次の方法で共有

クイック インストール ガイド

  • [アーティクル]

この記事では、Active Directory、Active Directory フェデレーション サービス (AD FS) (AD FS)、または Active Directory 認定サービス (AD CS) サーバーにMicrosoft Defender for Identity センサーをインストールするときに必要な手順について説明します。 詳細な手順については、「Microsoft Defender XDRを使用してMicrosoft Defender for Identityをデプロイする」を参照してください。

詳しいデモと詳細については、次のビデオをご覧ください。

  • ID ベースの攻撃からorganizationを保護するために Defender for Identity センサーをインストールすることの重要性
  • センサーのダウンロードとインストール
  • センサーと構成の正常性に関する潜在的な問題の検出
  • Microsoft Secure Score での ID 関連のポスチャ評価の表示

前提条件

このセクションでは、Defender for Identity センサーをインストールする前に必要な前提条件を次に示します。

  • ライセンス
  • アクセス許可
  • システム要件
  • ベスト プラクティスに関する推奨事項

各 Defender for Identity ワークスペースでは、Windows 2003 以降の複数の Active Directory フォレスト境界とフォレスト機能レベル (FFL) がサポートされています。

ライセンスの要件

次のいずれかのライセンスがあることを確認します。

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5*安全
  • Microsoft 365 F5 セキュリティ + コンプライアンス*
  • スタンドアロン Defender for Identity ライセンス

*両方のF5ライセンスは、Microsoft 365 F1/F3またはF3とEnterprise Mobility + Security E3 Office 365必要があります。

Microsoft 365 ポータルから直接ライセンスを取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。

必要なアクセス許可

Defender for Identity ワークスペースを作成するには、少なくとも 1 人のセキュリティ管理者を持つMicrosoft Entra ID テナントが必要です。

[Microsoft Defender XDR設定] 領域の [ID] セクションにアクセスし、ワークスペースを作成するには、少なくともテナントのセキュリティ管理者アクセス権が必要です。

詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。

最小システム要件

このセクションでは、Defender for Identity センサーのインストールでサポートされるオペレーティング システムについて説明します。 Defender for Identity センサーをインストールするには、少なくとも 2 コア、6 GB の RAM、および 6 GB のディスク領域がドメイン コントローラーにインストールされている必要があります。

仮想マシンとして実行する場合は、すべてのメモリを常に仮想マシンに割り当てる必要があります。 詳細については、「Microsoft Defender for Identityデプロイの容量を計画する」を参照してください。

Defender for Identity センサーは、次のオペレーティング システムにインストールできます。

  • Windows Server 2016
  • Windows Server 2019. KB4487044または新しい累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリに見つかった ntdsai.dll ファイルのバージョンが古い場合、自動的に停止します than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

すべてのオペレーティング システムの場合:

  • デスクトップ エクスペリエンスを持つサーバーとサーバー コアの両方がサポートされています。
  • Nano サーバーはサポートされていません。
  • インストールは、ドメイン コントローラー、AD FS、および AD CS サーバーでサポートされています。

ネットワーク接続を確認する

Defender for Identity センサーをインストールするサーバーが Defender for Identity クラウド サービスに到達できることを確認します。 各サーバーから、 https://*your-workspace-name*sensorapi.atp.azure.com にアクセスしてみてください。

メンテナンス期間をスケジュールする (省略可能)

インストール中に、.NET Framework 4.7 以降がインストールされていない場合、.NET Framework 4.7 がインストールされ、サーバーの再起動が必要になる場合があります。 再起動が既に保留中の場合は、再起動が必要な場合もあります。

センサーをインストールするときは、ドメイン コントローラーのメンテナンス期間をスケジュールすることを検討してください。

Defender for Identity のインストール

この手順では、Defender for Identity センサーを Windows サーバー バージョン 2016 以降にインストールする方法について説明します。 サーバーに 最小システム要件があることを確認します。

注:

Defender for Identity センサーは、読み取り専用ドメイン コントローラー (RODC) を含むすべてのドメイン コントローラーにインストールする必要があります。 AD FS/AD CS ファームまたはクラスターにインストールする場合は、各 AD FS/AD CS サーバーにセンサーをインストールすることをお勧めします。

センサーをダウンロードしてインストールするには:

  1. Microsoft Defender ポータルから Defender for Identity センサーをダウンロードします。

  2. System>Settings>Identities>Sensors>Add sensor に移動します

  3. [ インストーラーのダウンロード ] を選択し、ドメイン コントローラーからアクセスできる場所にファイルを保存します。

  4. インストールに必要な Access キー の値をコピーします。

    ヒント

    インストーラーはテナント内のすべてのサーバーで使用できるため、1 回だけダウンロードする必要があります。 ポップアップ ブロックによってダウンロードがブロックされていないことを確認します。

  5. ドメイン コントローラーから、Microsoft Defender XDRからダウンロードしたインストーラーを実行し、画面の指示に従います。

次の手順

詳しいインストール手順については、「Microsoft Defender XDRを使用してMicrosoft Defender for Identityをデプロイする」を参照してください。 たとえば、複数のドメイン コントローラーに展開するには、代わりに サイレント インストール を使用することをお勧めします。