エンドポイント プロキシとインターネット接続の設定を構成する

各 Microsoft Defender for Identity センサーでは、センサー データを報告して正常に動作させるために、Defender for Identity クラウド サービスへのインターネット接続が必要です。

一部の組織では、ドメイン コントローラーがインターネットに直接接続されず、Web プロキシ接続を介して接続されています。また、セキュリティ上の理由から、SSL 検査とプロキシのインターセプトはサポートされていません。 そのような場合、プロキシ サーバーは、Defender for Identity センサーからインターセプトなしで関連する URL にデータを直接渡すことを許可する必要があります。

重要

Microsoft はプロキシ サーバーを提供していません。 この記事では、構成したプロキシ サーバー経由で必要な URL にアクセスできるようにする方法について説明します。

プロキシ サーバーで Defender for Identity サービス URL へのアクセスを有効にする

最大限のセキュリティとデータのプライバシーを確保するために、Defender for Identity では、各 Defender for Identity センサーと Defender for Identity クラウド バックエンドの間で証明書ベースの相互認証が使用されます。 SSL 検査とインターセプトは、認証プロセスに干渉するため、サポートされていません。

Defender for Identity へのアクセスを有効にするには、構文 <your-workspace-name>sensorapi.atp.azure.com を使用して、センサー URL へのトラフィックを許可してください。 たとえば、contoso-corpsensorapi.atp.azure.com のようにします。

  • プロキシまたはファイアウォールで明示的な許可リストが使用されている場合は、次の URL が許可されるようにすることもお勧めします。

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • 場合によっては、Defender for Identity サービスの IP アドレスが変更されることがあります。 そのため、IP アドレスを手動で構成する場合、またはプロキシが DNS 名を自動的に IP アドレスに解決して使用する場合は、構成済みの IP アドレスがまだ最新であることを定期的に確認することをお勧めします。

  • WiniNet やレジストリ キーの更新など、従来のオプションを使用して以前にプロキシを構成したことがある場合は、最初に使用した方法で変更を加える必要があります。 詳細については、「従来の方法を使用してプロキシ構成を変更する」を参照してください。

サービス タグを使用してアクセスを有効にする

特定のエンドポイントへのアクセスを手動で有効にする代わりに、Azure IP 範囲とサービス タグ - パブリック クラウドをダウンロードし、AzureAdvancedThreatProtection Azure サービス タグの IP アドレス範囲を使用して Defender for Identity へのアクセスを有効にします。

詳細については、「仮想ネットワーク サービス タグ」を参照してください。 米国政府のオファリングについては、「米国政府のオファリングの概要」を参照してください。

CLI を使用してプロキシ構成を変更する

前提条件: Microsoft.Tri.Sensor.Deployment.Deployer.exe ファイルを見つけます。 このファイルは、センサーのインストールと同じ場所にあります。 既定では、この場所は C:\Program Files\Azure Advanced Threat Protection Sensor\version number\ です

現在のセンサーのプロキシ構成を変更するには:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

現在のセンサーのプロキシ構成を完全に削除するには:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

PowerShell を使用してプロキシ構成を変更する

前提条件: Defender for Identity PowerShell コマンドを実行する前に、Defender for Identity PowerShell モジュールがダウンロードされていることを確認してください。

PowerShell を使用して、センサーのプロキシ構成を表示および変更できます。 これを行うには、センサー サーバーにサインインし、次の例に示すようにコマンドを実行します。

現在のセンサーのプロキシ構成を表示するには:

Get-MDISensorProxyConfiguration

現在のセンサーのプロキシ構成を変更するには:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

次の使用例は、指定したプロキシ サーバーを認証情報なしで使用するように Defender for Identity センサーのプロキシ構成を設定します。

現在のセンサーのプロキシ構成を完全に削除するには:

Clear-MDISensorProxyConfiguration

詳細については、次の DefenderForIdentity PowerShell リファレンスを参照してください。

従来の方法を使用してプロキシ構成を変更する

以前に WinINet またはレジストリ キーを使用してプロキシ設定を構成していて、それらを更新する必要がある場合は、最初に使用したのと同じ方法を使用する必要があります。

インストール時にコマンド ラインからプロキシを構成すると、Defender for Identity センサー サービスのみがプロキシを介して通信するようになりますが、WinINet またはレジストリを使用すると、ローカル システムまたはローカル サービスとしてコンテキスト内で実行されている他のサービスでも、プロキシ経由でトラフィックを転送できるようになります。

WinINet を使用してプロキシ サーバーを構成する

WinINet を使用してプロキシを構成する場合、埋め込み Defender for Identity センサー サービスは LocalService アカウントを使用してシステム コンテキストで実行され、Defender for Identity Sensor Updater サービスは LocalSystem アカウントを使用してシステム コンテキストで実行されることに注意してください。

  • プロキシ構成に WinHTTP を使用する場合でも、センサーと Defender for Identity クラウド サービス間の通信に Windows インターネット (WinINet) ブラウザー プロキシ設定を構成する必要があります。

  • ネットワーク トポロジで Transparent プロキシまたは WPAD を使用している場合は、プロキシ用に WinINet を構成する必要はありません。

レジストリを使用してプロキシ サーバーを構成する

このセクションでは、レジストリ ベースの静的プロキシを使用して静的プロキシ サーバーを手動で構成する方法について説明します。

重要

レジストリを使用してプロキシを構成すると、LocalService アカウントと LocalSystem アカウントで WinINet を使用するすべてのアプリケーション (Windows サービスを含む) に影響します。

レジストリの変更は、LocalService アカウントと LocalSystem アカウントにのみ適用する必要があります。

プロキシを構成するには、次のように、ユーザー コンテキストでプロキシ構成を LocalSystem アカウントと LocalService アカウントにコピーします。

  1. レジストリ キーをバックアップします。

  2. レジストリで、レジストリ キー DefaultConnectionSettings の下にある REG_BINARY の値 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings を検索してコピーします。

  3. LocalSystem に正しいプロキシ設定がない場合は、レジストリ キー HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings の下にあるプロキシ設定を Current_User から LocalSystem にコピーします。

    必ず Current_User の レジストリ キー DefaultConnectionSettings の値 REG_BINARY から貼り付けてください。

    これは、プロキシ設定が構成されていない場合、またはプロキシ設定が Current_User と異なる場合に発生する可能性があります。

  4. LocalService に正しいプロキシ設定がない場合は、レジストリ キー HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings の下にあるプロキシ設定を Current_User から LocalService にコピーします。

    必ず Current_User の レジストリ キー DefaultConnectionSettings の値 REG_BINARY から貼り付けてください。

詳細については、以下を参照してください:

次のステップ