Microsoft Defender for Endpointを再オンボード時のデバイスID
はじめに
Microsoft Defender for Endpoint(以下、MDE)を一度オンボード/オフボードした後に、再度オンボードをした時のデバイスIDのTipsになります。
ニッチすぎて利用する場面は少ないとは思いますが参考になれば幸いです。
MDEのデバイスID
MDEをデバイスにオンボードした際にMDE側で固有のデバイスIDが付与されます。
※Azure ADデバイスIDとは異なります
WindowsをMDEに再オンボードするとMDEでデバイスIDが新規作成されると予想していました。
予想
しかし、実際は同じデバイスとみなされるので、デバイスIDは作成されず以前オンボードした情報が引き継がれます。
現実
おそらくオフボードの作業だけではデバイス側のMDEに登録した情報を完全に消せていないからだと思います。
同じデバイスなのでデバイスIDは引き継がれたほうがいいのでは?と思いましたが、引き継ぎたくないという要件があったらどうしようと思ったので、再オンボードした際に新しくデバイスIDが作成される方法を探しました。
手順
Windows
Japan CSS Security Support Blogのこちらの記事の手順を実施すると、再オンボードした時にデバイスIDが新規作成されます。
記事の手順を実施するだけですが簡単に内容を記載いたします。
- MDEをオフボード(任意の方法で)
- コマンドプロンプトで下記コマンドを実行し、オフボードされていることを確認
sc query sense
実行結果(一部抜粋)
State : 1(STOPPED)
- https://download.sysinternals.com/files/PSTools.zip から、PsExec.exe ツールをダウンロードしデスクトップ等に保存
- 管理者権限でコマンドプロンプトを起動し、PsExec.exe ツールを使用して以下のコマンドを実行
PsExec.exe -s cmd.exe
- 続けてコマンドを実行
cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
del *.* /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
exit
- 再起動して再オンボード
するとMDEでデバイスIDが新規作成されます。
iOS(BYOD)
Azure AD registered + Intune(手動)でMDEにオンボードし、Intune側でリタイヤしたとします。
リタイヤにより、Intuneからデバイス情報は削除されてもAzure ADにはデバイス情報が残っています。
※MDEアプリも既定ではデバイスからアンインストールされません。
この状態で再度MDEにオンボードするとMDEのデバイスIDは引き継がれます。
デバイスIDを新規作成する方法は2パターンあります。
- Azure ADから事前にデバイスを削除
- Intuneでのデバイスリタイヤ時にアプリもアンインストールする設定をしておく(楽)
macも早くアンインストールされる機能実装してほしい
Android個人所有の仕事用プロファイル(BYOD)
Azure AD registered + Intune(手動)でMDEにオンボードし、Intune側でリタイヤしたとします。
リタイヤにより、デバイスの仕事用プロファイル・Azure ADのデバイス情報も削除されます。
この状態でオンボードする場合、仕事用プロファイルも新規作成するのでデバイスIDは引き継がれずオブジェクトは新規作成されます。
macOS
検証機持っていません。ほしいです。
おわりに
本来はMDEにオンボードしたデバイスをイメージ化に利用する際の手順になります。
Discussion