エンドポイント プロキシとインターネット接続の設定を構成する
各Microsoft Defender for Identity センサーでは、センサー データを報告して正常に動作するために、Defender for Identity クラウド サービスへのインターネット接続が必要です。
一部の組織では、ドメイン コントローラーはインターネットに直接接続されていませんが、Web プロキシ接続を介して接続されており、セキュリティ上の理由から SSL 検査とプロキシの傍受はサポートされていません。 このような場合、プロキシ サーバーは、インターセプトなしで Defender for Identity センサーから関連する URL にデータを直接渡すことを許可する必要があります。
重要
Microsoft はプロキシ サーバーを提供していません。 この記事では、構成したプロキシ サーバーから必要な URL にアクセスできるようにする方法について説明します。
プロキシ サーバーで Defender for Identity サービス URL へのアクセスを有効にする
最大限のセキュリティとデータのプライバシーを確保するために、Defender for Identity は、各 Defender for Identity センサーと Defender for Identity クラウド バックエンドの間で証明書ベースの相互認証を使用します。 SSL 検査とインターセプトは、認証プロセスに干渉するためサポートされていません。
Defender for Identity へのアクセスを有効にするには、センサー URL へのトラフィックを許可し、次の構文を使用してください: <your-workspace-name>sensorapi.atp.azure.com。 たとえば、「 contoso-corpsensorapi.atp.azure.com 」のように入力します。
プロキシまたはファイアウォールで明示的な許可リストが使用されている場合は、次の URL が許可されていることを確認することもお勧めします。
crl.microsoft.comctldl.windowsupdate.comwww.microsoft.com/pkiops/*www.microsoft.com/pki/*
Defender for Identity サービスの IP アドレスが変更される場合があります。 IP アドレスを手動で構成する場合、またはプロキシが DNS 名を自動的に IP アドレスに解決して使用する場合は、構成された IP アドレスがまだ最新であることを定期的にチェックすることをお勧めします。
WiniNet やレジストリ キーの更新など、従来のオプションを使用してプロキシを構成したことがある場合は、最初に使用したメソッドを使用して変更を加える必要があります。 詳細については、「 レガシ メソッドを使用してプロキシ構成を変更する」を参照してください。
サービス タグを使用してアクセスを有効にする
特定のエンドポイントへのアクセスを手動で有効にする代わりに、 Azure IP 範囲とサービス タグ - パブリック クラウドをダウンロードし、 AzureAdvancedThreatProtection Azure サービス タグの IP アドレス範囲を使用して Defender for Identity へのアクセスを有効にします。
詳細については、「 仮想ネットワーク サービス タグ」を参照してください。 米国政府機関向けオファリングについては、「 米国政府機関向けオファリングの概要」を参照してください。
CLI を使用してプロキシ構成を変更する
前提条件: Microsoft.Tri.Sensor.Deployment.Deployer.exe ファイルを見つけます。 このファイルは、センサーのインストールと共に配置されます。 既定では、この場所は C:\Program Files\Azure Advanced Threat Protection Sensor\version number\
現在のセンサーのプロキシ構成を変更するには:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"
現在のセンサーのプロキシ構成を完全に削除するには:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration
PowerShell を使用してプロキシ構成を変更する
前提条件: Defender for Identity PowerShell コマンドを実行する前に、 Defender for Identity PowerShell モジュールをダウンロードしていることを確認してください。
PowerShell を使用して、センサーのプロキシ構成を表示および変更できます。 これを行うには、センサー サーバーにサインインし、次の例に示すようにコマンドを実行します。
現在のセンサーのプロキシ構成を表示するには:
Get-MDISensorProxyConfiguration
現在のセンサーのプロキシ構成を変更するには:
Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'
次の使用例は、資格情報なしで指定されたプロキシ サーバーを使用するように Defender for Identity センサーのプロキシ構成を設定します。
現在のセンサーのプロキシ構成を完全に削除するには:
Clear-MDISensorProxyConfiguration
詳細については、次の DefenderForIdentity PowerShell リファレンスを参照してください。
レガシ メソッドを使用してプロキシ構成を変更する
以前に WinINet またはレジストリ キーを使用してプロキシ設定を構成していて、それらを更新する必要がある場合は、最初に使用したのと同じ方法を使用する必要があります。
インストール中にコマンド ラインからプロキシを構成すると、Defender for Identity センサー サービスのみがプロキシを介して通信できるようになります。WinINet またはレジストリを使用すると、ローカル システムまたはローカル サービスとしてコンテキストで実行されている他のサービスもプロキシ経由でトラフィックを転送できます。
WinINet を使用してプロキシ サーバーを構成する
WinINet を使用してプロキシを構成する場合は、埋め込み Defender for Identity センサー サービスが LocalService アカウントを使用してシステム コンテキストで実行されていること、および LocalSystem アカウントを使用して Defender for Identity Sensor アップデーター サービスがシステム コンテキストで実行されていることに注意してください。
プロキシ構成に WinHTTP を使用する場合でも、センサーと Defender for Identity クラウド サービス間の通信に Windows インターネット (WinINet) ブラウザー プロキシ設定を構成する必要があります。
ネットワーク トポロジで Transparent プロキシまたは WPAD を使用している場合は、プロキシに WinINet を構成する必要はありません。
レジストリを使用してプロキシ サーバーを構成する
このセクションでは、レジストリ ベースの静的プロキシを使用して静的プロキシ サーバーを手動で構成する方法について説明します。
重要
レジストリを使用してプロキシを構成すると、Windows サービスを含む 、LocalService アカウントと LocalSystem アカウントで WinINet を使用するすべてのアプリケーションに影響します。
レジストリの変更を LocalService アカウントと LocalSystem アカウントにのみ適用します。
プロキシを構成するには、次のように、ユーザー コンテキストでプロキシ構成を LocalSystem アカウントと LocalService アカウントにコピーします。
レジストリ キーをバックアップします。
レジストリで、
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsレジストリ キーの下にあるREG_BINARYとしてDefaultConnectionSettings値を検索し、コピーします。LocalSystemに正しいプロキシ設定がない場合は、Current_UserからHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsレジストリ キーの下のLocalSystemにプロキシ設定をコピーします。Current_UserのDefaultConnectionSettingsレジストリ キーの値をREG_BINARYとして貼り付けてください。これは、プロキシ設定が構成されていない場合、またはプロキシ設定が
Current_Userとは異なる場合に発生する可能性があります。LocalServiceに正しいプロキシ設定がない場合は、Current_UserからHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsレジストリ キーの下のLocalServiceにプロキシ設定をコピーします。Current_UserのDefaultConnectionSettingsレジストリ キーの値をREG_BINARYとして貼り付けてください。
関連コンテンツ
詳細については、以下を参照してください: