次の方法で共有

Microsoft Defender for Identity の前提条件

  • [アーティクル]

この記事では、Microsoft Defender for Identityデプロイを成功させるために必要な要件について説明します。

ライセンスの要件

Defender for Identity を展開するには、次のいずれかの Microsoft 365 ライセンスが必要です。

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5*安全
  • Microsoft 365 F5 セキュリティ + コンプライアンス*
  • スタンドアロン Defender for Identity ライセンス

*両方のF5ライセンスは、Microsoft 365 F1/F3またはF3とEnterprise Mobility + Security E3 Office 365必要があります。

Microsoft 365 ポータルから直接ライセンスを取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。

必要なアクセス許可

  • Defender for Identity ワークスペースを作成するには、少なくとも 1 人のセキュリティ管理者を持つMicrosoft Entra ID テナントが必要です。

    [Microsoft Defender XDR設定] 領域の [ID] セクションにアクセスし、ワークスペースを作成するには、少なくともテナントのセキュリティ管理者アクセス権が必要です。

    詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。

  • 監視対象ドメイン内のすべてのオブジェクトへの読み取りアクセス権を持つ少なくとも 1 つの Directory Service アカウントを使用することをお勧めします。 詳細については、「Microsoft Defender for Identityのディレクトリ サービス アカウントを構成する」を参照してください。

接続要件

Defender for Identity センサーは、次のいずれかの方法を使用して Defender for Identity クラウド サービスと通信できる必要があります。

メソッド 説明 考慮事項 詳細情報
プロキシを設定する フォワード プロキシがデプロイされているお客様は、プロキシを利用して MDI クラウド サービスへの接続を提供できます。

このオプションを選択した場合は、デプロイ プロセスの後半でプロキシを構成します。 プロキシ構成には、センサー URL へのトラフィックの許可、プロキシまたはファイアウォールで使用される明示的な許可リストへの Defender for Identity URL の構成が含まれます。		 1 つの URL に対してインターネットへのアクセスを許可する

SSL 検査はサポートされていません		 エンドポイント プロキシとインターネット接続の設定を構成する

プロキシ構成でサイレント インストールを実行する
ExpressRoute ExpressRoute は、顧客の高速ルート経由で MDI センサー トラフィックを転送するように構成できます。

Defender for Identity クラウド サーバー宛てのネットワーク トラフィックをルーティングするには、ExpressRoute Microsoft ピアリングを使用し、Microsoft Defender for Identity (12076:5220) サービス BGP コミュニティをルート フィルターに追加します。		 ExpressRoute が必要 BGP コミュニティ価値へのサービス
Defender for Identity Azure IP アドレスを使用したファイアウォール プロキシまたは ExpressRoute をお持ちでないお客様は、MDI クラウド サービスに割り当てられた IP アドレスを使用してファイアウォールを構成できます。 これには、MDI クラウド サービスで使用される IP アドレスの変更について、お客様が Azure IP アドレス一覧を監視する必要があります。

このオプションを選択した場合は、 Azure IP 範囲とサービス タグ – パブリック クラウド ファイルをダウンロードし、 AzureAdvancedThreatProtection サービス タグを使用して関連する IP アドレスを追加することをお勧めします。		 お客様は Azure IP 割り当てを監視する必要があります 仮想ネットワーク サービス タグ

詳細については、「Microsoft Defender for Identity アーキテクチャ」を参照してください。

センサーの要件と推奨事項

次の表は、Defender for Identity センサーをインストールするドメイン コントローラー、AD FS、AD CS、Entra Connect サーバーの要件と推奨事項をまとめたものです。

前提条件/推奨事項 説明
仕様 Windows バージョン 2016 以降の Defender for Identity を、少なくとも次のドメイン コントローラー サーバーにインストールしてください。

- 2 コア
- 6 GB の RAM
- 6 GB のディスク領域が必要、10 GB を推奨します(Defender for Identity バイナリとログの領域を含む)

Defender for Identity では、読み取り専用ドメイン コントローラー (RODC) がサポートされています。
パフォーマンス 最適なパフォーマンスを得るには、Defender for Identity センサーを実行しているマシンの 電源オプション[高パフォーマンス] に設定します。
ネットワーク インターフェイスの構成 VMware 仮想マシンを使用している場合は、仮想マシンの NIC 構成で Large Send Offload (LSO) が無効になっていることを確認します。 詳細については、「 VMware 仮想マシン センサーの問題 」を参照してください。
メンテナンス期間 インストールが実行され、再起動が既に保留中の場合や、.NET Frameworkをインストールする必要がある場合は、再起動が必要になる可能性があるため、ドメイン コントローラーのメンテナンス期間をスケジュールすることをお勧めします。

バージョン 4.7 以降.NET Frameworkシステムにまだ見つからない場合は、バージョン 4.7 .NET Frameworkインストールされており、再起動が必要になる場合があります。

オペレーティング システムの最小要件

Defender for Identity センサーは、次のオペレーティング システムにインストールできます。

  • Windows Server 2016
  • Windows Server 2019. KB4487044または新しい累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリに見つかった ntdsai.dll ファイルのバージョンが古い場合、自動的に停止します than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

すべてのオペレーティング システムの場合:

  • デスクトップ エクスペリエンスを持つサーバーとサーバー コアの両方がサポートされています。
  • Nano サーバーはサポートされていません。
  • インストールは、ドメイン コントローラー、AD FS、および AD CS サーバーでサポートされています。

従来のオペレーティング システム

Windows Server 2012およびWindows Server 2012 R2 は、2023 年 10 月 10 日に延長サポート終了に達しました。

Microsoft では、Windows Server 2012 を実行し、R2 をWindows Server 2012するデバイスで Defender for Identity センサーをサポートしなくなったので、これらのサーバーをアップグレードすることを計画することをお勧めします。

これらのオペレーティング システムで実行されているセンサーは引き続き Defender for Identity に報告され、センサーの更新プログラムを受け取りますが、オペレーティング システムの機能に依存する可能性があるため、新しい機能の一部は使用できません。

必要なポート

プロトコル Transport ポート From 終了
インターネット ポート
SSL (*.atp.azure.com)

または、 プロキシ経由でアクセスを構成します		 TCP 443 Defender for Identity センサー Defender for Identity クラウド サービス
内部ポート
DNS TCP と UDP 53 Defender for Identity センサー DNS サーバー
Netlogon
(SMB、CIFS、SAM-R)		 TCP/UDP 445 Defender for Identity センサー ネットワーク上のすべてのデバイス
半径 UDP 1813 半径 Defender for Identity センサー
Localhost ポート: センサー サービスアップデーターに必要

既定では、 localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り許可されます。
SSL TCP 444 センサー サービス センサー アップデーター サービス
ネットワーク名解決 (NNR) ポート

IP アドレスをコンピューター名に解決するには、一覧表示されているすべてのポートを開くお勧めします。 ただし、必要なポートは 1 つだけです。
RPC 経由の NTLM TCP ポート 135 Defender for Identity センサー ネットワーク上のすべてのデバイス
NetBIOS UDP 137 Defender for Identity センサー ネットワーク上のすべてのデバイス
RDP

クライアント hello の最初のパケットのみが、IP アドレスの逆引き DNS ルックアップ (UDP 53) を使用して DNS サーバーにクエリを実行します		 TCP 3389 Defender for Identity センサー ネットワーク上のすべてのデバイス

複数のフォレストを使用している場合は、Defender for Identity センサーがインストールされている任意のコンピューターで次のポートが開いていることを確認します。

プロトコル Transport ポート To/From 方向
インターネット ポート
SSL (*.atp.azure.com) TCP 443 Defender for Identity クラウド サービス 送信
内部ポート
LDAP TCP と UDP 389 ドメイン コントローラー 送信
Secure LDAP (LDAPS) TCP 636 ドメイン コントローラー 送信
LDAP からグローバル カタログ TCP 3268 ドメイン コントローラー 送信
LDAPS からグローバル カタログへ TCP 3269 ドメイン コントローラー 送信

動的メモリ要件

次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件について説明します。

で実行されている VM 説明
Hyper-V [ 動的メモリの有効化] が VM で有効になっていないことを確認します。
VMware 構成されているメモリの量と予約済みメモリが同じであることを確認するか、VM 設定で [ すべてのゲスト メモリを予約する (すべてのロック済み)] オプションを選択します。
その他の仮想化ホスト メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。

重要

仮想マシンとして実行する場合は、すべてのメモリを常に仮想マシンに割り当てる必要があります。

コンピューターの時計の同期

センサーがインストールされているサーバーとドメイン コントローラーは、互いに 5 分以内に同期する時間が必要です。

前提条件をテストする

Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストして確認することをお勧めします。

Test-MdiReadiness.ps1 スクリプトへのリンクは、[ID > ツール] ページ (プレビュー) のMicrosoft Defender XDRからも使用できます。

関連コンテンツ

この記事では、基本的なインストールに必要な前提条件の一覧を示します。 AD FS/AD CS サーバーまたは Entra Connect にインストールする場合、複数の Active Directory フォレストをサポートする場合、またはスタンドアロン Defender for Identity センサーをインストールする場合は、追加の前提条件が必要です。

詳細については、以下を参照してください:

次の手順

Microsoft Defender for Identityの容量を計画する »