Microsoft Defender for Identity センサーをインストールする
この記事では、Microsoft Defender for Identity のスタンドアロン センサーを含むセンサーをインストールする方法について説明します。 既定の推奨される方法は、UI を使用することです。 ただし、
Windows Server Core にセンサーをインストールする場合、またはソフトウェア展開システムを使用してセンサーを展開する場合は、サイレント インストールの 手順に従います。
プロキシを使用している場合は、センサーをインストールし、プロキシを一緒にコマンド ラインから構成することをお勧めします。 後でプロキシ設定を更新する必要がある場合は、PowerShell または CLI を使用します。 詳しくは、「エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。
前提条件
開始する前に、以下を用意してください。
Defender for Identity センサー セットアップ パッケージのダウンロードしたコピーとアクセス キー。
マシンに Microsoft .NET Framework 4.7 以降がインストールされていること。 Microsoft .NET Framework 4.7 以降がインストールされていない場合、Defender for Identity センサー セットアップ パッケージによってインストールされます。その場合、サーバーの再起動が必要になることがあります。
関連するサーバーの仕様とネットワーク要件。 詳細については、以下を参照してください。
マシン上の信頼されたルート証明書。 信頼されたルート CA 署名証明書がない場合は、接続エラーが発生する可能性があります。
UI を使用してセンサーをインストールする
ドメイン コントローラーまたは AD FS/AD CS サーバーで次の手順を実行します。
関連する Defender for Identity クラウド サービス エンドポイントにマシンが接続されていることを確認します。
zip ファイルからインストール ファイルを抽出します。 zip ファイルから直接インストールはできません。
管理者権限 (管理者として実行) を使用して Azure ATP sensor setup.exe を実行し、セットアップ ウィザードに従います。
[ようこそ] ウィンドウで言語を選び、[次へ] を選択します。 次に例を示します。
インストール ウィザードは、サーバーがドメイン コントローラー、AD FS サーバー、AC CS サーバー、専用サーバーのいずれであるかを自動的に確認します。
- ドメイン コントローラー、AD FS サーバー、AD CS サーバーのいずれかである場合、Defender for Identity センサーがインストールされます。
- 専用サーバーである場合は、Defender for Identity スタンドアロン センサーがインストールされます。
たとえば、Defender for Identity センサーの場合は、次の画面が表示され、Defender for Identity センサーが専用サーバーにインストールされることを確認できます。
[次へ] を選択します。
ドメイン コントローラー、AD FS サーバー、AD CS サーバー、または専用サーバーがインストールでのハードウェアの最小要件を満たしていない場合は、警告が表示されます。
この警告が出ても、[次へ] を選択してインストールを続行することはできます。 たとえば、小規模なラボ テスト環境をインストールするため、必要なデータ ストレージの容量が少ない場合などです。
運用環境の場合は、Defender for Identity のキャパシティ プランニングのガイドを使用して、ドメイン コントローラーまたは専用サーバーが要件を満たすようにすることを強くお勧めします。
[Configure the sensor] (センサーの構成) 画面で、インストール パスとセットアップ パッケージのアクセス キーを入力します。 次に例を示します。
次の詳細を入力します。
- インストール パス: Defender for Identity センサーがインストールされている場所。 既定では、このパスは
%programfiles%\Azure Advanced Threat Protection sensor
です。 既定値のままにします。 - アクセス キー: 前の手順で Microsoft Defender ポータルから取得したものです。
- インストール パス: Defender for Identity センサーがインストールされている場所。 既定では、このパスは
[インストール] を選択します。 Defender for Identity センサーのインストール時には、次のコンポーネントがインストールおよび構成されます。
Defender for Identity センサー サービスと Defender for Identity センサー アップデーター サービス
Npcap OEM バージョン 1.0
重要
- 他のバージョンの Npcap が存在しない場合、Npcap OEM 版 1.0 が自動的にインストールされます。 他のソフトウェア要件やその他の理由により Npcap が既にインストールされている場合、インストールされたバージョンが 1.0 以降であることと、Defender for Identity に必要な設定であることを確認します。
センサー バージョンを表示する
バージョン 2.176 以降は、新しいパッケージからセンサーをインストールすると、[プログラムの追加と削除] の下のセンサーのバージョンが、以前に表示された静的な 2.0.0.0 ではなく、2.176.x.y などの完全なバージョン番号で表示されます。
Defender for Identity クラウド サービスから自動更新が実行された後も、インストールされたバージョンは引き続き表示されます。
センサーの実際のバージョンは、Microsoft Defender XDR センサー設定ページ、実行可能パス、またはファイル バージョンで表示できます。
Defender for Identity センサーのサイレント インストール
Defender for Identity サイレント インストールでは、必要に応じてインストールの最後にサーバーを自動的に再起動するように構成されています。
サイレント インストールはメンテナンス期間にのみスケジュールしてください。 Windows インストーラーのバグのため、サーバーの再起動を防ぐために norestart フラグを使用することはできません。
展開の進行状況を追跡するには、Defender for Identity インストーラー ログを監視します。このログは %AppData%\Local\Temp
にあります。
展開システムを使用したサイレント インストール
System Center Configuration Manager またはその他のソフトウェアの展開システムを使用して Defender for Identity センサーをサイレント展開する場合は、2 つの展開パッケージを作成することをお勧めします。
- .NET Framework 4.7 以降。これにはドメイン コントローラーの再起動が含まれる場合があります
- Defender for Identity センサー
Defender for Identity センサー パッケージが、.Net Framework パッケージの展開に依存するようにします。 必要な場合は、.Net Framework 4.7 オフライン展開パッケージを取得します。
サイレント インストールを実行する
Defender for Identity センサーを完全にサイレント インストールするには、次のコマンドと前の手順でコピーしたアクセス キーを使用します。
cmd.exe 構文:
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
Powershell 構文:
.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
Note
Powershell 構文を使用する場合、.\
序文を省略すると、サイレント インストールを妨げるエラーが発生します。
インストール オプション:
名前 | 構文 | Mandatory for silent installation? | 説明 |
---|---|---|---|
Quiet |
/quiet |
はい | Runs the installer displaying no UI and no prompts. |
Help |
/help |
いいえ | Provides help and quick reference. Displays the correct use of the setup command including a list of all options and behaviors. |
NetFrameworkCommandLineArguments="/q" |
NetFrameworkCommandLineArguments="/q" |
はい | .NET Framework インストールのパラメーターを指定します。 .NET Framework のサイレント インストールを強制するように設定する必要があります。 |
インストール パラメーター:
名前 | 構文 | Mandatory for silent installation? | 説明 |
---|---|---|---|
InstallationPath |
InstallationPath="" |
いいえ | Defender for Identity Sensor バイナリのインストールのパスを設定します。 既定のパス: %programfiles%\Azure Advanced Threat Protection Sensor |
AccessKey |
AccessKey="\*\*" |
はい | Defender for Identity センサーを Defender for Identity ワークスペースに登録するために使用するアクセス キーを設定します。 |
AccessKeyFile |
AccessKeyFile="" |
いいえ | 指定されたテキスト ファイル パスからワークスペース アクセス キーを設定します。 |
DelayedUpdate |
DelayedUpdate=true |
いいえ | センサーの更新メカニズムを設定して、各サービス更新プログラムの公式リリースから 72 時間更新を延期します。 詳細については、「遅延センサーの更新」を参照してください。 |
LogsPath |
LogsPath="" |
いいえ | Defender for Identity Sensor ログのパスを設定します。 既定のパス: %programfiles%\Azure Advanced Threat Protection Sensor |
例:
Defender for Identity センサーをサイレント インストールするには、次のコマンドを使用します。
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"
プロキシ構成を使用してサイレント インストールを実行する
次のコマンドを使用して、プロキシと一緒にサイレント インストールを構成します。
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`
Note
WiniNet やレジストリ キーの更新など、従来のオプションを使用して以前にプロキシを構成したことがある場合は、最初に使用した方法で変更を加える必要があります。 詳細については、「従来の方法を使用してプロキシ構成を変更する」を参照してください。
インストール パラメーター:
名前 | 構文 | Mandatory for silent installation? | 説明 |
---|---|---|---|
ProxyUrl | ProxyUrl="http://proxy.contoso.com:8080" |
いいえ | Defender for Identity センサーのプロキシ URL とポート番号を指定します。 |
ProxyUserName | ProxyUserName="Contoso\ProxyUser" |
いいえ | プロキシ サービスで認証が必要な場合は、DOMAIN\user 形式でユーザー名を定義します。 |
ProxyUserPassword | ProxyUserPassword="P@ssw0rd" |
いいえ | プロキシ ユーザー名のパスワードを指定します。 資格情報は、Defender for Identity センサーによって暗号化され、ローカルに保存されます。 |
ヒント
後でプロキシ設定を更新する必要がある場合は、PowerShell または CLI を使用します。 詳しくは、「エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。 プロキシ サーバーのカスタム DNS A レコードを作成しておくことをお勧めします。このレコードは、必要に応じてプロキシ サーバーのアドレスの変更に使用したり、テスト時に hosts ファイルで使用したりできます。
関連するコンテンツ
センサーを AD FS サーバーまたは AD CS サーバーにインストールした場合、またはスタンドアロン センサーをインストールした場合は、インストール後に追加の手順に従います。
AD FS / AD CS サーバー: AD FS / AD CS サーバーのインストール後の手順 (オプション)
スタンドアロン センサー: