Microsoft Defender for Identity の前提条件

この記事では、Microsoft Defender for Identity を環境に正しくデプロイするための要件について説明します。

ライセンス要件

Defender for Identity をデプロイするには、次のいずれかの Microsoft 365 ライセンスが必要です。

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Security
• Microsoft 365 F5 Security + Compliance*
• スタンドアロン Defender for Identity ライセンス

* いずれの F5 ライセンスにも、Microsoft 365 F1/F3 または Office 365 F3 と、Enterprise Mobility + Security E3 が必要です。

Microsoft 365 ポータルでライセンスを直接取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳しくは、「ライセンスとプライバシーに関するよくある質問」をご覧ください。

必要なアクセス許可

• Defender for Identity のワークスペースを作成するには、セキュリティ管理者が 1 人以上存在する Microsoft Entra ID テナントが必要です。

  Microsoft Defender XDR の [設定] 領域の [ID] セクションにアクセスし、ワークスペースを作成するには、少なくともテナントに対するセキュリティ管理者アクセスが必要です。

  詳細については、「Microsoft Defender for Identity ロール グループ」を参照してください。

• 監視対象ドメイン内のすべてのオブジェクトに対する読み取りアクセス権がある、ディレクトリ サービス アカウントのうちの少なくとも 1 つを使用することをお勧めします。 詳細については、「Microsoft Defender for Identity でディレクトリ サービス アカウントを構成する」を参照してください。

接続の要件

Defender for Identity センサーは、次のいずれかの方法を使用して、Defender for Identity クラウド サービスと通信できる必要があります。

Method	説明	考慮事項	詳細情報
プロキシの設定	前方プロキシがデプロイされているお客様は、プロキシを利用して、MDI クラウド サービスへの接続を提供できます。 このオプションを選択した場合は、デプロイ プロセスの後半でプロキシを構成します。 プロキシ構成には、センサー URL へのトラフィックの許可と、プロキシまたはファイアウォールで使用される明示的な許可リストへの Defender for Identity の URL の構成が含まれます。	1 つの URL に対してインターネットへのアクセスを許可します SSL 検査はサポートされていません	エンドポイント プロキシとインターネット接続の設定を構成する プロキシ構成を使用してサイレント インストールを実行する
ExpressRoute	ExpressRoute は、カスタム式ルート経由で MDI センサー トラフィックを転送するように構成できます。 Defender for Identity クラウド サーバーに向けてネットワーク トラフィックをルーティングするには、ExpressRoute Microsoft ピアリングを使用し、ルート フィルターに Microsoft Defender for Identity (12076:5220) サービス BGP コミュニティを追加します。	ExpressRoute が必要	BGP コミュニティ値へのサービス
Defender for Identity Azure IP アドレスを使用するファイアウォール	プロキシまたは ExpressRoute をお持ちでないお客様は、MDI クラウド サービスに割り当てられた IP アドレスを使用してファイアウォールを構成できます。 そのためには、MDI クラウド サービスによって使用される IP アドレスに変更がないかどうか、お客様は Azure IP アドレス一覧を監視する必要があります。 このオプションを選択した場合は、 Azure IP 範囲とサービス タグ – パブリック クラウド ファイルをダウンロードし、AzureAdvancedThreatProtection サービスを使用して関連する IP アドレスを追加することをお勧めします。	お客様は Azure IP の割り当てを監視する必要があります	仮想ネットワーク サービス タグ

詳細については、「Microsoft Defender for Identity のアーキテクチャ」を参照してください。

センサーの要件と推奨事項

次の表は、Defender for Identity センサーをインストールするドメイン コントローラー、AD FS、または AD CS サーバーの要件と推奨事項をまとめたものです。

前提条件/推奨事項	説明
詳細	Defender for Identity は、最低でも以下の要件を満たす Windows バージョン 2016 以降のドメイン コントローラー サーバーにインストールしてください。 - 2 コア - 6 GB の RAM - 6 GB のディスク領域が必須。Defender for Identity バイナリとログに必要な領域を含めると 10 GB が推奨されます。 Defender for Identity では、読み取り専用ドメイン コントローラー (RODC) がサポートされます。
パフォーマンス	最適なパフォーマンスを得るため、Defender for Identity センサーが実行されているコンピューターの電源オプションを高パフォーマンスに設定します。
メンテナンス期間	インストールが実行され、再起動が既に保留中の場合、または .NET Framework をインストールする必要がある場合は、再起動が必要になる可能性があるため、ドメイン コントローラーのメンテナンス期間をスケジュールすることをお勧めします。 .NET Framework バージョン 4.7 以降がまだシステムに見つからない場合は、.NET Framework バージョン 4.7 がインストールされており、再起動が必要になる場合があります。

オペレーティング システムの最小要件

Defender for Identity センサーは、次のオペレーティング システムにインストールできます。

• Windows Server 2016
• Windows Server 2019。 KB4487044 以降または最新の累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリ内の ntdsai.dll ファイルのバージョンが 10.0.17763.316 より古い場合、自動的に停止されます。
• Windows Server 2022

すべてのオペレーティング システム:

• デスクトップ エクスペリエンス搭載サーバーとサーバー コアの両方がサポートされます。
• Nano Server はサポートされていません。
• インストールは、ドメイン コントローラー、AD FS、AD CS サーバーでサポートされます。

レガシ オペレーティング システム

Windows Server 2012 と Windows Server 2012 R2 の延長サポートは、2023 年 10 月 10 日に終了しました。

Windows Server 2012 および Windows Server 2012 R2 を実行するデバイスでは、Defender for Identity センサーのサポートが Microsoft から提供されないため、これらのサーバーのアップグレードを計画することをお勧めします。

これらのオペレーティング システムで実行されているセンサーは引き続き Defender for Identity への報告を行い、センサーの更新プログラムも受け取りますが、新しい機能の一部はオペレーティング システムの性能に依存するため使用できません。

必要なポート

プロトコル	トランスポート	ポート	送信元	目的
インターネット ポート
SSL (*.atp.azure.com) または、 プロキシ経由でアクセスを構成します。	TCP	443	Defender for Identity センサー	Defender for Identity クラウド サービス
内部ポート
DNS	TCP と UDP	53	Defender for Identity センサー	DNS サーバー
Netlogon (SMB、CIFS、SAM-R)	TCP/UDP	445	Defender for Identity センサー	ネットワーク上のすべてのデバイス
RADIUS	UDP	1813	RADIUS	Defender for Identity センサー
Localhost ポート: センサー サービス アップデーターに必要 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。
SSL	TCP	444	センサー サービス	センサー アップデーター サービス
ネットワーク名前解決 (NNR) ポート IP アドレスをコンピューター名に解決するには、一覧表示されているすべてのポートを開くことにお勧めします。 ただし、必要なポートは 1 つだけです。
RPC 経由の NTLM	TCP	ポート 135	Defender for Identity センサー	ネットワーク上のすべてのデバイス
NetBIOS	UDP	137	Defender for Identity センサー	ネットワーク上のすべてのデバイス
RDP Client hello の最初のパケットのみ、IP アドレスの逆引き DNS 参照を使用して DNS サーバーのクエリを実行する (UDP 53)	TCP	3389	Defender for Identity センサー	ネットワーク上のすべてのデバイス

複数のフォレストで作業している場合は、Defender for Identity センサーがインストールされているマシンで次のポートが開いていることを確認します。

Protocol	輸送	ポート	ソース言語/ターゲット言語	方向
インターネット ポート
SSL (*.atp.azure.com)	TCP	443	Defender for Identity クラウド サービス	Outbound
内部ポート
LDAP	TCP と UDP	389	ドメイン コントローラー	Outbound
Secure LDAP (LDAPS)	TCP	636	ドメイン コントローラー	Outbound
LDAP からグローバル カタログ	TCP	3268	ドメイン コントローラー	Outbound
LDAPS からグローバル カタログ	TCP	3269	ドメイン コントローラー	Outbound

動的メモリの要件

次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件を説明しています。

VM 実行中	説明
Hyper-V	動的メモリの有効化が VM で有効になっていないことを確認します。
VMware	構成されているメモリ量と予約しているメモリ量が同じであることを確認するか、VM 設定の [すべてのゲスト メモリを予約する (すべてロック)] を選択します。
他の仮想化ホスト	常にメモリが VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。

重要

仮想マシンとして実行する場合、すべてのメモリを常に仮想マシンに割り当てる必要があります。

時刻同期

センサーがインストールされているサーバーおよびドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。

前提条件のテスト

環境に必要な前提条件が揃っているかどうかをテストして確認するには、Test-MdiReadiness.ps1 スクリプトを実行することをお勧めします。

Test-MdiReadiness.ps1 スクリプトへのリンクは、Microsoft Defender XDR の [ID] > [ツール] ページ (プレビュー) からも入手できます。

関連するコンテンツ

この記事では、基本的なインストールに必要な前提条件を示します。 AD FS/AD CS サーバーにインストールする場合、複数の Active Directory フォレストをサポートする場合、またはスタンドアロン Defender for Identity センサーをインストールする場合は、追加の前提条件が必要です。

詳細については、以下を参照してください:

• Deploying Microsoft Defender for Identity on AD FS and AD CS servers (AD FS および AD CS サーバーへの Microsoft Defender for Identity のデプロイ)
• Microsoft Defender for Identity マルチフォレストのサポート
• Microsoft Defender for Identity スタンドアロン センサーの前提条件
• Defender for Identity のアーキテクチャ

次のステップ

Microsoft Defender for Identity の容量を計画する»