Important
Microsoft Defender for Cloud のすべての機能は、2026 年 8 月 18 日に中国の Azure リージョンで正式に廃止されます。 この今後の提供終了により、中国の Azure のお客様は、サービスに新しいサブスクリプションをオンボードできなくなります。 新しいサブスクリプションは、廃止発表日の 2025 年 8 月 18 日より前に Microsoft Defender for Cloud サービスにまだオンボードされていないサブスクリプションです。 提供終了の詳細については、「 21Vianet Announcement によって運用される Microsoft Azure での Microsoft Defender for Cloud Deprecation」を参照してください。
お客様は、21Vianet が運営する Microsoft Azure のアカウント担当者と協力して、この提供終了が自身の業務に与える影響を評価する必要があります。
Defender for Cloud は、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシンスケールセット、IaaS コンテナー、および非 Azure (オンプレミスを含む) マシンからデータを収集します。 一部の Defender プランでは、ワークロードからデータを収集するために監視コンポーネントが必要になります。
不足している更新プログラム、OS のセキュリティ設定ミス、エンドポイント保護のステータス、正常性と脅威の防止を可視化するためには、データ収集が欠かせません。 データ収集を必要とするのは、コンピューティング リソース (VM、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューターなど) だけです。
エージェントのプロビジョニング以外でも、Microsoft Defender for Cloud にはメリットがあります。 ただし、セキュリティには制限があり、一覧に記載されている機能はサポートされていません。
データは以下を使用して収集されます。
- Azure Monitor エージェント (AMA)
- Microsoft Defender for Endpoint (MDE)
- Kubernetes 用 Azure Policy などのセキュリティ コンポーネント
Defender for Cloud を使用して監視コンポーネントをデプロイする理由
ワークロードのセキュリティの可視性は、監視コンポーネントが収集するデータによって異なります。 このコンポーネントにより、セキュリティの適用範囲が、サポートされているすべてのリソースに及びます。
拡張機能を手動でインストールするプロセスを省くために、Defender for Cloud では、必要なすべての拡張機能を既存のマシンと新しいマシンにインストールすることで、管理オーバーヘッドが削減されます。 Defender for Cloud では、サブスクリプション内のワークロードに、適切な DeployIfNotExists ポリシーを割り当てます。 このポリシーの種類により、その種類および将来のリソースすべてに拡張機能がプロビジョニングされることが保証されます。
Tip
DeployIfNotExists など、Azure Policy の効果の詳細については、「Azure Policy の効果について」をご覧ください。
監視コンポーネントを使用するプラン
これらのプランでは、データの収集に監視コンポーネントを使用します。
- サーバー用ディフェンダー
- Azure Arc エージェント (マルチクラウド サーバーとオンプレミス サーバーの場合)
- Microsoft Defender for Endpoint
- 脆弱性評価
-
マシン上の Defender for SQL サーバー
- Azure Arc エージェント (マルチクラウド サーバーとオンプレミス サーバーの場合)
- Azure Monitor エージェント
- SQL Server の自動検出および登録
- コンテナ用ディフェンダー
- Azure Arc エージェント (マルチクラウド サーバーとオンプレミス サーバーの場合)
- Defender センサー、Kubernetes 用の Azure Policy、Kubernetes の監査ログ データ
拡張機能の可用性
Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
Azure Monitor エージェント (AMA)
| Aspect | Details |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 関連する Defender プラン: | マシン上の Defender for SQL サーバー |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | Owner |
| サポートされている宛先: |
Azure 仮想マシン
Azure Arc 対応マシン |
| Policy-based: |
はい |
| Clouds: |
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
Defender for Cloud での Azure Monitor エージェントの使用の詳細を確認してください。
Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー)
| Aspect | Linux | Windows |
|---|---|---|
| リリース状態: | 一般提供 (GA) | 一般提供 (GA) |
| 関連する Defender プラン: | Microsoft Defender for Servers | Microsoft Defender for Servers |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | - 統合を有効または無効にするには:Security Admin または Owner - Defender for Endpoint のアラートを Defender for Cloud で表示するには: セキュリティ閲覧者、閲覧者、リソース グループの共同作成者、リソース グループの所有者、セキュリティ管理者、サブスクリプションの所有者、またはサブスクリプションの共同作成者 |
- 統合を有効または無効にするには:Security Admin または Owner - Defender for Endpoint のアラートを Defender for Cloud で表示するには: セキュリティ閲覧者、閲覧者、リソース グループの共同作成者、リソース グループの所有者、セキュリティ管理者、サブスクリプションの所有者、またはサブスクリプションの共同作成者 |
| サポートされている宛先: |
Azure Arc 対応マシン
Azure 仮想マシン |
Azure Arc 対応マシン
Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1 を実行している Azure VM、Azure Virtual Desktop、Windows 10 Enterprise マルチセッション
Windows 10 を実行している Azure VM |
| Policy-based: |
いいえ |
いいえ |
| Clouds: |
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
Microsoft Defender for Endpoint の詳細をご確認ください。
脆弱性評価
| Aspect | Details |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 関連する Defender プラン: | Microsoft Defender for Servers |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | Owner |
| サポートされている宛先: |
Azure 仮想マシン
Azure Arc 対応マシン |
| Policy-based: |
はい |
| Clouds: |
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
ゲスト構成
| Aspect | Details |
|---|---|
| リリース状態: | Preview |
| 関連する Defender プラン: | プラン不要 |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | Owner |
| サポートされている宛先: |
Azure 仮想マシン |
| Clouds: |
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
Azure のゲスト構成拡張機能の詳細については、こちらをご覧ください。
Defender for Containers 拡張機能
この表は、Microsoft Defender for Containers による保護に必要なコンポーネントの提供状況の詳細を示しています。
既定では、Azure portal から Defender for Containers を有効にすると、必要な拡張機能が有効になります。
| Aspect | Azure Kubernetes Service クラスター | Azure Arc 対応 Kubernetes クラスター |
|---|---|---|
| リリース状態: | • Defender センサー: GA • Kubernetes 用の Azure Policy: 一般提供 (GA) |
• Defender センサー: プレビュー • Kubernetes 用の Azure Policy: プレビュー |
| 関連する Defender プラン: | Microsoft Defender for Containers | Microsoft Defender for Containers |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 または ユーザー アクセス管理者 | 所有者 または ユーザー アクセス管理者 |
| サポートされている宛先: | AKS Defender センサーでは、RBAC が有効になっている AKS クラスターのみをサポートしています。 | Arc 対応 Kubernetes でサポートされている Kubernetes ディストリビューションを参照してください |
| Policy-based: |
はい |
はい |
| Clouds: |
Defender センサー:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure Kubernetes 用の Azure Policy:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
Defender センサー:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure Kubernetes 用の Azure Policy:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure |
Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。
Troubleshooting
- 手動によるオンボーディングの問題を特定するには、「操作の管理スイートの契約時の問題をトラブルシューティングする方法 」を参照してください。
次のステップ
このページでは、監視コンポーネントと、それらを有効にする方法について説明しました。
各項目の詳細情報
- セキュリティ アラートのメール通知の設定
- Defender プランを使用したワークロードの保護