Microsoft Defender for Identity の前提条件

この記事では、Microsoft Defender for Identity を環境に正しくデプロイするための要件について説明します。

注意

リソースおよび容量を計画する方法については、Defender for Identity のキャパシティ プランニングに関するページを参照してください。

Defender for Identity は Defender for Identity クラウド サービス、Microsoft 365 Defender ポータル、Defender for Identity センサーで構成されています。 Defender for Identity の各コンポーネントの詳細については、「Defender for Identity のアーキテクチャ」を参照してください。

Defender for Identity によって、オンプレミスの Active Directory ユーザーまたは Azure Active Directory (Azure AD) に同期されたユーザー (あるいは両方) が保護されます。 Azure AD ユーザー専用に構成された環境を保護するには、Azure AD Identity Protection に関するページをご覧ください。

この記事には、Defender for Identity センサーの要件Defender for Identity スタンドアロン センサーの要件が両方とも含まれています。 Defender for Identity スタンドアロン センサーは専用サーバーにインストールされており、ネットワーク トラフィックを受信するには、ドメイン コントローラー上でポート ミラーリングを構成する必要があります。

開始する前に

このセクションでは、Defender for Identity のインストールを始める前に用意する必要があるアカウントとネットワーク エンティティに関する情報に加えて、収集する必要のある情報の一覧を示します。

ライセンス

  • Microsoft 365 ポータル経由で直接 Enterprise Mobility + Security E5 (EMS E5/A5)、Microsoft 365 E5 (M365 E5/A5/G5)、または Microsoft 365 E5/A5/G5 Security のライセンスを取得するか、クラウド ソリューション パートナー (CSP) のライセンス モデルを使用します。 スタンドアロンの Defender for Identity ライセンスも使用できます。 ライセンス要件の詳細については、「ライセンスとプライバシー」を参照してください。

[アカウント]

  • 監視対象ドメイン内のすべてのオブジェクトに対する読み取りアクセス権がある、ディレクトリ サービス アカウントのうちの少なくとも 1 つ。 ディレクトリ サービス アカウントの作成方法については、ディレクトリ サービス アカウントの推奨事項に関するページを参照してください。

アクセス許可

  • Defender for Identity のインスタンスを作成するには、グローバル管理者およびセキュリティ管理者が少なくとも 1 人いる Azure AD テナントが必要です。 Defender for Identity の各インスタンスによって、複数の Active Directory フォレスト境界と、Windows 2003 以上のフォレスト機能レベル (FFL) がサポートされます。

  • Microsoft 365 Defender ポータルの ID セクションにアクセスするには、そのテナントのグローバル管理者かセキュリティ管理者であり、かつワークスペースを作成できる必要があります。

Microsoft 365 Defender ポータルの要件

Microsoft Edge、Internet Explorer 11、または HTML 5 準拠の Web ブラウザーを使用して、Microsoft 365 Defender ポータルで Defender for Identity にアクセスします。

Defender for Identity ファイアウォールの要件

Note

米国政府機関向けオファリングのネットワーク要件は、「米国政府機関向けオファリングの Microsoft Defender for Identity」で確認できます。

  • Defender for Identity センサーをインストールしようとしているサーバーから Defender for Identity クラウド サービスにアクセスできることを確認します。 https://<使用するインスタンス名>sensorapi.atp.azure.com (ポート 443) にアクセスできる必要があります。 例: https://contoso-corpsensorapi.atp.azure.com。

    インスタンス名を取得するには、https://security.microsoft.com/settings/identities で ID 設定セクションの [バージョン情報] ページを参照してください。 Defender for Identity センサーでは、プロキシの使用がサポートされています。 プロキシの構成の詳細については、Defender for Identity のプロキシの構成に関するページを参照してください。

    注意

    また、Azure サービス タグ (AzureAdvancedThreatProtection) を使用して、Defender for Identity へのアクセスを有効にすることもできます。 サービス タグの詳細については、「仮想ネットワーク サービス タグ」を参照するか、サービス タグのファイルをダウンロードしてください。

    Defender for Identity のアーキテクチャの図

ポート

次の表では、Defender for Identity センサーで必要な最小限のポートを示します。

プロトコル トランスポート ポート 差出人 終了
インターネット ポート
SSL (*.atp.azure.com) TCP 443 Defender for Identity センサー Defender for Identity クラウド サービス
内部ポート
DNS TCP および UDP 53 Defender for Identity センサー DNS サーバー
Netlogon (SMB、CIFS、SAM-R) TCP/UDP 445 Defender for Identity センサー ネットワーク上のすべてのデバイス
RADIUS UDP 1813 RADIUS Defender for Identity センサー
Localhost ポート* センサー サービスのアップデーター用に必要
SSL (localhost) TCP 444 センサー サービス センサー アップデーター サービス
NNR ポート**
RPC 経由の NTLM TCP ポート 135 Defender for Identity センサー ネットワーク上のすべてのデバイス
NetBIOS UDP 137 Defender for Identity センサー ネットワーク上のすべてのデバイス
RDP TCP 3389、Client hello の最初のパケットのみ Defender for Identity センサー ネットワーク上のすべてのデバイス

* 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。
** これらのポートのいずれかが必須ですが、すべてを開くことをお勧めします。

Defender for Identity のネットワーク名前解決 (NNR) の要件

ネットワーク名前解決 (NNR) は、Defender for Identity の機能の主要なコンポーネントです。 IP アドレスをコンピューター名に解決するため、Defender for Identity センサーにより次の方法を使用して IP アドレスが検索されます。

  • RPC 経由の NTLM (TCP ポート 135)
  • NetBIOS (UDP ポート 137)
  • RDP (TCP ポート 3389) - Client hello の最初のパケットのみ
  • IP アドレスの逆引き DNS 参照を使って DNS サーバーに対してクエリを実行する (UDP 53)

最初の 3 つの方法を機能させるには、Defender for Identity センサーからネットワーク上のデバイスに対して、関連するポートを受信用に開く必要があります。 Defender for Identity と NNR の詳細については、Defender for Identity の NNR ポリシーに関するページを参照してください。

最良の結果を得るには、すべての方法を使用することをお勧めします。 これが不可能な場合は、DNS 参照の方法と、その他の方法の少なくとも 1 つを使用する必要があります。

Defender for Identity センサーの要件

ここでは、Defender for Identity センサーの要件の一覧を示します。

Note

2022 年 6 月 15 日より、Microsoft では、Windows Server 2008 R2 を実行しているデバイスで Defender for Identity センサーがサポートされなくなりました。 Windows Server 2008 R2 をオペレーティング システムとしてまだ実行している残りのドメイン コントローラー (DC) または (AD FS) サーバーを特定し、サポートされているオペレーティング システムに更新する計画を立てることをお勧めします。

全般

Defender for Identity センサーでは、次の表に示すように、さまざまなオペレーティング システムバージョンへのインストールがサポートされています。

オペレーティング システムのバージョン デスクトップ エクスペリエンス搭載サーバー Server Core Nano Server サポートされているインストール
Windows Server 2012 適用できません ドメイン コントローラー
Windows Server 2012 R2 適用できません ドメイン コントローラー
Windows Server 2016 ドメイン コントローラー、AD FS
Windows Server 2019* ドメイン コントローラー、AD FS
Windows Server 2022 ドメイン コントローラー、AD FS

* KB4487044 以降の累積的な更新プログラムが必要です。 システム ディレクトリ内の ntdsai.dll ファイルのファイルバージョンが 10.0.17763.316 よりも古い場合、この更新プログラムなしで Server 2019 にインストールされているセンサーは自動的に停止されます。

ドメイン コントローラーは、読み取り専用ドメイン コントローラー (RODC) を指定できます。

AD FS ファームにインストールする場合は、各 AD FS サーバー、または少なくともプライマリ ノードにセンサーをインストールすることをお勧めします。

.NET Framework 4.7 以降がインストールされていない場合、インストールの間に .NET Framework 4.7 がインストールされ、サーバーの再起動が必要になる可能性があります。 再起動が既に保留中になっている場合も、再起動が必要になることがあります。 そのため、センサーをインストールする場合は、ドメイン コントローラーのメンテナンス期間をスケジュールすることを検討してください。

サーバーの仕様

Defender for Identity センサーを使用するには、ドメイン コントローラーに最低でも 2 コアと 6 GB の RAM が装備されている必要があります。

ディスク領域は少なくとも 6 GB 必要で、10 GB が推奨値です。 これには、Defender for Identity バイナリ、Defender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。

最適なパフォーマンスを得るため、Defender for Identity センサーが実行されているコンピューターの電源オプション高パフォーマンスに設定します。

Defender for Identity センサーは、さあーバーによって送受信されるネットワーク トラフィックの量、およびインストールされているリソースの量に応じて、さまざまな負荷やサイズのドメイン コントローラーまたは AD FS サーバーに展開できます。

Windows Server 2012 の場合、マルチプロセッサ グループ モードでは Defender for Identity センサーはサポートされません。 マルチプロセッサ グループ モードの詳細については、トラブルシューティングに関するページをご覧ください。

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。

スタンドアロン センサーのハードウェア要件の詳細については、Defender for Identity のキャパシティ プランニングに関するページを参照してください。

時刻の同期

センサーおよびセンサーをインストールするドメイン コントローラーは、それぞれの時刻をお互いに 5 分以内に同期する必要があります。

ネットワーク アダプター

Defender for Identity センサーを使用すると、すべてのドメイン コントローラーのネットワーク アダプターでローカル トラフィックが監視されます。
デプロイ後は、Microsoft 365 Defender ポータルを使用して、監視対象のネットワーク アダプターを変更します。

NIC チーミング アダプターと Winpcap ドライバーで構成されたマシンに Defender for Identity センサーをインストールすると、インストール エラーが発生します。 NIC チーミングで構成されたマシンに Defender for Identity センサーをインストールする場合は、 こちらの手順に従って Winpcap ドライバーを Npcap に置き換えてください。

Windows イベント ログ

Defender for Identity の検出は、センサーによってドメイン コントローラーから解析される、特定の Windows イベント ログに依存しています。 正しいイベントが監査され、Windows イベント ログに含まれるようにするには、ドメイン コントローラーで高度な監査ポリシーを正確に設定する必要があります。 正しいポリシーの設定について詳しくは、高度な監査ポリシーの確認に関するページをご覧ください。 サービスの要求に従って Windows イベント 8004 が監査されるようにするには、お使いの NTLM 監査設定を確認してください。

AD FS サーバーで実行されているセンサーの場合は、監査レベルを詳細に構成します。 監査レベルを構成する方法の詳細については、AD FS のイベント監査情報に関する記事を参照してください。

注意

センサーは、水平方向の活動のパス グラフを作成するため、ディレクトリ サービスのユーザー アカウントを使って、組織のエンドポイントで、SAM-R (ネットワーク ログオン) を使っているローカル管理者を照会します。 詳しくは、「SAM-R ために必要なアクセス許可を構成」をご覧ください。

Defender for Identity スタンドアロン センサーの要件

ここでは、Defender for Identity スタンドアロン センサーの要件の一覧を示します。

注意

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、ご利用のすべてのドメイン コントローラー上に Defender for Identity センサーをデプロイすることをお勧めします。

スタンドアロン センサーをデプロイするときは、Windows イベントを Defender for Identity に転送して、Defender for Identity の認証ベースの検出、機密性の高いグループへの追加、および疑わしいサービス作成の検出を、さらに強化する必要があります。 これらのイベントは、Defender for Identity センサーによって自動的に受信されます。 Defender for Identity スタンドアロン センサーでは、これらのイベントは SIEM から受信できるほか、ドメイン コントローラーからの Windows イベント転送を設定することで受信できます。 収集されたイベントにより、ドメイン コントローラーのネットワーク トラフィック経由では利用できない追加情報が Defender for Identity に提供されます。

汎用的なスタンドアロン センサーの要件

Defender for Identity スタンドアロン センサーは、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 (Server Core を含む) を実行しているサーバーにインストールできます。 Defender for Identity スタンドアロン センサーは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。 Defender for Identity スタンドアロン センサーは、Windows 2003 以上のドメイン機能レベルを備えたドメイン コントローラーを監視するために使用できます。

スタンドアロン センサーとクラウド サービスの通信を可能にするには、ファイアウォールとプロキシで your-instance-namesensorapi.atp.azure.com へのポート 443 を開く必要があります。 詳細については、セクション「Defender for Identity ファイアウォールの要件」を参照してください。

Defender for Identity スタンドアロン センサーでの仮想マシンの使用については、「ポート ミラーリングの構成」を参照してください。

注意

ディスク領域は少なくとも 5 GB 必要で、10 GB が推奨値です。 これには、Defender for Identity バイナリ、Defender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。

スタンドアロン センサーのサーバー仕様

最適なパフォーマンスを得るため、Defender for Identity スタンドアロン センサーが実行されているコンピューターの電源オプション高パフォーマンスに設定します。

Defender for Identity スタンドアロン センサーでは、ドメイン コントローラーが送受信するネットワーク トラフィック量に応じて、複数のドメイン コントローラーの監視がサポートされます。

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。

Defender for Identity スタンドアロン センサーのハードウェア要件の詳細については、Defender for Identity のキャパシティ プランニングに関するページを参照してください。

スタンドアロン センサーの時刻同期

センサーおよびセンサーをインストールするドメイン コントローラーは、それぞれの時刻をお互いに 5 分以内に同期する必要があります。

スタンドアロン センサー用のネットワーク アダプター

Defender for Identity スタンドアロン センサーには、1 つ以上の管理アダプターと 1 つ以上のキャプチャ アダプターが必要です。

  • 管理アダプター - 企業ネットワーク上の通信に使用されます。 センサーはこのアダプターを使用して、保護している DC にクエリを実行し、マシン アカウントに対して解決策を実行します。

    このアダプターは、次の設定にしたがって構成する必要があります:

    • デフォルト ゲートウェイなどの静的 IP アドレス

    • 優先および代替 DNS サーバー

    • [この接続の DNS サフィックス] には、監視対象の各ドメインの DNS 名を指定する必要があります。

      TCP/IP 詳細設定の DNS サフィックスの構成。

      注意

      Defender for Identity スタンドアロン センサーがドメインのメンバーである場合、この構成を自動的に行うことができます。

  • キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックのキャプチャに使用されます。

    重要

    • ドメイン コントローラーのネットワーク トラフィックの宛先として、キャプチャ アダプターのポート ミラーリングを構成します。 詳細については、「ポート ミラーリングの構成」を参照してください。 通常、ネットワーク チームや仮想化チームと連携してポート ミラーリングを構成する必要があります。
    • デフォルト センサー ゲートウェイと DNS サーバーのアドレスなしで環境のルーティング不可能な静的 IP アドレス (/32 マスクを含む) を構成します。 例: 10.10.0.10/32。 これにより、キャプチャ ネットワーク アダプターが最大トラフィック量をキャプチャできるようになり、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックが送受信されるようになります。

Note

Defender for Identity スタンドアロン センサーで Wireshark を実行している場合は、Wireshark のキャプチャを停止した後で Defender for Identity センサー サービスを再起動します。 センサー サービスを再起動しない場合、センサーはトラフィックのキャプチャを停止します。

NIC チーミング アダプターが構成されたマシンに Defender for Identity センサーをインストールしようとすると、インストール エラーが表示されます。 NIC チーミングが構成されたマシンに Defender for Identity センサーをインストールする場合は、「Defender for Identity センサーの NIC チーミングの問題」を参照してください。

スタンドアロン センサーのポート

次の表では、Defender for Identity スタンドアロン センサーを使用するために管理アダプターで構成する必要がある最小限のポートを示します。

プロトコル トランスポート ポート 差出人 終了
インターネット ポート
SSL (*.atp.azure.com) TCP 443 Defender for Identity センサー Defender for Identity クラウド サービス
内部ポート
LDAP TCP および UDP 389 Defender for Identity センサー ドメイン コントローラー
セキュリティで保護された LDAP (LDAPS) TCP 636 Defender for Identity センサー ドメイン コントローラー
グローバル カタログ用 LDAP TCP 3268 Defender for Identity センサー ドメイン コントローラー
グローバル カタログ用 LDAPS TCP 3269 Defender for Identity センサー ドメイン コントローラー
Kerberos TCP および UDP 88 Defender for Identity センサー ドメイン コントローラー
Netlogon (SMB、CIFS、SAM-R) TCP および UDP 445 Defender for Identity センサー ネットワーク上のすべてのデバイス
Windows タイム UDP 123 Defender for Identity センサー ドメイン コントローラー
DNS TCP および UDP 53 Defender for Identity センサー DNS サーバー
Syslog (省略可能) TCP/UDP 514 (構成次第) SIEM サーバー Defender for Identity センサー
RADIUS UDP 1813 RADIUS Defender for Identity センサー
Localhost ポート* センサー サービスのアップデーター用に必要
SSL (localhost) TCP 444 センサー サービス センサー アップデーター サービス
NNR ポート**
RPC 経由の NTLM TCP 135 Defender for Identity センサー ネットワーク上のすべてのデバイス
NetBIOS UDP 137 Defender for Identity センサー ネットワーク上のすべてのデバイス
RDP TCP 3389、Client hello の最初のパケットのみ Defender for Identity センサー ネットワーク上のすべてのデバイス

* 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。
** これらのポートのいずれかが必須ですが、すべてを開くことをお勧めします。

注意

次のステップ