System Center 2012 Configuration Manager で System Center 2012 Endpoint Protection の定義ファイルを配布する方法

こんにちは、システムセンターサポートの染谷です。

今回は、System Center 2012 Configuration Manager (SCCM 2012) を使用して System Center 2012 Endpoint Protection (SCEP 2012) の定義ファイルを配布する方法を紹介します。
ここでは、Windows 7 を実行するクライアント コンピューターに SCEP 2012 を配布し、SCCM 2012 を使用して定義ファイルを配信するための手順について説明します。
なお、以下の手順は一例であり、用途に応じて各種設定は変更可能です。

手順は、大きく分けて 6 つのステップにわかれます。

• ステップ 1: Endpoint Protection の役割を構成する
• ステップ 2: Endpoint Protection のアラートを構成する
• ステップ 3: ソフトウェアの更新ポイントに同期する製品を指定して更新する
• ステップ 4: 更新された定義を配信する自動展開規則を構成する
• ステップ 5: カスタム クライアント設定を構成する
• ステップ 6: カスタム マルウェア対策ポリシーを構成する

それぞれのステップの詳細は、各セクションをご参照ください。

ステップ 1: Endpoint Protection の役割を構成する

サイト システムに Endpoint Protection の役割を追加します。

1. Configuration Manager コンソールで [管理] を選択して [概要] - [サイトの構成] - [サーバーとサイト システムの役割] の順に展開します。

2. [サイト システムの役割の追加] をクリックします。

3. サイト システムの役割の追加ウィザード で [次へ] ボタンをクリックします。

   

4. 利用可能な役割 の [Endpoint Protection ポイント] にチェックを入れて [次へ] ボタンをクリックします。

   

5. 使用許諾契約に同意して [次へ] ボタンをクリックします。

6. メンバーシップを選択して [次へ] ボタンをクリックします。

7. [要約] ボタンをクリックして結果を確認し、[閉じる] ボタンをクリックします。

   

この後、しばらくすると Endpoint Protection ポイントの役割を持つ Configuration Manager サイト システム サーバー上に SCEP 2012 クライアントがインストールされます。
SCEP 2012 がインストールされると、タスクトレイにアイコンが表示されます。

ステップ 2: Endpoint Protection のアラートを構成する

マルウェアの感染など、特定のイベントが発生したときに管理者に警告を通知することができます。アラートは、Configuration Manager コンソールでレポートを表示したり、必要に応じて指定したユーザーに電子メールを送信することができます。特定のセキュリティ イベントが発生した場合に管理者に通知するためには、Endpoint Protection の警告を有効にします。
必要に応じてアラートを有効にしてください。

メール通知の構成

1. Configuration Manager コンソールで [管理] を選択して [概要] - [サイトの構成] - [サイト] の順に展開します。

2. [設定] から [サイト コンポーネントの構成] - [電子メール通知] の順にクリックします。

   

3. [Endpoint Protection アラートの電子メール通知を有効にする] にチェックを入れます。

4. SMTP サーバーや送信用アドレスを入力します。

   

5. [適用] ボタンをクリックして設定を保存します。

[SMTP サーバーのテスト] ボタンをクリックし、テスト電子メール受信者のメールアドレスを入力して [テスト電子メールの送信] ボタンをクリックすると、設定をテストできます。

続いて、コレクションのアラートを構成します。ここでは、最初に「すべての Windows 7 コンピューター」という名称のコレクションを作成し、次にこのコレクションでアラートを有効にする方法を説明します。

コレクションの作成

1. Configuration Manager コンソールで [資産とコンプライアンス] を選択して [概要] - [デバイス コレクション] の順に展開します。

2. [作成] から [デバイス コレクションの作成] をクリックします。

   

3. コレクションの名前を入力し、限定システムに [すべてのシステム] を選択して [次へ] ボタンをクリックします。

   

4. メンバーシップの規則で [規則の追加] ボタンをクリックし、[クエリ規則] を選択します。

   

5. クエリ規則のプロパティ ダイアログボックスで [クエリ ステートメントの編集] ボタンをクリックします。

   

6. [クエリ言語を表示する] ボタンをクリックします。

   

7. クエリ ステートメントのテキストボックスに、以下の文字列を入力して [OK] ボタンをクリックします。

   select *  from  SMS_R_System where SMS_R_System.OperatingSystemNameandVersion like "%Workstation 6.1%"

8. [OK] ボタンをクリックしてウィザードに戻ります。

   

9. [スケジュール] ボタンをクリックしてコレクションの更新スケジュールを指定し、[OK] ボタンをクリックします。

   

10. [次へ] ボタンをクリックして設定を確認します。

11. [要約] ボタンをクリックして結果を確認し、[閉じる] ボタンをクリックします。

    

 コレクションのアラートの構成

1. コレクションを右クリックして [プロパティ] を選択します。

   

2.  [アラート] タブをクリックして [このコレクションを Endpoint Protection ダッシュボードに表示する] にチェックを入れます。

   

3. [追加] ボタンをクリックしてアラートの条件を指定し、[OK] ボタンをクリックします。

   

4. アラート名やアラートの重要度などを指定して [OK] ボタンをクリックします。

   

ステップ 3: ソフトウェアの更新ポイントに同期する製品を指定して更新する

ソフトウェアの更新ポイントに、SCEP 2012 の定義ファイルを更新するための設定を構成します。

1. Configuration Manager コンソールで [管理] を選択して [概要] - [サイトの構成] - [サイト] の順に展開します。

2. [設定] から [サイト コンポーネントの構成] - [ソフトウェアの更新ポイント] の順にクリックします。

   

3. [全般] タブで [サイト サーバー上のアクティブなソフトウェアの更新ポイント] を選択します。

   

   ※ RTM 環境のみ必要な手順となります。Service Pack を適用されている場合、ソフトウェア更新ポイントをアクティブにする設定がありませんので、本手順は不要です。
   ～ 参考情報 ～
   Configuring Software Updates in Configuration Manager
   Step 1: Install and Configure a Software Update Point - Active Software Update Point
   https://technet.microsoft.com/en-us/library/gg712312.aspx#BKMK_InstallSUP
   --- 抜粋 ---
   Active Software Update Point

   Important
   This section is for Configuration Manager with no service pack only.

   --- 抜粋 ---

4. [分類] タブで [定義更新プログラム] のみにチェックを入れ、その他のチェックボックスのチェックを外します。

   

5. [製品] タブで [Forefront Endpoint Protection 2010] にチェックを入れます。SCEP 2012 では、Microsoft Forefront Endpoint Protection 2010 (FEP 2010) と同一の定義ファイルを使用します。

   

6. [同期スケジュール] タブで同期スケジュールを指定します。1 日より短い時間を指定することをお勧めします。

   

7. [OK] ボタンをクリックします。

8. Configuration Manager コンソールで [ソフトウェア ライブラリ] を選択して [概要] - [ソフトウェア更新プログラム] - [すべてのソフトウェア更新プログラム] の順に展開します。

9. [すべてのソフトウェア更新プログラム] を右クリックして [ソフトウェア更新プログラムの同期] を選択します。

   

10. 確認メッセージで [はい] ボタンをクリックします。

    

ステップ 4: 更新された定義を配信する自動展開規則を構成する

更新された SCEP 2012 の定義を自動的に配信するために、自動展開規則を構成します。

1. Configuration Manager コンソールで [管理] を選択して [概要] - [サイトの構成] - [サイト] の順に展開します。[自動展開規則の作成] をクリックします。

   

2. 全般のページで自動展開規則の名前を指定し、コレクションに定義ファイルを配布したいコレクションを指定します。[既存のソフトウェア更新プログラム グループに追加する] が選択されていることを確認して [次へ] ボタンをクリックします。

   

3. ソフトウェア更新プログラムのページで [リリース日または変更日] にチェックを入れます。検索する値 の文字列をクリックして、[過去 1 日] を選択します。

   

4. [製品] にチェックを入れます。検索する項目 の文字列をクリックして、[Forefront Endpoint Protection 2010] を選択します。

   

5. 評価スケジュールのページで 1 日以内のスケジュールを指定します。

   

6. 展開スケジュールのページで [基準] に [UTC] を指定します。ソフトウェアが使用可能な時間にソフトウェア更新プログラムが展開されるまでの十分な時間を指定し、インストールの期限に [直ちに] を指定します。

   

7. ユーザー側の表示と操作のページで [すべての通知をソフトウェア センターで非表示にし、ユーザーにも通知しない] を選択します。

   

8. ダウンロードの設定のページで展開オプションに [配布ポイントからソフトウェア更新プログラムをダウンロードしてインストールする] を選択します。

   

9. 展開パッケージのページで [新しい展開パッケージを作成する] を選択し、名前とパッケージのソースを指定します。パッケージのソースに指定する共有フォルダは、あらかじめ作成しておいてください。

   

10. 配布ポイントのページで配布ポイントまたは配布ポイント グループを指定します。

    

11. ダウンロード場所のページで [インターネットからソフトウェア更新プログラムをダウンロードする] を選択します。

    

12. 言語の選択のページで更新ファイルの [Japanese] または [日本語] にチェックを入れます。

    

13. 要約のページで設定を確認して [次へ] ボタンをクリックします。

14. 結果を確認して [閉じる] ボタンをクリックします。

    

定義ファイルのダウンロードの状況を「すべてのソフトウェア更新プログラム」から確認します。

ダウンロードがまだ開始されていない場合には、作成した自動展開規則を右クリックして [直ちに実行] を選択します。

しばらく待ち、「すべてのソフトウェア更新プログラム」で ダウンロード済み と 展開済み が [はい] と表示されることを確認します。

ステップ 5: カスタム クライアント設定を構成する

クライアント コンピューターに SCEP 2012 クライアントを展開するためのカスタム クライアント設定を構成します。既定のクライアント設定を変更するのではなく、新規に設定を作成してください。
展開先のコンピューターに、すでに別のマルウェア対策ソフトウェアがインストールされている場合、それらはアンインストールされ、必要に応じてコンピューターを再起動します。

利用可能な設定の詳細については、以下の技術情報を参照してください。
"About Client Settings in Configuration Manager" (英語)
https://technet.microsoft.com/en-us/library/gg682067.aspx

1. Configuration Manager コンソールで [管理] を選択して [概要] - [クライアント設定] の順に展開します。

2. [カスタム クライアント デバイス設定の作成] をクリックします。

   

3. 全般のページで名前を入力し、[Endpoint Protection] にチェックを入れます。

   

4. Endpoint Protection のページをクリックして、以下のように構成します。必要に応じてこれらのオプションは変更することもできます。

   ・ クライアント コンピューターの Endpoint Protection を管理する: True
   ・ Endpoint Protection クライアントをクライアント コンピューターにインストールする: True
   ・ Endpoint Protection をインストールする前に、インストールされているマルウェア対策ソフトウェアを自動的に削除する: True
   ・ Endpoint Protection クライアントのインストール後に必要なコンピューターの再起動を抑制する: False
   ・ Endpoint Protection のインストールを完了するために必要な再起動をユーザーが一定の時間延期できるようにする: 1
   ・ クライアント コンピューター上で定義ファイルを初めて更新する場合は代替ソースを無効にする: True

5. [OK] ボタンをクリックします。

6. 作成したカスタム クライアント設定を右クリックして [展開] を選択します。

   

7. 展開するコレクションを選択して [OK] ボタンをクリックします。

   

ステップ 6: カスタム マルウェア対策ポリシーを構成する

定義ファイルの展開を行うためのカスタム マルウェア対策ポリシーを構成します。既存のクライアント マルウェア対策ポリシーを編集するのではなく、新規にマルウェア対策ポリシーを作成してください。

1. Configuration Manager コンソールで [資産とコンプライアンス] を選択して [概要] - [Endpoint Protection] - [マルウェア対策ポリシー] の順に展開します。

2. [マルウェア対策ポリシーの作成] をクリックします。

   

3. 全般のページでマルウェア対策ポリシーの名前を入力します。

4. 定義ファイルの更新のページで [ソースの設定] ボタンをクリックします。

   

5. [Configuration Manager から配布される更新プログラム] にチェックを入れて [OK] ボタンをクリックします。

   

6. 必要に応じてその他のオプションを修正し、[OK] ボタンをクリックします。

7. 作成したマルウェア対策ポリシーを右クリックして [展開] を選択します。

   

8. 展開するコレクションを選択して [OK] ボタンをクリックします。

   

以上で手順は完了です。

Reference:

Introduction to Endpoint Protection in Configuration Manager
https://technet.microsoft.com/en-us/library/hh508781

"About Client Settings in Configuration Manager"
https://technet.microsoft.com/en-us/library/gg682067