はじめに

Zennへの初めての投稿になります
なんちゃってエンジニアなものでマークダウンに苦労してます
このたび特殊なWindows11に出会いましたので同じ状況で困っている方の一助になればと思います

MDEへオンボードできないWindowsPC

さて本論です。
仕事（副業）でIntuneを使ってWinodwsPCの管理をしているのですが、Microsoft Defender for Endpoint（以降MDE）へのオンボードができないWindows11に遭遇しました。

• 他のWinodws11 (23H2/24H2）PCは問題ない
• あるルートで借りたPC（Intel N100）のみがMDEへオンボーディングできない

エラーでも成功でもなく「N/A」表示。「N/A」ってなんだ？

MDEオンボード設定

MDEオンボード設定は、「コネクタから BLOBをオンボード」の定番の設定をしています。

原因はWindows11

調査をしてみますと既知問題であることが分かりました。

KB5043950: Microsoft Defender for Endpoint の既知の問題

対象
- Windows 11 バージョン 24H2、全エディション

以下ケースでMDEオンボーディングに必要なモジュールが入っていないとのこと
- ユーザーがHome SKUからProプロダクトキーを使用してProにアップグレードする場合
- 「transmog」と呼ばれるこのプロセスでは、Defender for Endpointはインストールされない
- これは仕様上の問題で、Defender for EndpointエージェントがDefender for Endpointサービスに正しく登録されていないため、デバイスは保護されなくなる
- Pro SKUであっても、OEM が必要な機能をインストールしていない場合

今回のケースは「OEM が必要な機能をインストールしていない場合」と思われます
それにしても、必要なモジュールが入っていないなんて驚きです

修復します

実は前述したMSさんの記事「KB5043950」に回避策の記載があります

回避策
展開イメージのサービスと管理（DISM）コマンドラインツールを使用して、管理者特権のコマンドプロンプトからWindows Sense Clientをインストールします。以下のコマンドを参照してください。
DISM /online /Add-Capability /CapabilityName:Microsoft.Windows.Sense.Client~~~~

該当のIntel N100のPCでコマンドを投入してみます
CPUがN100ということもあってか、完了するまで10分程度かかったと思います

成功しました

後から分かったのですが

WindowsAdvancedThreatProtection CSPにこの件について触れている記載がありました

重要
以下の該当するエディションのいずれかにアップグレードされた Windows 11 Home デバイスでは、オンボード前に次のコマンドを実行する必要がある場合があります。
DISM /online /Add-Capability /CapabilityName:Microsoft.Windows.Sense.Client~~~~.

全く気づきませんでした