DescriptorIdList> </Group><GroupId="{368a2c82-17be-4137-bffa-370bbdff9672}"> <Name>Writeable USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the instance path id of your device --> <InstancePathId>USB\VID_154B&PID_0028\6EA9150055800605</InstancePathId> </DescriptorIdList> </Group> <GroupId="{23c24566-98a5-4218-8802-59614513b97e}"> <Name>Readonly USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the VID PID of another device --> <VID_PID>090C_1000</VID_PID> </DescriptorIdList> </Group> </Groups>
All removable media devices グループはこれまでのシナリオで作成したものと同じで、すべてのリムーバブルメディアを対象とするグループです。これは、カスタムポリシーによる既定のアクセス拒否を構成するために使用します。
<GroupId="{368a2c82-17be-4137-bffa-370bbdff9672}"> <Name>Writeable USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the instance path id of your device --> <InstancePathId>USB\VID_154B&PID_0028\6EA9150055800605</InstancePathId> </DescriptorIdList> </Group>
<GroupId="{23c24566-98a5-4218-8802-59614513b97e}"> <Name>Readonly USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the VID PID of another device --> <VID_PID>090C_1000</VID_PID> </DescriptorIdList> </Group>
<Groups> <GroupId="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> <Name>All removable media devices</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <PrimaryId>RemovableMediaDevices</PrimaryId> </DescriptorIdList> </Group><GroupId="{368a2c82-17be-4137-bffa-370bbdff9672}"> <Name>Writeable USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the instance path id of your device --> <InstancePathId>USB\VID_154B&PID_0028\6EA9150055800605</InstancePathId> </DescriptorIdList> </Group> <GroupId="{23c24566-98a5-4218-8802-59614513b97e}"> <Name>Readonly USBs</Name> <MatchType>MatchAny</MatchType> <DescriptorIdList> <!-- This is an example. Replace this with the VID PID of another device --> <VID_PID>090C_1000</VID_PID> </DescriptorIdList> </Group> </Groups>
この記事では、Windows Server 2012 R2 と Windows Server 2016 を Microsoft Defender for Endpoint(MDE) にオンボード]]>
Windows Server 2012 R2 または Windows Server 2016 を MDE にオンボードする手順と確認ポイント2026-03-23T07:30:23.544ZCSS Japan Secuirty teamActive Directory Rithts Management Service (AD RMS) の役割は Azure IaaS を含めパブリック クラウドへの移行は許諾されません。
こんにちは。Azure Security サポートチームです。
Windows Server 2012 R2 のサポート ライフサイクルの終了日 (2023年10月10日) が迫っています。 今回はオンプレミス環境で運用している AD RMS の役割をホストしているサーバーについて、リフト&シフト形式でのパブリック クラウド移行 (Azure/AWS/GCP 等) がライセンス上許諾されない点について注意喚起させていただきます。
EOS やサポート終了に伴い、ワークロードのクラウド移行を検討しているお客様もいらっしゃるかと存じますが、Windows Server 上で実行される AD RMS の役割についてはパブリック クラウドでの運用をライセンス面で許諾していません。
また、Azure 仮想マシン環境では機能的にも AD RMS の役割をサポートしてません。
Windows Server の AD RMS の役割についてアクティブな機能開発は終了しておりますので、アップグレードやクラウド サービスへの移行を検討いただく場合には、SaaS ソリューションである Microsoft Purview Information Protection (旧:Azure Information Protection) への移行を検討いただきたく存じます。
<参考>
Title : Azure 仮想マシンに対する Microsoft サーバー ソフトウェアのサポート
Windows Server のライセンスはサーバー本体に割り当てるライセンスと、アクセスするクライアント側に割り当てる “Client Access License (CAL)” があります。
また、CAL には基本機能を利用するために必ず割り当てる必要のある “ベース CAL” と、リモート デスクトップ サービスや AD RMS など、Windows Server の特定の追加機能を使用するために必要な “追加 CAL” があります。 例えば、オンプレミス環境で Windows Server の AD RMS の役割を運用する場合には、クライアント側にベース CAL と AD RMS 追加 CAL の 2 種類の CAL が必要になります。
Windows Server Standard エディションおよび Datacenter エディションでは、引き続き、サーバーにアクセスするすべてのユーザーまたはデバイスに対して Windows Server CAL が必要です (例外については、製品条項を参照)。外部ユーザーがアクセスするサーバーに対しては、Windows Server エクスターナル コネクタ ライセンスが引き続き必要です。Windows Server のベース CAL やエクスターナル コネクタ ライセンス以外にも、一部の機能には追加のアクセス ライセンスの購入が必要になります。たとえば、リモート デスクトップ サービスや Active Directory Rights Management サービスなどの追加機能や高度な機能についてはライセンスを購入する必要があります。
~~~~~抜粋終了~~~~~
一方でパブリック クラウド上で Windows Server を運用する場合のライセンス モデルはオンプレミスでのライセンス モデルと少々異なります。パブリック クラウド環境での Windows Server のライセンス モデルでは “ベース CAL” はホスティング サービス側で使用料に含まれる形で提供されます。
例えば Azure 仮想マシンで実行する Windows Server ではベース CAL のライセンスが含まれた形式で提供されており、お客様側での CAL の準備は不要です。しかしながら、IaaS の Windows Server の利用料金に含まれているのは “ベース CAL” だけであり、リモート デスクトップ サービスや AD RMS など高度な機能を利用する場合には、サービスに対応している “追加 CAL” が必要になります。
そこでパブリック クラウドへの追加 CAL の持ち込み可否 (ライセンス モビリティ特典) なのですが、拡張権限として許諾されているのはソフトウェア アシュアランス (SA) 付きのリモート デスクトップ サービス CAL のみであり、AD RMS 追加 CAL にはパブリック クラウドへの持ち込みを許諾する特典がありません。
-Azure Virtual Machines で実行している Windows Server イメージに接続するのに、Windows Server クライアント アクセス ライセンス (CAL) は必要ですか。
いいえ。Azure 環境で実行している Windows Server にアクセスするためのアクセス権は Virtual Machines の分単位の料金に含まれているため、Windows Server SALs は必要ありません。(VHD かどうかに関係なく) オンプレミスで Windows Server を使用する場合は、別途ライセンスを取得する必要があり、ソフトウェアをオンプレミスで使用するための標準ライセンス要件に従うものとします。
-ボリューム ライセンス契約の一部として所有している リモート デスクトップ サービス CAL を使用して、Azure または他のサービス プロバイダー環境で実行している Windows Server のインスタンスにアクセスできますか。
2014 年 1 月 1 日より、リモート デスクトップ サービス ユーザー CAL でソフトウェア アシュアランスをアクティブにしているボリューム ライセンスをご利用のお客様は、リモート デスクトップ サービス CAL 拡張権限を利用できます。
これにより、Azure またはその他のサービス プロバイダーの共有サーバー環境で実行されている Windows Server に対して、ソフトウェア アシュアランス付きのリモート デスクトップ サービス ユーザー CAL を使用できます。
上記の通り、AD RMS 追加 CAL については、パブリック クラウドへのライセンス モビリティ特典を持たないことからパブリック クラウドへの移行が許諾されていません。つきましては運用環境で AD RMS のリプレースが必要な場合には、オンプレミス環境への移行または SaaS ソリューションである Microsoft Purview Information Protection サービスへの移行を検討いただけましたらと存じます。
Microsoft 365 Defender ポータルの「デバイスのインベントリ」に関するよくあるご質問2026-03-23T07:30:23.544ZCSS Japan Secuirty team
この記事では Microsoft Defender for Endpoint(MDE) のデバイス分離機能 を使用した環境でネットワーク隔離を解除できなくなる場合がある問題のトラブルシューティング方法ついて記載します。
Q4 Microsoft 365 Defender ポータルからスケジュールスキャンの設定はできますか
Microsoft Defender for Endpoint(MDE) を使用しているデバイスの場合、Microsoft 365 Defender ポータルにデバイス情報が登録されますが、Microsoft 365 Defender ポータルから Windows マシンのスケジュールスキャンを構成することはできません。
