Share via


Microsoft Defender for Identity の前提条件

この記事では、Microsoft Defender for Identity を環境に正しくデプロイするための要件について説明します。

ライセンス要件

Defender for Identity をデプロイするには、次のいずれかの Microsoft 365 ライセンスが必要です。

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Microsoft 365 F5 Security + Compliance*
  • スタンドアロン Defender for Identity ライセンス

* いずれの F5 ライセンスにも、Microsoft 365 F1/F3 または Office 365 F3 と、Enterprise Mobility + Security E3 が必要です。

Microsoft 365 ポータルでライセンスを直接取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳しくは、「ライセンスとプライバシーに関するよくある質問」をご覧ください。

必要なアクセス許可

  • Defender for Identity のワークスペースを作成するには、セキュリティ管理者が 1 人以上存在する Microsoft Entra ID テナントが必要です。

    Microsoft Defender XDR の [設定] 領域の [ID] セクションにアクセスし、ワークスペースを作成するには、少なくともテナントに対するセキュリティ管理者アクセスが必要です。

    詳細については、「Microsoft Defender for Identity ロール グループ」を参照してください。

  • 監視対象ドメイン内のすべてのオブジェクトに対する読み取りアクセス権がある、ディレクトリ サービス アカウントのうちの少なくとも 1 つを使用することをお勧めします。 詳細については、「Microsoft Defender for Identity でディレクトリ サービス アカウントを構成する」を参照してください。

接続の要件

Defender for Identity センサーは、次のいずれかの方法を使用して、Defender for Identity クラウド サービスと通信できる必要があります。

Method 説明 考慮事項 詳細情報
プロキシの設定 前方プロキシがデプロイされているお客様は、プロキシを利用して、MDI クラウド サービスへの接続を提供できます。

このオプションを選択した場合は、デプロイ プロセスの後半でプロキシを構成します。 プロキシ構成には、センサー URL へのトラフィックの許可と、プロキシまたはファイアウォールで使用される明示的な許可リストへの Defender for Identity の URL の構成が含まれます。
1 つの URL に対してインターネットへのアクセスを許可します

SSL 検査はサポートされていません
エンドポイント プロキシとインターネット接続の設定を構成する

プロキシ構成を使用してサイレント インストールを実行する
ExpressRoute ExpressRoute は、カスタム式ルート経由で MDI センサー トラフィックを転送するように構成できます。

Defender for Identity クラウド サーバーに向けてネットワーク トラフィックをルーティングするには、ExpressRoute Microsoft ピアリングを使用し、ルート フィルターに Microsoft Defender for Identity (12076:5220) サービス BGP コミュニティを追加します。
ExpressRoute が必要 BGP コミュニティ値へのサービス
Defender for Identity Azure IP アドレスを使用するファイアウォール プロキシまたは ExpressRoute をお持ちでないお客様は、MDI クラウド サービスに割り当てられた IP アドレスを使用してファイアウォールを構成できます。 そのためには、MDI クラウド サービスによって使用される IP アドレスに変更がないかどうか、お客様は Azure IP アドレス一覧を監視する必要があります。

このオプションを選択した場合は、 Azure IP 範囲とサービス タグ – パブリック クラウド ファイルをダウンロードし、AzureAdvancedThreatProtection サービスを使用して関連する IP アドレスを追加することをお勧めします。
お客様は Azure IP の割り当てを監視する必要があります 仮想ネットワーク サービス タグ

詳細については、「Microsoft Defender for Identity のアーキテクチャ」を参照してください。

センサーの要件と推奨事項

次の表は、Defender for Identity センサーをインストールするドメイン コントローラー、AD FS、または AD CS サーバーの要件と推奨事項をまとめたものです。

前提条件/推奨事項 説明
詳細 Defender for Identity は、最低でも以下の要件を満たす Windows バージョン 2016 以降のドメイン コントローラー サーバーにインストールしてください。

- 2 コア
- 6 GB の RAM
- 6 GB のディスク領域が必須。Defender for Identity バイナリとログに必要な領域を含めると 10 GB が推奨されます。

Defender for Identity では、読み取り専用ドメイン コントローラー (RODC) がサポートされます。
パフォーマンス 最適なパフォーマンスを得るため、Defender for Identity センサーが実行されているコンピューターの電源オプション高パフォーマンスに設定します。
メンテナンス期間 インストールが実行され、再起動が既に保留中の場合、または .NET Framework をインストールする必要がある場合は、再起動が必要になる可能性があるため、ドメイン コントローラーのメンテナンス期間をスケジュールすることをお勧めします。

.NET Framework バージョン 4.7 以降がまだシステムに見つからない場合は、.NET Framework バージョン 4.7 がインストールされており、再起動が必要になる場合があります。

オペレーティング システムの最小要件

Defender for Identity センサーは、次のオペレーティング システムにインストールできます。

  • Windows Server 2016
  • Windows Server 2019KB4487044 以降または最新の累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリ内の ntdsai.dll ファイルのバージョンが 10.0.17763.316 より古い場合、自動的に停止されます。
  • Windows Server 2022

すべてのオペレーティング システム:

  • デスクトップ エクスペリエンス搭載サーバーとサーバー コアの両方がサポートされます。
  • Nano Server はサポートされていません。
  • インストールは、ドメイン コントローラー、AD FS、AD CS サーバーでサポートされます。

レガシ オペレーティング システム

Windows Server 2012 と Windows Server 2012 R2 の延長サポートは、2023 年 10 月 10 日に終了しました。

Windows Server 2012 および Windows Server 2012 R2 を実行するデバイスでは、Defender for Identity センサーのサポートが Microsoft から提供されないため、これらのサーバーのアップグレードを計画することをお勧めします。

これらのオペレーティング システムで実行されているセンサーは引き続き Defender for Identity への報告を行い、センサーの更新プログラムも受け取りますが、新しい機能の一部はオペレーティング システムの性能に依存するため使用できません。

必要なポート

プロトコル トランスポート ポート 送信元 目的
インターネット ポート
SSL (*.atp.azure.com)

または、 プロキシ経由でアクセスを構成します
TCP 443 Defender for Identity センサー Defender for Identity クラウド サービス
内部ポート
DNS TCP と UDP 53 Defender for Identity センサー DNS サーバー
Netlogon
(SMB、CIFS、SAM-R)
TCP/UDP 445 Defender for Identity センサー ネットワーク上のすべてのデバイス
RADIUS UDP 1813 RADIUS Defender for Identity センサー
Localhost ポート: センサー サービス アップデーターに必要

既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。
SSL TCP 444 センサー サービス センサー アップデーター サービス
ネットワーク名前解決 (NNR) ポート

IP アドレスをコンピューター名に解決するには、一覧表示されているすべてのポートを開くことにお勧めします。 ただし、必要なポートは 1 つだけです。
RPC 経由の NTLM TCP ポート 135 Defender for Identity センサー ネットワーク上のすべてのデバイス
NetBIOS UDP 137 Defender for Identity センサー ネットワーク上のすべてのデバイス
RDP

Client hello の最初のパケットのみ、IP アドレスの逆引き DNS 参照を使用して DNS サーバーのクエリを実行する (UDP 53)
TCP 3389 Defender for Identity センサー ネットワーク上のすべてのデバイス

複数のフォレストで作業している場合は、Defender for Identity センサーがインストールされているマシンで次のポートが開いていることを確認します。

Protocol 輸送 ポート ソース言語/ターゲット言語 方向
インターネット ポート
SSL (*.atp.azure.com) TCP 443 Defender for Identity クラウド サービス Outbound
内部ポート
LDAP TCP と UDP 389 ドメイン コントローラー Outbound
Secure LDAP (LDAPS) TCP 636 ドメイン コントローラー Outbound
LDAP からグローバル カタログ TCP 3268 ドメイン コントローラー Outbound
LDAPS からグローバル カタログ TCP 3269 ドメイン コントローラー Outbound

動的メモリの要件

次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件を説明しています。

VM 実行中 説明
Hyper-V 動的メモリの有効化が VM で有効になっていないことを確認します。
VMware 構成されているメモリ量と予約しているメモリ量が同じであることを確認するか、VM 設定の [すべてのゲスト メモリを予約する (すべてロック)] を選択します。
他の仮想化ホスト 常にメモリが VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。

重要

仮想マシンとして実行する場合、すべてのメモリを常に仮想マシンに割り当てる必要があります。

時刻同期

センサーがインストールされているサーバーおよびドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。

前提条件のテスト

環境に必要な前提条件が揃っているかどうかをテストして確認するには、Test-MdiReadiness.ps1 スクリプトを実行することをお勧めします。

Test-MdiReadiness.ps1 スクリプトへのリンクは、Microsoft Defender XDR の [ID] > [ツール] ページ (プレビュー) からも入手できます。

この記事では、基本的なインストールに必要な前提条件を示します。 AD FS/AD CS サーバーにインストールする場合、複数の Active Directory フォレストをサポートする場合、またはスタンドアロン Defender for Identity センサーをインストールする場合は、追加の前提条件が必要です。

詳細については、以下を参照してください:

次のステップ