米国政府向けオファリング用 Microsoft Defender for Identity

Microsoft Defender for Identity GCC High オファリングでは、Defender for Identity の商用ワークスペースと同じ基盤的なテクノロジおよび機能が使用されています。

米国政府向けオファリングの概要

Defender for Identity GCC、GCC High、国防総省 (DoD) オファリングは、Microsoft Azure Government クラウドに基づいて構築されており、Microsoft 365 GCC、GCC High、DoD と相互運用できるように設計されています。 Defender for Identity のパブリック ドキュメントを、サービスのデプロイと運用の開始点として使用してください。

ライセンス要件

米国政府機関向け Defender for Identity のお客様には、次のいずれかの Microsoft ボリューム ライセンス オファーが必要です。

GCC GCC High DoD
Microsoft 365 GCC G5 GCC High 向け Microsoft 365 E5 DOD 向け Microsoft 365 G5
Microsoft 365 G5 Security GCC GCC High 向け Microsoft 365 G5 Security DOD 向け Microsoft 365 G5 Security
スタンドアロン Defender for Identity ライセンス スタンドアロン Defender for Identity ライセンス スタンドアロン Defender for Identity ライセンス

URL

米国政府向け Microsoft Defender for Identity オファリングにアクセスするには、次の表内の適切なアドレスを使用します。

米国政府向けオファリング Microsoft Defender ポータル センサー (エージェント) エンドポイント
DoD security.microsoft.us <your-workspace-name>sensorapi.atp.azure.us
GCC-H security.microsoft.us <your-workspace-name>sensorapi.atp.azure.us
GCC security.microsoft.com <your-workspace-name>sensorapi.gcc.atp.azure.com

また、Azure サービス タグ (AzureAdvancedThreatProtection) 内の IP アドレス範囲を使用して、Defender for Identity へのアクセスを有効にすることもできます。 サービス タグの詳細については、「仮想ネットワーク サービス タグ」を参照するか、Azure の IP 範囲とサービス タグ – US Government クラウド ファイルをダウンロードしてください。

必要な接続設定

こちらのリンクを使用して、Defender for Identity センサーに必要な最小限の内部ポートを構成してください。

商用から GCC に移行する方法

Note

次の手順は、Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps の移行を開始した後にのみ実行する必要があります

  1. Azure portal> [Microsoft Entra ID] >グループに移動します。
  2. 次の 3 つのグループ (workspaceName はワークスペースの名前を表します) の名前に " - commercial" というサフィックスを追加します:
    • "Azure ATP workspaceName Administrators" --> "Azure ATP workspaceName Administrators - commercial"
    • "Azure ATP workspaceName Viewers" --> "Azure ATP workspaceName Viewers - commercial"
    • "Azure ATP workspaceName Users" --> "Azure ATP workspaceName Users - commercial"
  3. Microsoft Defender ポータルで、[設定] から> [ID] セクションに移動して、Defender for Identity 用の新しいワークスペースを作成します
  4. ディレクトリ サービス アカウントを構成します
  5. 新しいセンサー エージェント パッケージをダウンロードして、ワークスペース キーをコピーします
  6. センサーが *.gcc.atp.azure.com に (直接またはプロキシ経由で) アクセスできることを確認してください
  7. ドメイン コントローラー、AD FS サーバー、AD CS サーバーから既存のセンサー エージェントをアンインストールします
  8. 新しいワークスペース キーを使ってセンサーを再インストールします
  9. 初期同期後に設定を移行します (別のブラウザー セッションで https://transition.security.microsoft.com ポータルを使用して比較します)
  10. 最後に、前のワークスペースを削除します (履歴データは失われます)

Note

商用サービスからデータが移行されることはありません。

商用環境での機能パリティ

特に明記しない限り、Defender for Identity の新機能に関する記事に記載される新機能リリース (プレビュー機能を含む) は、Defender for Identity の商用環境でのリリースから 90 日以内に GCC、GCC High、DoD 環境で利用できるようになります。 プレビュー機能は GCC、GCC High、DoD 環境ではサポートされない場合があります。

次のステップ