この記事では、Microsoft Defender for Identity センサー v2.x をインストールするための要件について説明します。
ライセンスの要件
Defender for Identity を展開するには、次のいずれかの Microsoft 365 ライセンスが必要です。
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5*安全
- Microsoft 365 F5 セキュリティ + コンプライアンス*
- スタンドアロン Defender for Identity ライセンス
*両方のF5ライセンスは、Microsoft 365 F1/F3またはF3とEnterprise Mobility + Security E3 Office 365必要があります。
Microsoft 365 ポータルから直接ライセンスを取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。
詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。
ロールと権限
- Defender for Identity ワークスペースを作成するには、Microsoft Entra ID テナントが必要です。
- セキュリティ管理者ロールを持つユーザーが必要です。 詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。
- 監視対象ドメイン内のすべてのオブジェクトへの読み取りアクセス権を持つ少なくとも 1 つの Directory Service アカウントを使用することをお勧めします。 詳細については、「Microsoft Defender for Identityのディレクトリ サービス アカウントを構成する」を参照してください。
接続要件
Defender for Identity センサーは、次のいずれかの方法を使用して Defender for Identity クラウド サービスと通信できる必要があります。
| メソッド | 説明 | 考慮事項 | 詳細情報 |
|---|---|---|---|
| プロキシ | フォワード プロキシがデプロイされているお客様は、プロキシを利用して MDI クラウド サービスへの接続を提供できます。 このオプションを選択した場合は、デプロイ プロセスの後半でプロキシを構成する必要があります。 プロキシ構成には、センサー URL へのトラフィックの許可、プロキシまたはファイアウォールで使用される明示的な許可リストへの Defender for Identity URL の構成が含まれます。 |
1 つの URL に対してインターネットへのアクセスを許可する SSL 検査はサポートされていません |
エンドポイント プロキシとインターネット接続の設定を構成する プロキシ構成でサイレント インストールを実行する |
| ExpressRoute | ExpressRoute は、顧客の高速ルート経由で MDI センサー トラフィックを転送するように構成できます。 Defender for Identity クラウド サーバー宛てのネットワーク トラフィックをルーティングするには、ExpressRoute Microsoft ピアリングを使用し、Microsoft Defender for Identity (12076:5220) サービス BGP コミュニティをルート フィルターに追加します。 |
ExpressRoute が必要 | BGP コミュニティ価値へのサービス |
| Defender for Identity Azure IP アドレスを使用したファイアウォール | プロキシまたは ExpressRoute をお持ちでないお客様は、MDI クラウド サービスに割り当てられた IP アドレスを使用してファイアウォールを構成できます。 これには、MDI クラウド サービスで使用される IP アドレスの変更について、お客様が Azure IP アドレス一覧を監視する必要があります。 このオプションを選択した場合は、 Azure IP 範囲とサービス タグ – パブリック クラウド ファイルをダウンロードし、 AzureAdvancedThreatProtection サービス タグを使用して関連する IP アドレスを追加することをお勧めします。 |
お客様は Azure IP 割り当てを監視する必要があります | 仮想ネットワーク サービス タグ |
詳細については、「Microsoft Defender for Identity アーキテクチャ」を参照してください。
センサーの要件と推奨事項
次の表は、Defender for Identity センサーのサーバー要件と推奨事項をまとめたものです。
| 前提条件/推奨事項 | 説明 |
|---|---|
| 仕様 | Windows バージョン 2016 以降の Defender for Identity を、少なくとも次のドメイン コントローラー サーバーにインストールしてください。 - 2 コア - 6 GB の RAM - 6 GB のディスク領域が必要、10 GB を推奨します(Defender for Identity バイナリとログの領域を含む) Defender for Identity では、読み取り専用ドメイン コントローラー (RODC) がサポートされています。 |
| パフォーマンス | 最適なパフォーマンスを得るには、Defender for Identity センサーを実行しているマシンの 電源オプション を [高パフォーマンス] に設定します。 |
| ネットワーク インターフェイスの構成 | VMware 仮想マシンを使用している場合は、仮想マシンの NIC 構成で Large Send Offload (LSO) が無効になっていることを確認します。 詳細については、「 VMware 仮想マシン センサーの問題 」を参照してください。 |
| メンテナンス期間 | インストールが実行され、再起動が既に保留中の場合や、.NET Frameworkをインストールする必要がある場合は、再起動が必要になる可能性があるため、ドメイン コントローラーのメンテナンス期間をスケジュールすることをお勧めします。 バージョン 4.7 以降.NET Frameworkシステムにまだ見つからない場合は、バージョン 4.7 .NET Frameworkインストールされており、再起動が必要になる場合があります。 |
| AD FS フェデレーション サーバー | AD FS 環境では、Defender for Identity センサーはフェデレーション サーバーでのみサポートされます。 Web アプリケーション プロキシ (WAP) サーバーでは必要ありません。 |
| Microsoft Entra サーバーの接続 | Microsoft Entra Connect サーバーの場合は、アクティブ サーバーとステージング サーバーの両方にセンサーをインストールする必要があります。 |
| AD CS サーバー | AD CS の Defender for Identity センサーでは、証明機関ロール サービスを持つ AD CS サーバーのみがサポートされます。 オフラインになっている AD CS サーバーにセンサーをインストールする必要はありません。 |
| コンピューターの時計の同期 | センサーがインストールされているサーバーとドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。 |
オペレーティング システムの最小要件
Defender for Identity センサーは、次のオペレーティング システムにインストールできます。
- Windows Server 2016
-
Windows Server 2019.
KB4487044または新しい累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリに見つかった
ntdsai.dllファイルのバージョンが古い場合、自動的に停止しますthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
すべてのオペレーティング システムの場合:
- デスクトップ エクスペリエンスを持つサーバーとサーバー コアの両方がサポートされています。
- Nano サーバーはサポートされていません。
- インストールは、ドメイン コントローラー、AD FS、AD CS、Entra Connect サーバーでサポートされています。
従来のオペレーティング システム
Windows Server 2012およびWindows Server 2012 R2 は、2023 年 10 月 10 日に延長サポート終了に達しました。 これらのオペレーティング システムで実行されているセンサーは引き続き Defender for Identity に報告され、センサーの更新プログラムを受け取りますが、オペレーティング システムの機能に依存する一部の機能が利用できない場合があります。 これらのオペレーティング システムを使用してサーバーをアップグレードすることをお勧めします。
必要なポート
| プロトコル | Transport | ポート | 送信元 | 宛先 | メモ |
|---|---|---|---|---|---|
| インターネット ポート | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity センサー | Defender for Identity クラウド サービス | または、 プロキシ経由でアクセスを構成します。 |
| 内部ポート | |||||
| DNS | TCP と UDP | 53 | Defender for Identity センサー | DNS サーバー | |
| Netlogon (SMB、CIFS、SAM-R) |
TCP/UDP | 445 | Defender for Identity センサー | ネットワーク上のすべてのデバイス | |
| 半径 | UDP | 1813 | 半径 | Defender for Identity センサー | |
| Localhost ポート | センサー サービス アップデーターに必要です。 既定では、 localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り許可されます。 | ||||
| SSL | TCP | 444 | センサー サービス | センサー アップデーター サービス | |
| ネットワーク名解決 (NNR) ポート | IP アドレスをコンピューター名に解決するには、一覧表示されているすべてのポートを開くお勧めします。 ただし、必要なポートは 1 つだけです。 | ||||
| RPC 経由の NTLM | TCP | ポート 135 | Defender for Identity センサー | ネットワーク上のすべてのデバイス | |
| NetBIOS | UDP | 137 | Defender for Identity センサー | ネットワーク上のすべてのデバイス | |
| RDP | TCP | 3389 | Defender for Identity センサー | ネットワーク上のすべてのデバイス | クライアント hello の最初のパケットのみが、IP アドレスの逆引き DNS ルックアップ (UDP 53) を使用して DNS サーバーにクエリを実行します |
複数のフォレストを使用している場合は、Defender for Identity センサーがインストールされている任意のコンピューターで次のポートが開いていることを確認します。
| プロトコル | Transport | ポート | To/From | 方向 |
|---|---|---|---|---|
| インターネット ポート | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity クラウド サービス | 送信 |
| 内部ポート | ||||
| LDAP | TCP と UDP | 389 | ドメイン コントローラー | 送信 |
| Secure LDAP (LDAPS) | TCP | 636 | ドメイン コントローラー | 送信 |
| LDAP からグローバル カタログ | TCP | 3268 | ドメイン コントローラー | 送信 |
| LDAPS からグローバル カタログへ | TCP | 3269 | ドメイン コントローラー | 送信 |
ヒント
既定では、Defender for Identity センサーは、ポート 389 と 3268 で LDAP を使用してディレクトリに対してクエリを実行します。 ポート 636 と 3269 で LDAPS に切り替えるには、サポート ケースを開きます。 詳細については、「Microsoft Defender for Identity サポート」を参照してください。
動的メモリ要件
次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件について説明します。
| で実行されている VM | 説明 |
|---|---|
| Hyper-V | [ 動的メモリの有効化] が VM で有効になっていないことを確認します。 |
| VMware | 構成されているメモリの量と予約済みメモリが同じであることを確認するか、VM 設定で [ すべてのゲスト メモリを予約する (すべてのロック済み)] オプションを選択します。 |
| その他の仮想化ホスト | メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。 |
重要
仮想マシンとして実行する場合は、すべてのメモリを常に仮想マシンに割り当てる必要があります。
Windows 監査を構成する
Defender for Identity 検出は、検出を強化し、NTLM サインインやセキュリティ グループの変更など、特定のアクションを実行しているユーザーに関する追加情報を提供するために、特定の Windows イベント ログ エントリに依存します。
Defender for Identity detections をサポートするように、ドメイン コントローラーで Windows イベント コレクションを構成します。 詳細については、「Microsoft Defender for Identityを使用したイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。
Defender for Identity PowerShell モジュールを使用して、必要な設定を構成することもできます。 たとえば、次のコマンドは、ドメインのすべての設定を定義し、グループ ポリシー オブジェクトを作成してリンクします。
Set-MDIConfiguration -Mode Domain -Configuration All
詳細については、以下を参照してください:
前提条件をテストする
Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストして確認することをお勧めします。
Test-MdiReadiness.ps1 スクリプトは、[ID > ツール] ページ (プレビュー) のMicrosoft Defender XDRからも使用できます。