AD FS と AD CS のセンサーを構成する

Active Directory フェデレーション サービス (AD FS) と Active Directory 証明書サービス (AD CS) のサーバーに Defender for Identity センサーをインストールして、オンプレミスの攻撃から保護します。

この記事では、AD FS サーバーまたは AD CS サーバーに Defender for Identity センサーをインストールするときに必要な手順について説明します。

Note

AD FS 環境では、Defender for Identity センサーはフェデレーション サーバーでのみサポートされ、Web アプリケーション プロキシ (WAP) サーバーには必要ありません。 AD CS 環境では、オフラインの AD CS サーバーにセンサーをインストールする必要はありません。

前提条件

AD FS サーバーまたは AD CS サーバーに Defender for Identity センサーをインストールするための前提条件は、ドメイン コントローラーにセンサーをインストールする場合と同じです。 詳細については、「Microsoft Defender for Identity の前提条件」を参照してください。

さらに、AD CS の Defender for Identity センサーでは、証明書機関の役割サービスを備えた AD CS サーバーのみがサポートされます。

AD FS イベントの詳細ログを構成する

AD FS サーバーで実行されているセンサーでは、関連するイベントの監査レベルが [詳細] に設定されている必要があります。 たとえば、次のコマンドを使用して、監査レベルを 詳細 に設定します。

Set-AdfsProperties -AuditLevel Verbose

詳細については、以下を参照してください:

• 必要な Active Directory フェデレーション サービス (AD FS) イベント
• Active Directory フェデレーション サービス (AD FS) の監査を構成する
• イベントとログを使用した Active Directory フェデレーション サービス (AD FS) のトラブルシューティング

AD FS データベースの読み取りアクセス許可を構成する

AD FS サーバーで実行されているセンサーが AD FS データベースにアクセスできるようにするには、関連する設定済みのディレクトリ サービス アカウントに読み取り (db_datareader) 権限を付与する必要があります。

データベースのアクセス許可はサーバー間でレプリケートされないため、複数の AD FS サーバーがある場合は、すべてのサーバーにこのアクセス許可を付与するようにします。

AdfsConfiguration データベースに対する次のアクセス許可を持つディレクトリ サービス アカウントを許可するように SQL サーバーを構成します。

• 接続
• ログイン
• 読み取り
• 選択

Note

AD FS データベースがローカル AD FS サーバーではなく専用 SQL サーバーで実行され、グループ管理サービス アカウント (gMSA) をディレクトリ サービス アカウント (DSA) として使用している場合は、gMSA のパスワードを取得するために必要なアクセス許可を SQL サーバーに付与してください。

AD FS データベースへのアクセス権限を付与する

SQL Server Management Studio、TSQL または PowerShell を使用して データベースにアクセス権限を付与できます。

たとえば、以下に挙げた コマンドは、Windows Internal Database (WID) または外部 SQL サーバーを使用している場合に使用できます。

コードの例:

• [DOMAIN1\mdiSvc01] はワークスペースのディレクトリ サービス ユーザーです。 gMSA を使用している場合は、ユーザー名の最後に $ を付け加えます。 例: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 - AD FS データベース名の例。異なる場合があります
• server=.\pipe\MICROSOFT##WID\tsql\query - WID を使用している場合のデータベースへの接続文字列

ヒント

接続文字列がわからない場合は、Windows サーバーのドキュメントの手順に従ってください。

TSQL を使用して AD FS データベースにセンサーへのアクセス権限を付与するには:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

PowerShell を使用して AD FS データベースにセンサーへのアクセス権限を付与するには:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

AD FS/AD CS サーバーのイベント 収集を構成する

AD FS サーバーまたは AD CS サーバーを使用している場合は、必要に応じて監査を構成していることを確認します。 詳細については、以下を参照してください:

• AD FS:

  • 必要な Active Directory フェデレーション サービス (AD FS) イベント
  • Active Directory フェデレーション サービス (AD FS) の監査を構成する

• AD CS:

  • 必要な Active Directory 証明書サービス (AD CS) イベント
  • Active Directory 証明書サービス (AD CS) の監査を構成する

AD FS/AD CS サーバーでデプロイが成功したことを検証する

Defender for Identity センサーが AD FS サーバーに正常にデプロイされたことを検証するには、次の手順に従います。

1. Azure Advanced Threat Protection センサーサービスが実行されていることを確認します。 Defender for Identity センサーの設定を保存した後、サービスが開始されるまでに数秒かかる場合があります。

2. サービスが開始されない場合は、既定で %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs にある Microsoft.Tri.sensor-Errors.log のファイルを確認します。

3. AD FS または AD CS を使用して任意のアプリケーションに対してユーザーを認証してから、Defender for Identity によってこの認証が観測されたことを確認します。

   たとえば、[検出] > [高度な検出] の順に選択します。 クエリ ウィンドウで、次のクエリの 1 つを入力して実行します。

   AD FS の場合:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   結果ウィンドウには、ADFS 認証を使用したログオン の LogonType のイベント一覧が表示されます。

   AD CS の場合:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   結果ウィンドウには、証明書の発行が失敗したイベントと成功したイベントの一覧が表示されます。 特定の行を選択し、左ウィンドウの [レコードの検査] で追加の詳細を表示できます。 次に例を示します。

   

AD FS / AD CS サーバーのインストール後の手順 (オプション)

AD FS/AD CS サーバーにセンサーをインストールすると、最も近いドメイン コントローラーが自動的に選択されます。 選択したドメイン コントローラーをチェックまたは変更するには、次の手順に従います。

1. Microsoft Defender XDR で [設定] > [ID] > [センサー] の順に移動して、すべての Defender for Identity センサーを表示します。

2. AD FS サーバーまたは AD CS サーバーにインストールしたセンサーを見つけて選択します。

3. 開いたウィンドウの [ドメイン コントローラー (FQDN)] 項目にリゾルバー ドメイン コントローラーの FQDN を入力します。 [+ 追加] を選択して FQDN を追加し、[保存] を選択します。 次に例を示します。

   

センサーの初期化には数分かかる場合があります。このときに AD FS センサーまたは AD CS センサーのサービスの状態が停止から実行中に変わります。

関連するコンテンツ

詳細については、以下を参照してください。

• Microsoft Defender for Identity の前提条件
• Microsoft Defender for Identity センサーをインストールする