Linux 上のMicrosoft Defender for Endpointでセキュリティ設定を構成する

セキュリティ設定を構成する

Linux 上のMicrosoft Defender for Endpointには、ウイルス対策、マルウェア対策保護、エンドポイント検出、応答機能が含まれます。 この記事では、構成するための重要なセキュリティ設定の概要と、他のリソースへのリンクが含まれています。

セキュリティ設定を構成するためのオプション

Linux 上の Defender for Endpoint でセキュリティ設定を構成するには、次の 2 つの主なオプションがあります。

• Microsoft Defender ポータルを使用する (Defender for Endpoint Security Settings Management)

  または

• 構成プロファイルを使用する

コマンド ラインを使用して、特定の設定の構成、診断の収集、スキャンの実行などを行うことができます。 詳細については、「 Linux リソース: コマンド ラインを使用して構成する」を参照してください。

Defender for Endpoint Security Settings Management

Defender for Endpoint on Linux は、Defender for Endpoint Security Settings Management を使用して、Microsoft Defender ポータル (https://security.microsoft.com) で構成できます。 セキュリティ ポリシーを作成、編集、検証する方法など、詳細については、「Microsoft Defender for Endpointセキュリティ設定管理を使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。

構成プロファイル

.json ファイルを使用する構成プロファイルを使用して、Defender for Endpoint on Linux で設定を構成できます。 プロファイルを設定したら、任意の管理ツールを使用して展開できます。 エンタープライズによって管理される基本設定は、デバイスでローカルに設定された基本設定よりも優先されます。

つまり、エンタープライズ内のユーザーは、この構成プロファイルを使用して設定された基本設定を変更できません。 マネージド構成プロファイルを通じて除外が追加された場合、除外はマネージド構成プロファイルを介してのみ削除できます。 コマンド ラインは、ローカルに追加された除外に対して機能します。

この記事では、このプロファイルの構造 (開始に使用できる推奨プロファイルを含む) と、プロファイルをデプロイする方法について説明します。

構成プロファイルの構造

構成プロファイルは、キーによって識別されるエントリ (基本設定の名前を示す) で構成される .json ファイルで、その後に値が続きます。これは、基本設定の性質に応じて異なります。 値は、単純 (数値など) または複合 (たとえば、入れ子になった基本設定の一覧) です。

通常、構成管理ツールを使用して、 mdatp_managed.json という名前のファイルを場所 /etc/opt/microsoft/mdatp/managed/にプッシュします。

構成プロファイルの最上位には、製品全体の基本設定と、製品のサブエリアのエントリが含まれています。これについては、次のセクションで詳しく説明します。

推奨される構成プロファイル

このセクションには、次の 2 つの構成プロファイルの例が含まれています。

• 推奨設定の使用を開始するのに役立つサンプル プロファイル。
• セキュリティ設定をより詳細に制御する組織の完全な構成プロファイルの例。

開始するには、organizationの最初のサンプル プロファイルを使用することをお勧めします。 より詳細な制御を行うには、代わりに 完全な構成プロファイルの例 を使用できます。

サンプル プロファイル

次の構成プロファイルは、Defender for Endpoint on Linux の重要な保護機能を活用するのに役立ちます。 プロファイルには、次の構成が含まれています。

• リアルタイム保護 (RTP) を有効にします。
• 次の脅威の種類の処理方法を指定します。
  • 望ましくない可能性のあるアプリケーション (PUA) がブロックされます。
  • アーカイブ爆弾 (圧縮率の高いファイル) は、製品ログに対して監査されます。
• セキュリティ インテリジェンスの自動更新を有効にします。
• クラウド提供の保護を有効にします。
• safe レベルで自動サンプル送信を有効にします。

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

完全な構成プロファイルの例

次の構成プロファイルには、この記事で説明したすべての設定のエントリが含まれており、より詳細な制御が必要なより高度なシナリオに使用できます。

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefinitionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Defender for Endpoint on Linux でのウイルス対策、マルウェア対策、EDR の設定

構成プロファイル (.json ファイル) またはMicrosoft Defender ポータル (セキュリティ設定管理) のどちらを使用する場合でも、Defender for Endpoint on Linux でウイルス対策、マルウェア対策、EDR の設定を構成できます。 次のセクションでは、設定を構成する場所と方法について説明します。

ウイルス対策エンジンの基本設定

構成プロファイルの antivirusEngine セクションは、製品のウイルス対策コンポーネントの基本設定を管理します。

ディクショナリの内容とポリシー プロパティの説明については、次のサブセクションを参照してください。

Microsoft Defender ウイルス対策の適用レベル

ウイルス対策エンジンの適用設定を指定します。 適用レベルの設定には、次の 3 つの値があります。

• リアルタイム (real_time): リアルタイム保護 (変更されたファイルのスキャン) が有効になっています。

• オンデマンド (on_demand): ファイルはオンデマンドでのみスキャンされます。

  • リアルタイム保護はオフです。
  • 定義の更新は、 automaticDefinitionUpdateEnabled がオンデマンド モードで true に設定されている場合でも、スキャンの開始時にのみ発生します。

• パッシブ (passive): ウイルス対策エンジンをパッシブ モードで実行します。

  • リアルタイム保護はオフです。 Microsoft Defenderウイルス対策は脅威を修復しません。
  • オンデマンド スキャンがオンになっています。 スキャン機能は、デバイスで引き続き使用できます。
  • 脅威の自動修復はオフです。 ファイルは移動されません。セキュリティ管理者は必要なアクションを実行する必要があります。
  • セキュリティ インテリジェンスの更新プログラムがオンになっている。 アラートは、セキュリティ管理者のorganizationで使用できます。
  • 定義の更新は、 automaticDefinitionUpdateEnabled が trueに設定されている場合でも、スキャンの開始時にのみ発生します。
  • エンドポイントの検出と応答 (EDR) がオンです。 デバイスの mdatp health コマンドの出力には、engine_load_version プロパティのengine not loadedが表示されます。 エンジンは EDR ではなくウイルス対策に関連しています。

動作監視を有効または無効にする (RTP が有効になっている場合)

デバイスで動作の監視とブロック機能を有効または無効にするかどうかを指定します。

定義の更新後にスキャンを実行する

新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。

スキャン アーカイブ (オンデマンドウイルス対策スキャンのみ)

オンデマンドウイルス対策スキャン中にアーカイブをスキャンするかどうかを指定します。

オンデマンド スキャンの並列処理の程度

オンデマンド スキャンの並列処理の程度を指定します。 この設定は、スキャンによって使用されるプロセッサ スレッドの数に対応します。 この設定は、CPU 使用率とオンデマンド スキャンの期間に影響します。

除外マージ ポリシー

デバイスでユーザー定義の除外を使用するかどうかを指定します。 有効な値は次のとおりです。

• admin_only: Defender for Endpoint ポリシーによって構成された管理者定義の除外のみを使用します。 ユーザーが独自の除外を定義できないようにするには、この値を使用します。
• merge: 管理者定義の除外とユーザー定義の除外の組み合わせを使用します。

除外をスキャンする

スキャンから除外されたエンティティ。 除外は、項目の配列として指定します。 管理者は、必要な数の要素を任意の順序で指定できます。 完全なパス、拡張子、またはファイル名を使用して除外を指定します。

ディクショナリの内容の説明については、次のサブセクションを参照してください。

除外の種類

スキャンから除外するコンテンツの種類を指定します。

除外されたコンテンツへのパス

完全なファイル パスでスキャンからコンテンツを除外します。

パスの種類 (ファイル/ディレクトリ)

path プロパティがファイルまたはディレクトリを参照するかどうかを指定します。

スキャンから除外されたファイル拡張子

ファイル拡張子でスキャンからコンテンツを除外します。

スキャンから除外されたプロセス

すべてのファイル アクティビティをスキャンから除外するプロセスを指定します。 プロセスは、名前 ( cat など) または完全パス ( /bin/cat など) で指定できます。

nonexec マウントのミュート

noexecとしてマークされたマウント ポイントでの RTP の動作を指定します。 有効な値は次のとおりです。

• ミュートなし (unmute): すべてのマウント ポイントが RTP の一部としてスキャンされます。 この値が既定値です。
• ミュート (mute): noexec としてマークされたマウント ポイントは RTP の一部としてスキャンされません。
  • データベース サーバーはデータベース ファイルを保持できます。
  • ファイル サーバーは、データ ファイル マウント ポイントを保持できます。
  • バックアップでは、データ ファイルのマウント ポイントを保持できます。

ファイルシステムの監視を解除する

RTP によって監視されない (除外される) ファイルシステムを指定します。 指定されたファイルシステムは、Microsoft Defenderウイルス対策でクイック スキャン、フル スキャン、カスタム スキャンによって引き続きスキャンされます。

監視されていないリストからファイルシステムを追加または削除すると、Microsoft は、RTP による監視 (リストから削除) または RTP による監視 (リストに追加) がないファイルシステムの適格性を検証します。

• 既定では、次のファイルシステムは RTP によって監視されます。

  • btrfs
  • ecryptfs
  • ext2
  • ext3
  • ext4
  • fuseblk
  • jfs
  • overlay
  • ramfs
  • reiserfs
  • tmpfs
  • vfat
  • xfs

• 既定では、次のファイルシステムは RTP によって監視されません。

  • cifs^*
  • fuse
  • nfs
  • nfs4^*
  • smb^*

  これらのファイルシステムは、クイック スキャンとフル スキャンでは監視されませんが、カスタム スキャンではスキャン可能です。

  ^* 現在、このファイルシステムの RTP 監視はプレビュー段階です。

たとえば、監視されていないファイルシステムの一覧から nfs と nfs4 を削除するには (つまり、検証後に nfs と nfs4 が RTP によって監視されます)、マネージド構成ファイルを次のエントリで更新します。

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["cifs","fuse","smb"]
  }
}

監視されていないファイルシステムの一覧からすべてのエントリを削除するには、次のエントリを使用します。

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

ファイル ハッシュ計算機能を構成する

Defender for Endpoint によってスキャンされたファイルのファイル ハッシュ計算を有効または無効にします。 この機能を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 詳細については、「 ファイルのインジケーターを作成する」を参照してください。

許可される脅威

Defender for Endpoint によってブロックされない脅威の名前を指定します。 代わりに、これらの脅威の実行が許可されます。

許可されていない脅威アクション

脅威が検出されたときにデバイス ユーザーが許可するアクションを制限します。 この一覧に含まれるアクションは、ユーザー インターフェイスには表示されません。

脅威の種類の設定

特定の脅威の種類の処理方法を制御します。

ディクショナリの内容の説明については、次のサブセクションを参照してください。

脅威の種類

脅威の種類を指定します。

実行する操作

以前に指定した脅威の種類が検出された場合のアクションを指定します。 有効な値は次のとおりです。

• 監査: デバイスはこの種類の脅威から保護されていませんが、脅威に関するエントリがログに記録されます。 この値は既定値です。
• ブロック: デバイスはこの種類の脅威から保護され、Microsoft Defender ポータルで通知されます。
• オフ: デバイスはこの種類の脅威から保護されておらず、何もログに記録されません。

脅威の種類の設定のマージ ポリシー

デバイスでユーザー定義の脅威の種類の設定を使用するかどうかを指定します。 有効な値は次のとおりです。

• admin_only: 管理者が定義した脅威の種類の設定のみを使用します。 この値を使用して、ユーザーが独自の脅威の種類の設定を定義できないようにします。
• merge: 管理者定義とユーザー定義の脅威の種類の設定を組み合わせて使用します。

ウイルス対策スキャン履歴の保持期間 (日数)

デバイスのスキャン履歴に結果が保持される日数を指定します。 古いスキャン結果は履歴から削除されます。 古い検疫済みファイルもディスクから削除されます。

ウイルス対策スキャン履歴のアイテムの最大数

スキャン履歴に保持するエントリの最大数を指定します。 エントリには、すべてのオンデマンド スキャンとすべてのウイルス対策検出が含まれます。

除外設定の基本設定

構成プロファイルのexclusionSettingsセクションでは、Linux 用のMicrosoft Defender for Endpointのさまざまな除外を構成します。

辞書の内容の説明については、次のセクションを参照してください。 |

マージ ポリシー

除外マージ ポリシー

デバイスでユーザー定義の除外を使用するかどうかを指定します。 有効な値は次のとおりです。

• admin_only: Defender for Endpoint ポリシーによって構成された管理者定義の除外のみを使用します。 ユーザーが独自の除外を定義できないようにするには、この値を使用します。
• merge: 管理者定義の除外とユーザー定義の除外の組み合わせを使用します。

この設定は、すべてのスコープの除外に適用されます。

除外

スキャンから除外されたエンティティ。 除外は、項目の配列として指定します。 管理者は、必要な数の要素を任意の順序で指定できます。 完全なパス、拡張子、またはファイル名を使用して除外を指定します。 除外ごとに、スコープを指定できます。 既定のスコープは グローバルです。

ディクショナリの内容の説明については、次のサブセクションを参照してください。

除外の種類

スキャンから除外するコンテンツの種類を指定します。

除外のスコープ (省略可能)

除外されたコンテンツの除外スコープを指定します。 有効な値は次のとおりです。

• epp
• global

マネージド構成で除外スコープを指定しない場合は、 global 値が使用されます。

除外されたコンテンツへのパス

完全なファイル パスでスキャンからコンテンツを除外します。

パスの種類 (ファイル/ディレクトリ)

path プロパティがファイルまたはディレクトリを参照するかどうかを指定します。

スキャンから除外されたファイル拡張子

ファイル拡張子別のスキャンからコンテンツを除外します。

スキャンから除外されたプロセス

プロセスによるすべてのファイル アクティビティをスキャンから除外します。 有効な値は次のとおりです。

• プロセス名。 たとえば、「 cat 」のように入力します。
• 完全パス。 たとえば、「 /bin/cat 」のように入力します。

高度なスキャン オプション

特定の高度なスキャン機能を有効にするには、次の設定を構成できます。

ファイル変更アクセス許可イベントのスキャンを構成する

実行されるビットを設定するためにアクセス許可が変更されたときに、Defender for Endpoint がファイルをスキャンするかどうかを指定します。

ファイル変更所有権イベントのスキャンを構成する

Defender for Endpoint で所有権が変更されたファイルをスキャンするかどうかを指定します。

生ソケット イベントのスキャンを構成する

Defender for Endpoint がネットワーク ソケット イベントをスキャンするかどうかを指定します。 例:

• 生ソケット/パケット ソケットの作成。
• ソケット オプションの設定。

クラウド配信の保護の基本設定

構成プロファイルの cloudService エントリによって、クラウド駆動型保護機能が構成されます。

ディクショナリの内容とポリシー設定の説明については、次のサブセクションを参照してください。

クラウド配信保護を有効または無効にする

クラウド配信の保護をデバイスで有効にするかどうかを指定します。 セキュリティを強化するために、この機能をオンにしておくことをお勧めします。

診断収集のレベル

Microsoft に送信される診断情報のレベルを指定します。 詳細については、「Linux 上のMicrosoft Defender for Endpointのプライバシー」を参照してください。

診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。

クラウド ブロック レベルを構成する

疑わしいファイルをブロックおよびスキャンする際の Defender for Endpoint の攻撃性を指定します。 有効な値は次のとおりです。

• 標準 (normal): 値が既定値です。
• 中程度 (moderate): 高信頼度の検出に対してのみ判定を配信します。
• 高 (high): パフォーマンスを最適化しながら、不明なファイルを積極的にブロックします。 この値は、非ハルフル ファイルをブロックする可能性が高くなります。
• High Plus (high_plus): 不明なファイルを積極的にブロックし、追加の保護対策を適用します。 この値は、クライアント デバイスのパフォーマンスに影響する可能性があります。
• ゼロ 許容値 (zero_tolerance): 不明なプログラムをすべてブロックします。

この設定がオンの場合、Defender for Endpoint は、ブロックおよびスキャンする疑わしいファイルを特定するときに、より積極的になります。 それ以外の場合は、攻撃的ではなく、より頻度の低いブロックとスキャンが行われます。

サンプルの自動送信を有効または無効にする

疑わしいサンプル (脅威が含まれている可能性が高い) を Microsoft に送信するかどうかを指定します。 有効な値は次のとおりです。

• なし: 疑わしいサンプルは Microsoft に送信されません。
• 安全: 個人情報を含まない疑わしいサンプルのみが自動的に送信されます。 この値が既定値です。
• すべて: 疑わしいサンプルはすべて Microsoft に送信されます。

セキュリティ インテリジェンスの自動更新を有効または無効にする

セキュリティ インテリジェンスの更新プログラムを自動的にインストールするかどうかを指定します。

適用レベルに応じて、セキュリティ インテリジェンスの自動更新が異なる方法でインストールされます。 RTP モードでは、更新プログラムが定期的にインストールされます。 パッシブ モードまたはオンデマンド モードでは、すべてのスキャンの前に更新プログラムがインストールされます。

高度なオプション機能

特定の高度なオプション機能を有効にするには、次の設定を使用します。

ディクショナリの内容の説明については、次のサブセクションを参照してください。

モジュールの読み込み機能

モジュール読み込みイベント (共有ライブラリ上のファイル開いているイベント) を監視するかどうかを指定します。

感染ファイルの修復機能

感染したファイルを開いたり読み込んだりする感染したプロセスを RTP モードで修復するかどうかを指定します。

補助センサー構成

次の設定を使用して、特定の高度な補助センサー機能を構成します。

ディクショナリの内容の説明については、次のセクションを参照してください。

ファイル変更アクセス許可イベントの監視を構成する

ファイル変更アクセス許可イベント (chmod) を監視するかどうかを指定します。

ファイル変更所有権イベントの監視を構成する

ファイル変更所有権イベント (chown) を監視するかどうかを指定します。

生ソケット イベントの監視を構成する

生ソケット/パケット・ソケットの作成またはソケット・オプションの設定に関係するネットワーク・ソケット・イベントをモニターするかどうかを指定します。

ブート ローダー イベントの監視を構成する

ブート ローダー イベントを監視およびスキャンするかどうかを指定します。

ptrace イベントの監視を構成する

ptrace イベントを監視およびスキャンするかどうかを指定します。

擬似イベントの監視を構成する

疑似イベントを監視およびスキャンするかどうかを指定します。

eBPF を使用してモジュール・ロード・イベントのモニターを構成する

モジュール読み込みイベントを eBPF によって監視し、スキャンするかどうかを指定します。

eBPF を使用して特定のファイルシステムからのオープン イベントの監視を構成する

procfs からのオープン・イベントを eBPF によってモニターするかどうかを指定します。

eBPF を使用してイベントのソース エンリッチメントを構成する

eBPF のソースでイベントをメタデータでエンリッチするかどうかを指定します。

ウイルス対策エンジン キャッシュを有効にする

ウイルス対策エンジンによってスキャンされたイベントのメタデータをキャッシュするかどうかを指定します。

疑わしいウイルス対策イベントを EDR に報告する

ウイルス対策からの疑わしいイベントを EDR に報告するかどうかを指定します。

ネットワーク保護の構成

次の設定を使用して、Network Protection によって検査されるトラフィックを制御する高度なネットワーク保護検査機能を構成します。

ディクショナリの内容の説明については、次のサブセクションを参照してください。

適用レベル

ICMP 検査を構成する

ICMP イベントを監視およびスキャンするかどうかを指定します。

構成プロファイルにタグまたはグループ ID を追加する

最初に mdatp health コマンドを実行すると、タグとグループ ID の値は空白になります。 mdatp_managed.json ファイルにタグまたはグループ ID を追加するには、次の手順に従います。

1. パス /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonから構成プロファイルを開きます。

2. ファイルの下部にある cloudService ブロックで、次の例に示すように、 cloudService ブロックの閉じ中かっこの末尾に必要なタグまたはグループ ID を追加します。

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   注:

   • cloudService ブロックの末尾の中かっこの後にコンマを追加します。
   • 例に示すように、 tags または groupIds ブロックを追加した後、2 つの閉じる中かっこがあることを確認します。
   • 現在、サポートされているタグのキー名は GROUPのみです。

構成プロファイルの検証

構成プロファイルは、有効な JSON 形式のファイルである必要があります。 多くのツールを使用して、構成プロファイルを確認できます。 たとえば、デバイスに python がインストールされている場合は、次のコマンドを実行します。

python -m json.tool mdatp_managed.json

ファイルの形式が正しい場合、コマンドは終了コード 0を返します。 それ以外の場合はエラーが表示され、コマンドは終了コード 1を返します。

mdatp_managed.json ファイルが期待どおりに動作していることを確認する

/etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonが正常に動作していることを確認するには、次の設定の横に[managed]が表示されます。

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

構成プロファイルの展開

organizationの構成プロファイルを作成したら、現在の管理ツールを使用して展開できます。 Defender for Endpoint on Linux は、 /etc/opt/microsoft/mdatp/managed/mdatp_managed.jsonからマネージド構成を読み取ります。