この記事では、ID センサー v3.x のMicrosoft Defenderをインストールするための要件について説明します。
センサーバージョンの制限事項
Defender for Identity センサー v3.x をアクティブ化する前に、センサーをアクティブ化する前に、これらの制限事項に留意してください。 Defender for Identity センサー v3.x:
- Defender for Endpoint が展開されていること、および Microsoft Defender ウイルス対策コンポーネントがアクティブ モードまたはパッシブ モードで実行されている必要があります。
- Defender for Identity センサー V2.x が既にデプロイされているサーバーではアクティブ化できません。
- 現在、VPN 統合はサポートされていません。
- 現在、ExpressRoute はサポートされていません。
ライセンスの要件
Defender for Identity を展開するには、次のいずれかの Microsoft 365 ライセンスが必要です。
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5*安全
- Microsoft 365 F5 セキュリティ + コンプライアンス*
- スタンドアロン Defender for Identity ライセンス
*両方のF5ライセンスは、Microsoft 365 F1/F3またはF3とEnterprise Mobility + Security E3 Office 365必要があります。
Microsoft 365 ポータルから直接ライセンスを取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。
詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。
ロールと権限
- Defender for Identity ワークスペースを作成するには、Microsoft Entra ID テナントが必要です。
-
セキュリティ管理者であるか、次の統合 RBAC アクセス許可を持っている必要があります。
System settings (Read and manage)Security settings (All permissions)
センサーの要件と推奨事項
次の表は、Defender for Identity センサーのサーバー要件と推奨事項をまとめたものです。
| 前提条件/推奨事項 | 説明 |
|---|---|
| オペレーティング システム | ドメイン コントローラーには、次の両方が必要です。 - Windows Server 2019 以降 - 2025 年 10 月の累積的な更新プログラム 以降。 |
| 以前のインストール | ドメイン コントローラーでセンサーをアクティブ化する前に、ドメイン コントローラーに Defender for Identity センサー V2.x が既にデプロイされていないことを確認します。 |
| 仕様 | 少なくとも次のドメイン コントローラー サーバー。 - 2 コア - 6 GB の RAM |
| パフォーマンス | 最適なパフォーマンスを得るには、Defender for Identity センサーを実行しているマシンの 電源オプション を [高パフォーマンス] に設定します。 |
| 接続 | Microsoft Defender for Endpointデプロイが必要です。 ドメイン コントローラーにMicrosoft Defender for Endpointがインストールされている場合、追加の接続要件はありません。 |
| サーバー時刻同期 | センサーがインストールされているサーバーとドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。 |
| ExpressRoute | このバージョンのセンサーでは、ExpressRoute はサポートされていません。 環境で ExpressRoute を使用している場合は、 Defender for Identity センサー v2.x をデプロイすることをお勧めします。 |
| ID と応答のアクション | センサーでは、ポータルで資格情報を指定する必要はありません。 資格情報を入力した場合でも、センサーはサーバー上の ローカル システム ID を 使用して Active Directory のクエリを実行し、応答アクションを実行します。 グループ管理サービス アカウント (gMSA) が応答アクション用に構成されている場合、応答アクションは無効になります。 |
動的メモリ要件
次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件について説明します。
| で実行されている VM | Description |
|---|---|
| Hyper-V | [ 動的メモリの有効化] が VM で有効になっていないことを確認します。 |
| VMware | 構成されているメモリの量と予約済みメモリが同じであることを確認するか、VM 設定で [ すべてのゲスト メモリを予約する (すべてのロック済み)] オプションを選択します。 |
| その他の仮想化ホスト | メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。 |
重要
仮想マシンとして実行する場合は、すべてのメモリを常に仮想マシンに割り当てる必要があります。
高度な ID 検出をサポートするように統合センサーを構成する
統合センサー RPC 監査タグを適用すると、マシンでテスト済みの新しい機能が有効になり、セキュリティの可視性が向上し、追加の ID 検出のロックが解除されます。 適用されると、規則の条件に一致する 既存および将来のデバイス に構成が適用されます。 タグ自体はデバイス インベントリに表示され、管理者は透明性と監査機能を提供します。
構成を適用する手順:
Microsoft Defender ポータルで、[システム >設定] > Microsoft Defender XDR > [資産ルール管理] に移動します。
[ 新しいルールの作成] を選択します。
サイド パネルで、次の操作を行います。
[ルール名] と [説明] を入力します。
目的のマシンをターゲット
Device name、Domain、またはDevice tagを使用してルール条件を設定します。Defender for Identity V3.x センサーが、選択したデバイスに既にデプロイされていることを確認します。
一致は、主に V3.x センサーがインストールされている ターゲット ドメイン コントローラー である必要があります。
タグを追加します
Unified Sensor RPC Auditを選択したデバイスに接続します。
[ 次へ ] を選択してルールの確認と作成を完了し、[送信] を選択 します。
ルールの更新
この構成からのデバイスのオフボードは、資産ルールを削除するか、ルール条件を変更してデバイスが一致しなくなった場合にのみ実行できます。
注:
ポータルに変更が反映されるまでに最大 1 時間かかる場合があります。
資産管理ルールの詳細については 、こちらを参照してください。
Windows 監査を構成する
Defender for Identity 検出は、検出を強化し、NTLM サインインやセキュリティ グループの変更など、特定のアクションを実行しているユーザーに関する追加情報を提供するために、特定の Windows イベント ログ エントリに依存します。
Defender for Identity detections をサポートするように、ドメイン コントローラーで Windows イベント コレクションを構成します。 詳細については、「ID のMicrosoft Defenderを使用したイベント コレクション」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。
Defender for Identity PowerShell モジュールを使用して、必要な設定を構成することもできます。 たとえば、次のコマンドは、ドメインのすべての設定を定義し、グループ ポリシー オブジェクトを作成してリンクします。
Set-MDIConfiguration -Mode Domain -Configuration All
詳細については、以下を参照してください:
前提条件をテストする
Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストして確認することをお勧めします。
Test-MdiReadiness.ps1 スクリプトは、[ID > ツール] ページ (プレビュー) のMicrosoft Defender XDRからも使用できます。