Defender for Identity では、センサーを使用してオンプレミスの ID インフラストラクチャから信号を収集し、脅威を検出します。 この記事では、Microsoft Defender for Identity展開プロセスについて説明します。
Defender for Identity は、特権エスカレーションやリスクの高い横移動などの脅威を検出し、セキュリティ チームによる修正のための制約のない Kerberos 委任などの簡単に悪用された ID の問題に関するレポートを提供します。
Defender for Identity センサーは、読み取り専用ドメイン コントローラー (RODC) を含むすべてのドメイン コントローラーにインストールすることをお勧めします。 環境内に AD FS、AD CS、または Microsoft Entra Connect ファームまたはクラスターがある場合は、各サーバーにセンサーをインストールします。
デプロイ方法を選択する
環境を準備する手順を完了し、Defender for Identity のロールとアクセス許可を割り当てたら、オンボードの計画を作成します。
アーキテクチャと要件を特定し、次の表を使用して、環境内のサーバーに適したデプロイを選択します。
| サーバー構成 | サーバー オペレーティング システム | 推奨されるデプロイ |
|---|---|---|
| ドメイン コントローラ | 2019 以降Windows Server 2024 年 3 月の累積的な更新プログラム以降。 * 「注」を参照してください。 |
Defender for Identity センサー v3.x (プレビュー) * 「注」を参照してください。 |
| ドメイン コントローラ | Windows Server 2016以前 | Defender for Identity センサー v2.x |
| Active Directory フェデレーション サービス (AD FS) | 該当なし | Defender for Identity センサー v2.x |
| Active Directory 証明書サービス (AD CS) | 該当なし | Defender for Identity センサー v2.x |
| Entra Connect | 該当なし | Defender for Identity センサー v2.x |
注:
Defender for Identity センサー バージョン 3.x はまだプレビュー段階であり、バージョン 2.x と比較していくつかの機能が制限されています。 センサーをアクティブにする前に、これらの制限事項に注意してください。 Defender for Identity センサー v3.x:
- Defender for Endpoint がデプロイされている必要があります
- 現在、VPN 統合はサポートされていません
- 現在 ExpressRoute はサポートされていません
- 現在、正常性アラート、ポスチャの推奨事項、セキュリティ アラート、高度なハンティング データの完全な機能は提供されていません。
インフラストラクチャと要件を評価したら、必要なバージョンに基づいてセンサーをデプロイする手順に従います。