次の方法で共有


Microsoft Defender XDR を使用した Microsoft Defender for Identity のデプロイ

この記事では、Microsoft Defender for Identity の完全な展開プロセスの概要について、準備と展開の手順、特定のシナリオの追加手順などを含めて説明します。

Defender for Identity は、ゼロ トラスト戦略と、Microsoft Defender XDR を使用した Identity Threat Detection and Response (ITDR) または拡張検出および応答 (XDR) のデプロイの主要なコンポーネントです。 Defender for Identity では、ドメイン コントローラーや AD FS/AD CS および Entra Connect サーバーなどの ID インフラストラクチャ サーバーからのシグナルを使用して、特権エスカレーションや危険度の高いラテラル ムーブメントなどの脅威を検出し、セキュリティ チームによる修正のために、制約のない Kerberos 委任などの簡単に悪用される ID の問題に関するレポートを行います。

展開のクイック設定の概要については、「クイック インストール ガイド」を参照してください。

前提条件

開始する前に、セキュリティ管理者以上の Microsoft Defender XDR アクセス権限があり、次のいずれかのライセンスがあることを確認してください。

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Microsoft 365 F5 Security + Compliance*
  • スタンドアロン Defender for Identity ライセンス

* いずれの F5 ライセンスにも、Microsoft 365 F1/F3 または Office 365 F3 と、Enterprise Mobility + Security E3 が必要です。

Microsoft 365 ポータルでライセンスを直接取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳細については、ライセンスとプライバシーに関する FAQ、およびDefender for Identity の役割とアクセス許可に関する記事を参照してください。

Microsoft Defender XDR を使い始める

このセクションでは、Defender for Identity へのオンボーディングの開始方法について説明します。

  1. Microsoft Defender ポータルにサインインします。
  2. ナビゲーション メニューから、[Incidents & alerts]\(インシデントとアラート\)[ハンティング][アクション センター][脅威の分析] などの項目を選択して、オンボード プロセスを開始します。

その後、提示されたオプションを選択して、サポートされているサービス (Microsoft Defender for Identity など) を展開します。 Defender for Identity に必要なクラウド コンポーネントは、Defender for Identity の設定ページを開くと自動的に追加されます。

詳細については、以下を参照してください:

重要

現在、Defender for Identity データ センターは、ヨーロッパ、英国、スイス、北米/中米/カリブ海地域、オーストラリア東部、アジア、インドに展開されています。 ワークスペース (インスタンス) は、Microsoft Entra テナントの地理的な場所に最も近い Azure リージョンに自動的に作成されます。 Defender for Identity ワークスペースは、一度作成されると移動できません。

計画と準備

Defender for Identity の展開は、次の手順に従って準備します。

  1. すべての前提条件を満たしていることを確認します。

  2. Defender for Identity のキャパシティを計画します

ヒント

Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストすることをお勧めします。

Test-MdiReadiness.ps1 スクリプトへのリンクは、Microsoft Defender XDR の [ID] > [ツール] ページ (プレビュー) からも入手できます。

Defender for Identity をデプロイする

システムを準備したら、次の手順に従って Defender for Identity を展開します。

  1. Defender for Identity サービスへの接続を確認します
  2. Defender for Identity センサーをダウンロードします
  3. Defender for Identity センサーをインストールします
  4. データの受信を開始するように Defender for Identity センサー を構成します

デプロイ後の構成

次の手順に従って展開プロセスを完了します。

ヒント

既定では、Defender for Identity センサーは、ポート 389 と 3268 で LDAP を使用してディレクトリに対してクエリを実行します。 ポート 636 および 3269 で LDAPS に切り替えるには、サポート ケースを開いてください。 詳細については、「Microsoft Defender for Identity サポート」を参照してください。

重要

AD FS/AD CS および Entra Connect サーバーに Defender for Identity センサーをインストールするには、追加の手順が必要です。 詳細については、「AD FS、AD CS および Entra Connect 用センサーを構成する」を参照してください。

次のステップ