Microsoft 365 Defender for EndPointのライセンス条件を見直してみた

こんにちは。

本サイトで過去に「Microsoft 365 Defender for EndPoint」の展開方法などを記載してきましたが、その際にあわせてライセンス条件も当時公開されていた情報を案内しておりました。

SCCM(MECM)を使ったMicrosoft Defender ATP(Microsoft Defender for Endpoint)の構成/オンボード

こんにちは。
今日はMicrosoft Defender ATP(今では名前が変わり又の名をMicrosoft Defender for Endpoint )について記載したいと思います。

ですが、やはりクラウドサービスですので随時更新がございます。
中でも上記Defender for EndPointについては、結構ややこしいのでもう一度整理してみました。

現状のライセンス条件を整理

まずは、[2021年4月]に公開されている情報から見てみましょう。
以下が公開されている情報です。この記載のライセンスの中にDefender for EndPointが含まれているので利用が可能となります。
※ 更新部分を赤線でマークしてます

エンドポイント用 Microsoft Defender には、次のいずれかの Microsoft ボリューム ライセンスオファーが必要です。

Windows 10 Enterprise E5
Windows 10 Education A5
Windows 10 Enterprise E5 を含む Microsoft 365 E5 (M365 E5)
Microsoft 365 A5 (M365 A5)
Microsoft 365 E5 Security
Microsoft 365 A5 Security
Microsoft Defender for Endpoint

Defender for EndPoint Plan1とPlan2の機能比較(9/1追記)

9/1 追記

現在、Defender for EndPoint P1(Plan1)がプレビュー中となります。(今年の後半に展開?)

これによって本記事に掲載しているライセンスについても見直しが発生するかもです。
それまでは、こちらに記載の内容で行けるはず。。。


P1とP2の機能比較については、以下URLに記載がありますが、EDR/自動調査などの機能まではいらないけど、EPPをさらに強化した機能と、クラウド上で管理/アラート確認などを行いたいといったご要望に関しては、このDefender for EndPoint P1が適当かと思います。
一方、EDR機能、自動調査/対処などの機能を利用したい場合は、Defender for EndPoint P2(Plan2)を利用する必要がありそうです。

Defender for Endpoint プランの比較

次の表では、各プランに高レベルで含まれるものについて説明します。

私の認識ではありますが、スーパーざっくりまとめてみました。

項目ざっくり概要Defender for EndPoint P1Defender for EndPoint P2
次世代の保護クラウドと連携することでよりリアルタイムに端末を保護。
定義ファイルだけに頼らない。
攻撃面の縮小ネットワーク保護、Webコンテンツフィルターなど脅威からの保護。通常のEPP機能を拡張した感じ。
手動応答アクション管理センターから検出された脅威に対し、アクションを実行できる
集中管理管理センターから脅威に関する情報の確認/調査、アラート表示などが行える
セキュリティレポート上記と似ているが、検出された脅威やアラート/インシデントなどをレポート化する
APIAPIを介したワークフローの自動化
デバイス検出ネットワーク内のデバイスの情報収集を行う。各オンボードされている端末だけでなく、オンボードされていないリスクのある端末を検出することができる 
脅威と脆弱性の管理管理対象のデバイスに対し、露出スコアへの影響、修復アクティビティ、リスク検出、セキュリティパッチ適用の推奨事項提示など、組織の脆弱性を定量的に可視化し、優先順位をつけて対策を示唆する 
自動調査および対応Automated investigation & remediation(AIR)。
脅威に対して、自動修復を行う。
デバイスの分離、プロセス/タスク停止、ファイル削除など
 
高度な追及クラウドに格納されたデータにアクセスし、クエリベースで脅威検知や追跡を行うことができる。アラートが検出されなくても独自で脅威の調査などが可能。 
エンドポイントでの検出と対応世間一般でいうEDR。
ふるまい検知、不審なアクティビティの検出はもちろん、Defender for EndPointでは、未知の脅威に対してもMicrosoftのインテリジェンスを参照し、対応できる
 
Microsoft 脅威エキスパートMSセキュリティエンジニアによる対応支援を受けられる。別途費用が必要の場合あり。 
デバイスベースのアクセス制御Intuneを利用していれば、条件付きアクセスと組み合わせることで、感染リスクのある端末のアクセスを制御することが可能。

感染リスクのある端末のアクセスをブロックする

比較表の最後に記載の通り、Defender for EndPoint P1でもデバイスベースの条件付きアクセス制御が利用できるみたいです。
これまでは、Defender for EndPointが必要でライセンス購入になかなか踏み切れなかった方もE3を所有していれば、実現できるとなると、非常にうれしい機能ではないかと思います。

Microsoft Defender for Endpoint P1を使用すると、お客様は次のコア機能を利用できます。

ランサムウェア、既知および未知のマルウェア、その他の脅威を阻止するのに役立つAIが組み込まれたクラウドベースの
業界をリードするアンチウイルス。
デバイスを強化し、ゼロデイを防ぎ、エンドポイントでのアクセスと動作をきめ細かく制御する
攻撃対象領域削減機能
データ保護と侵害防止の追加レイヤーを提供し、ゼロトラストアプローチを可能にする
デバイスベースの条件付きアクセス

今回、Defender for EndPoint P1については、Microsoft 365 E3/Microsoft 365 A3に含まれる予定みたいなので、E3ライセンスを持っていれば、上記IntuneとAzureAD条件付きアクセスを組み合わせて感染リスクのある端末を自動シャットアウトすることができます。

Microsoft 365のコミュニケーションサービスなどを利用しておらず、今回のEDR機能を利用したいということであれば、Defneder for EndPoint P2またはWindows 10 EnterPrise/Education E5ライセンスを購入するのが手っ取り早いかと思います。

Windows 10 EnterPrise/Educationライセンスですが、これにはE3とE5があります。
E3にはDefender for EndPointは含まれてませんのでご注意ください。
・Windows 10 Enterprise E5
・Windows 10 Education A5

Defender for EndPointにフォーカスした場合、ざっくり以下のような感じです。

次に、Microsoft 365 E5 / A5ですが、これにもE3とE5があります。
E3には含まれませんのでご注意ください。
なお、 Microsoft 365 E5 / A5 には、 Windows 10 Enterprise E5/ Windows 10 Education A5 がそれぞれ含まれている形になるので、利用できることになります。 Microsoft 365 E5 / A5 はフルパッケージのライセンスになるのでフル機能が使えます。

Microsoft 365 A5/E5 Security って?

上記は一般的にMicrosoft社公開情報にも記載されている内容となっているのですが、以下のライセンスはあまりメインとして記載されていなかったのでここで説明します。

今回、 ”Microsoft 365 A5 Security ”が追加されてましたが、そもそも、
以前から記載があった、”Microsoft 365 E5 Security”のように~Securityっていうライセンス形態がよくわかっておりませんでした。

しかし調べてみると、以下公開情報に記載がありました。
※これは、Microsoft 365 EnterPrise版です。

Customers with Microsoft 365 E3 subscriptions are eligible to purchase Microsoft 365 E5 Compliance and/or Microsoft 365 E5 Security as add-ons to their Microsoft 365 E3 subscriptions.

Microsoft 365 Enterprise | Microsoft Licensing Resources

上記から、 ” Microsoft 365 E5 Security ”は、 Microsoft 365 E3 のアドオンライセンス、つまりMicrosoft 365 E3のサブスクリプションを持っていないといけないということになります。
※ちなみに”Microsoft 365 E5 Compliance”もありますが、これはコンプライアンス管理機能を主要としたアドオンライセンスのため、また別製品がセットになった形になってます。Defender for EndPointを利用する場合は、 ” Microsoft 365 E5 Security ” を購入する必要があります。

もちろん、 Education( ”Microsoft 365 A5 Security ” ) も同様となりますので、リンクを以下に貼っておきます。
何が利用できるのかについては、明確にリンクに記載がありますのでご確認ください。

Customers with Microsoft 365 A3 subscriptions are eligible to purchase Microsoft 365 A5 Compliance and/or Microsoft 365 A5 Security as add-ons to their Microsoft 365 A3 subscriptions.

Microsoft 365 Education | Microsoft Licensing Resources

Microsoft Defender for Endpoint ライセンス?

いや、これは正直いつかくるかなともおもっていましたが、記載の通り、おそらく” Microsoft Defender for Endpoint ”の単体のライセンスも購入できるのではないかと。(実際購入したことないので詳細はわかりません。。)
※以前まではなかったので、購入するときは、Windows 10 EnterPriseを購入しましたね。。待っておけばよかった。。

ただ、CSP経由でないと購入できない可能性がありますのでご検討の際は一度、販売代理店様にご相談ください。

サーバー向けはまた別途ライセンスが必要である

これまではクライアント向けのDefender for EndPointのライセンスについてお話しましたが、サーバーはまたサーバー版としてライセンスが必要となります。
※LinuxOSの場合もこのライセンスが必要です。

以下どちらか一つが必要です。

Microsoft Defender for Endpoint for servers には、次のいずれかのライセンス オプションが必要です。

Azure Defender が有効になっている Azure セキュリティ センター
・Microsoft Defender for Endpoint for Server (対象サーバーごとに 1 つ)

Azure Defneder については、Azureのサービスなので従量課金制となります。
リンクに飛んでいただくと記載されていますが、サーバーが稼働している期間は課金されるそうです。

最後に

今回、Defender for EndPointのライセンスについて結構聞かれることがあったので、一年前くらいに投稿した内容からずいぶん更新があることが発覚したので、整理した内容をアウトプットしました。

あくまで公開情報から整理したものになっているので、最終的にはリセラーにご相談いただくことがベストかと思います。

本内容が皆様のご参考資料となれば幸いです。それではまた。