皆さんこんにちは。国井です。
Microsoft Defender for Endpoint (MDE)にオンボードされたデバイスはMicrosoft 365 Defender管理センターでその一覧を確認できると思います。しかし、オンボードされているデバイスが何千台にもなるような場合だと特定のデバイスを探すのにとても苦労すると思います。そんなときにはタグを設定しておきましょう。
ただ、そのタグをMDEから1台ずつ設定すると結局大変なので、今日はMicrosoft Intuneからタグを設定する方法にチャレンジしてみたいと思います。
ゴールは「デスクトップPCにDesktopPCというタグを設定する」です。
ちなみは設定方法はMS Learnでも紹介しています。
Intuneでの設定方法 – フィルター設定
Intuneからタグを設定する場合、タグを設定するデバイスの条件をフィルターで定義しておくと便利です。例えば「デスクトップPCにタグを設定したい」ということであれば、デスクトップPCを表すフィルタ条件を設定します。条件にはManufacturer(製造元)を使いたいのですが、弊社ではデスクトップPCのベンダーがバラバラで、ノートPCとして使っているベンダーがMicrosoftとVaioだけだったので、フィルターとしてノートPCを定義し、ノートPC以外だったらという条件を設定してみたいと思います。
設定方法はMicrosoft Intune管理センターの デバイス > フィルター から新しいフィルターを作成し、ノートPCのフィルターを作成します。
前述のとおり、
manufacturer contains microsoft
or
manufacturer contains vaio
と設定します。
Intuneでの設定方法 -タグの設定
続いてタグの定義を行います。
Intuneからタグを設定する場合、構成プロファイルで以下のプロファイルを作成します。
プラットフォーム:Windows 10 以降
プロファイルの種類:テンプレート
テンプレート名:カスタム
構成プロファイルのウィザード画面ではOMA-URI項目で
名前:適当
OMA-URI:./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group
データ型:文字列
値:DesktopPC
となるように設定します。
設定ができたらそのままウィザード画面を進め、割り当て設定で
グループ:すべてのデバイス
フィルター:NotePC (さっき設定したフィルター)
フィルターモード:除外
こうすればDesktopPCタグをノートPC以外のデバイスに割り当てられます。
設定の確認
できたら結果を確認してみましょう。
構成プロファイルから設定したタグはオンボードしたデバイスのレジストリに登録され、それがテレメトリとしてMDEに送信されるため、時間がかかりますがしばらくするとご覧のようにタグが設定されることがわかります。
表示されている内容のうち、グレー表示のタグがIntuneから設定したタグ、青い表示のタグがMDEから直接設定したタグです。先日もご相談でいただいたのですが、表示されているアラートの中から特定OSで出力されたアラートだけ表示したい、デスクトップPCで出力されたアラートだけ表示したい、みたいなことをするときにご覧のようなタグを設定しておくことでアラート内のフィルター設定で特定のタグを持つデバイスのアラートだけ表示させるような運用が可能になります。
