クイック インストール ガイド

この記事では、Active Directory、Active Directory フェデレーション サービス (AD FS) 、または Active Directory 証明書サービス (AD CS) サーバーに Microsoft Defender for Identity センサーをインストールする手順について説明します。 詳細については、「Microsoft Defender XDR を使用した Microsoft Defender for Identity のデプロイ」を参照してください。

次のビデオで手順を追ったデモをご覧いただき、以下について学習してください。

• ID ベースの攻撃から組織を保護するために Defender for Identity センサーをインストールすることの重要性
• センサーをダウンロードしてインストールする
• センサーと構成の正常性に関する潜在的な問題を検出する
• Microsoft セキュア スコアでの ID に関連するセキュリティ体制を表示する

前提条件

このセクションでは、Defender for Identity センサーをインストールする前に必要な前提条件を示します。以下の内容が含まれます。

• ライセンス
• アクセス許可
• システム要件
• ベスト プラクティスの推奨事項

Defender for Identity の各ワークスペースは、複数の Active Directory フォレスト境界と、Windows 2003 以上のフォレスト機能レベル (FFL) をサポートします。

ライセンス要件

次のいずれかのライセンスを持っていることを確認します。

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Security
• Microsoft 365 F5 Security + Compliance*
• スタンドアロン Defender for Identity ライセンス

* いずれの F5 ライセンスにも、Microsoft 365 F1/F3 または Office 365 F3 と、Enterprise Mobility + Security E3 が必要です。

Microsoft 365 ポータルでライセンスを直接取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳しくは、「ライセンスとプライバシーに関するよくある質問」をご覧ください。

必要なアクセス許可

Defender for Identity のワークスペースを作成するには、セキュリティ管理者が 1 人以上存在する Microsoft Entra ID テナントが必要です。

Microsoft Defender XDR の [設定] 領域の [ID] セクションにアクセスし、ワークスペースを作成するには、少なくともテナントに対するセキュリティ管理者アクセスが必要です。

詳細については、「Microsoft Defender for Identity ロール グループ」を参照してください。

最小システム要件

このセクションでは、Defender for Identity センサーのインストールでサポートされるオペレーティング システムについて説明します。 Defender for Identity センサーをインストールするには、ドメイン コントローラーに最低でも 2 コア、6 GB の RAM、6 GB のディスク領域が必要です。

仮想マシンとして実行する場合、すべてのメモリを常に仮想マシンに割り当てる必要があります。 詳細については、「Microsoft Defender for Identity デプロイの容量を計画する」を参照してください。

Defender for Identity センサーは、次のオペレーティング システムにインストールできます。

• Windows Server 2016
• Windows Server 2019。 KB4487044 以降または最新の累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリ内の ntdsai.dll ファイルのバージョンが 10.0.17763.316 より古い場合、自動的に停止されます。
• Windows Server 2022

すべてのオペレーティング システム:

• デスクトップ エクスペリエンス搭載サーバーとサーバー コアの両方がサポートされます。
• Nano Server はサポートされていません。
• インストールは、ドメイン コントローラー、AD FS、AD CS サーバーでサポートされます。

ネットワーク接続を確認します

Defender for Identity センサーをインストールするサーバーが Defender for Identity クラウド サービスを使用できることを確認します。 各サーバーから、https://*your-workspace-name*sensorapi.atp.azure.com へのアクセスを試行します。

• ワークスペース名を取得するには、ポータルの詳細ページを参照してください。
• プロキシ構成については、「エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。

メンテナンス期間をスケジューリングします (オプション)。

インストール中、.NET Framework 4.7 以降がインストールされていない場合、.NET Framework 4.7 がインストールされることになり、サーバーの再起動が必要になる場合があります。 再起動が既に保留中になっている場合も、再起動が必要になることがあります。

そのため、センサーをインストールする場合は、ドメイン コントローラーのメンテナンス期間をスケジュールすることを検討してください。

Defender for Identity をインストールする

この手順では、Defender for Identity センサーを Windows Server バージョン 2016 以降にインストールする方法について説明します。 サーバーが最小システム要件を満たしていることを確認します。

Note

Defender for Identity センサーは、読み取り専用ドメイン コントローラー (RODC) を含む、すべてのドメイン コントローラーにインストールする必要があります。 AD FS/AD CS ファームまたはクラスターにインストールする場合は、各 AD FS/AD CS サーバーにセンサーをインストールすることをお勧めします。

センサーをダウンロードしてインストールするには:

1. Defender for Identity センサーをMicrosoft Defender ポータルからダウンロードします。 [設定] ->[ID] ->[センサー] ->[センサーの追加] を選択し、インストールに必要なアクセス キーの値をコピーします。

   ヒント

   インストーラーはテナント内のすべてのサーバーで使用できるため、ダウンロードする必要があるのは 1 回だけです。 ポップアップ ブロックによってダウンロードがブロックされていないことを確認します。

2. ドメイン コントローラーから、Microsoft Defender XDR からダウンロードしたインストーラーを実行し、画面の指示に従います。

次のステップ

完全インストールの手順と詳細については、「Microsoft Defender XDR を使用した Microsoft Defender for Identity のデプロイ」を参照してください。 たとえば、複数のドメイン コントローラーに展開するには、代わりにサイレント インストールを使用することをお勧めします。