この記事では、Microsoft Defender for Identity センサー v3.x をインストールするための要件について説明します。
センサーバージョンの制限事項
Defender for Identity センサー v3.x をアクティブ化する前に、センサーをアクティブ化する前に、これらの考慮事項に留意してください。 Defender for Identity センサー v3.x:
- Defender for Endpoint が展開されていること、および Microsoft Defender ウイルス対策コンポーネントがアクティブ モードまたはパッシブ モードで実行されている必要があります。
- Defender for Identity センサー V2.x が既にデプロイされているサーバーではアクティブ化できません。
- 現在、VPN 統合はサポートされていません。
- 現在、ExpressRoute はサポートされていません。
ライセンスの要件
Defender for Identity を展開するには、次のいずれかの Microsoft 365 ライセンスが必要です。
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* Security Microsoft 365 F5 Security + Compliance*
- 両方の F5 ライセンスには、Microsoft 365 F1/F3 または F3 とEnterprise Mobility + Security E3 Office 365が必要です。
ライセンスは、Microsoft 365 ポータルまたはクラウド ソリューション パートナー (CSP) ライセンスで購入できます。
詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。
ロールと権限
- Defender for Identity ワークスペースを作成するには、Microsoft Entra ID テナントが必要です。
-
セキュリティ管理者であるか、次の統合 RBAC アクセス許可を持っている必要があります。
System settings (Read and manage)Security settings (All permissions)
センサーの要件と推奨事項
次の表は、Defender for Identity センサーのサーバー要件と推奨事項をまとめたものです。
| 前提条件/推奨事項 | 説明 |
|---|---|
| オペレーティング システム | ドメイン コントローラーには、次の両方が必要です。 - Windows Server 2019 以降 - 2025 年 10 月の累積的な更新プログラム 以降。 |
| 以前のインストール | ドメイン コントローラーでセンサーをアクティブ化する前に、ドメイン コントローラーに Defender for Identity センサー V2.x が既にデプロイされていないことを確認します。 |
| 仕様 | 少なくとも次のドメイン コントローラー サーバー。 - 2 コア - 6 GB の RAM |
| パフォーマンス | 最適なパフォーマンスを得るには、Defender for Identity センサーを実行しているマシンの 電源オプション を [高パフォーマンス] に設定します。 |
| 接続 | Microsoft Defender for Endpointデプロイが必要です。 ドメイン コントローラーにMicrosoft Defender for Endpointがインストールされている場合、追加の接続要件はありません。 |
| サーバー時刻同期 | センサーがインストールされているサーバーとドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。 |
| ExpressRoute | このバージョンのセンサーでは、ExpressRoute はサポートされていません。 環境で ExpressRoute を使用している場合は、 Defender for Identity センサー v2.x をデプロイすることをお勧めします。 |
| ID と応答のアクション | センサーでは、ポータルで資格情報を指定する必要はありません。 資格情報を入力した場合でも、センサーはサーバー上の ローカル システム ID を 使用して Active Directory のクエリを実行し、応答アクションを実行します。 グループ管理サービス アカウント (gMSA) が応答アクション用に構成されている場合、応答アクションは無効になります。 |
動的メモリ要件
次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件について説明します。
| で実行されている VM | 説明 |
|---|---|
| Hyper-V | [ 動的メモリの有効化] が VM で有効になっていないことを確認します。 |
| Vmware | 構成されているメモリの量と予約済みメモリが同じであることを確認するか、VM 設定で [ すべてのゲスト メモリを予約する (すべてのロック済み)] オプションを選択します。 |
| その他の仮想化ホスト | メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。 |
重要
仮想マシンとして実行する場合は、すべてのメモリを常に仮想マシンに割り当てる必要があります。
高度な ID 検出をサポートするようにセンサー v3.x の RPC 監査を構成する
統合センサー RPC 監査タグを適用すると、マシンでテスト済みの新しい機能が有効になり、セキュリティの可視性が向上し、追加の ID 検出のロックが解除されます。 適用されると、規則の条件に一致する 既存および将来のデバイス に構成が適用されます。 タグ自体はデバイス インベントリに表示され、管理者は透明性と監査機能を提供します。
構成を適用する手順:
Microsoft Defender ポータルで、[システム >設定] > Microsoft Defender XDR > [資産ルール管理] に移動します。
[ 新しいルールの作成] を選択します。
サイド パネルで、次の操作を行います。
[ルール名] と [説明] を入力します。
目的のマシンをターゲット
Device name、Domain、またはDevice tagを使用してルール条件を設定します。Defender for Identity センサー v3.x が、選択したデバイスに既にデプロイされていることを確認します。
照合は、主にセンサー v3.x がインストールされた ターゲット ドメイン コントローラー である必要があります。
タグを追加します
Unified Sensor RPC Auditを選択したデバイスに接続します。
[ 次へ ] を選択してルールの確認と作成を完了し、[送信] を選択 します。
ルールの更新
この構成からのデバイスのオフボードは、資産ルールを削除するか、ルール条件を変更してデバイスが一致しなくなった場合にのみ実行できます。
注:
ポータルに変更が反映されるまでに最大 1 時間かかる場合があります。
資産管理ルールの詳細については 、こちらを参照してください。
Windows イベント監査を構成する
Defender for Identity 検出は、検出を強化し、NTLM サインインやセキュリティ グループの変更など、特定のアクションを実行するユーザーに関する追加情報を提供するために、特定の Windows イベント ログ エントリに依存します。
Defender ポータルまたは PowerShell を使用して Windows イベント監査を構成する方法の詳細については、「 Windows イベント監査の構成」を参照してください。
前提条件をテストする
Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストして確認することをお勧めします。
Test-MdiReadiness.ps1 スクリプトは、[ID > ツール] ページ (プレビュー) のMicrosoft Defender XDRからも使用できます。