次の方法で共有

クイック インストール ガイド

  • [アーティクル]

この記事では、Active Directory、Active Directory フェデレーション サービス (AD FS) (AD FS)、または Active Directory 認定サービス (AD CS) サーバーにMicrosoft Defender for Identity センサーをインストールするときに必要な手順について説明します。 詳細な手順については、「Microsoft Defender XDRを使用してMicrosoft Defender for Identityをデプロイする」を参照してください。

詳しいデモと詳細については、次のビデオをご覧ください。

  • ID ベースの攻撃からorganizationを保護するために Defender for Identity センサーをインストールすることの重要性
  • センサーのダウンロードとインストール
  • センサーと構成の正常性に関する潜在的な問題の検出
  • Microsoft Secure Score での ID 関連のポスチャ評価の表示

前提条件

このセクションでは、Defender for Identity センサーをインストールする前に必要な前提条件を次に示します。

  • ライセンス
  • アクセス許可
  • システム要件
  • ベスト プラクティスに関する推奨事項

各 Defender for Identity ワークスペースでは、Windows 2003 以降の複数の Active Directory フォレスト境界とフォレスト機能レベル (FFL) がサポートされています。

ライセンスの要件

次のいずれかのライセンスがあることを確認します。

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5*安全
  • Microsoft 365 F5 セキュリティ + コンプライアンス*
  • スタンドアロン Defender for Identity ライセンス

*両方のF5ライセンスは、Microsoft 365 F1/F3またはF3とEnterprise Mobility + Security E3 Office 365必要があります。

Microsoft 365 ポータルから直接ライセンスを取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。

詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。

必要なアクセス許可

Defender for Identity ワークスペースを作成するには、少なくとも 1 人のセキュリティ管理者を持つMicrosoft Entra ID テナントが必要です。

[Microsoft Defender XDR設定] 領域の [ID] セクションにアクセスし、ワークスペースを作成するには、少なくともテナントのセキュリティ管理者アクセス権が必要です。

詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。

最小システム要件

このセクションでは、Defender for Identity センサーのインストールでサポートされるオペレーティング システムについて説明します。 Defender for Identity センサーをインストールするには、少なくとも 2 コア、6 GB の RAM、および 6 GB のディスク領域がドメイン コントローラーにインストールされている必要があります。

仮想マシンとして実行する場合は、すべてのメモリを常に仮想マシンに割り当てる必要があります。 詳細については、「Microsoft Defender for Identityデプロイの容量を計画する」を参照してください。

Defender for Identity センサーは、次のオペレーティング システムにインストールできます。

  • Windows Server 2016
  • Windows Server 2019. KB4487044または新しい累積的な更新プログラムが必要です。 この更新プログラムなしで Server 2019 にインストールされたセンサーは、システム ディレクトリに見つかった ntdsai.dll ファイルのバージョンが古い場合、自動的に停止します than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

すべてのオペレーティング システムの場合:

  • デスクトップ エクスペリエンスを持つサーバーとサーバー コアの両方がサポートされています。
  • Nano サーバーはサポートされていません。
  • インストールは、ドメイン コントローラー、AD FS、および AD CS サーバーでサポートされています。

ネットワーク接続を確認する

Defender for Identity センサーをインストールするサーバーが Defender for Identity クラウド サービスに到達できることを確認します。 各サーバーから、 https://*your-workspace-name*sensorapi.atp.azure.com にアクセスしてみてください。

メンテナンス期間をスケジュールする (省略可能)

インストール中に、.NET Framework 4.7 以降がインストールされていない場合、.NET Framework 4.7 がインストールされ、サーバーの再起動が必要になる場合があります。 再起動が既に保留中の場合は、再起動が必要な場合もあります。

センサーをインストールするときは、ドメイン コントローラーのメンテナンス期間をスケジュールすることを検討してください。

重要

新しいセンサーは、Windows Server 2019 以降を実行している新しいドメイン コントローラーにコア ID 保護をデプロイしようとしているお客様に推奨されます。 その他のすべての ID インフラストラクチャ、または現在Microsoft Defender for Identityから利用できる最も堅牢な ID 保護をデプロイしようとしているお客様には、クラシック センサーをデプロイすることをお勧めします。 新しいセンサーの詳細

Defender for Identity クラシック センサーをインストールする

この手順では、Defender for Identity センサーを Windows サーバー バージョン 2016 以降にインストールする方法について説明します。 サーバーに 最小システム要件があることを確認します。

注:

Defender for Identity センサーは、読み取り専用ドメイン コントローラー (RODC) を含むすべてのドメイン コントローラーにインストールする必要があります。 AD FS/AD CS/Entra Connect ファームまたはクラスターにインストールする場合は、各 AD FS/AD CS/Entra Connect サーバーにセンサーをインストールすることをお勧めします。

クラシック センサーをダウンロードしてインストールするには:

  1. Microsoft Defender ポータルから Defender for Identity センサーをダウンロードします。

  2. System>Settings>Identities>Sensors>Add sensor に移動します

  3. [ インストーラーのダウンロード ] を選択し、ドメイン コントローラーからアクセスできる場所にファイルを保存します。

  4. インストールに必要な Access キー の値をコピーします。

    ヒント

    インストーラーはテナント内のすべてのサーバーで使用できるため、1 回だけダウンロードする必要があります。 ポップアップ ブロックによってダウンロードがブロックされていないことを確認します。

  5. ドメイン コントローラーから、Microsoft Defender XDRからダウンロードしたインストーラーを実行し、画面の指示に従います。

次の手順

詳しいインストール手順については、「Microsoft Defender XDRを使用してMicrosoft Defender for Identityをデプロイする」を参照してください。 たとえば、複数のドメイン コントローラーに展開するには、代わりに サイレント インストール を使用することをお勧めします。