米国政府機関向けサービスのMicrosoft Defender for Identity
Microsoft Defender for Identity GCC High オファリングでは、Defender for Identity の商用ワークスペースと同じ基になるテクノロジと機能が使用されます。
米国政府機関向けオファリングの概要
Defender for Identity GCC、GCC High、および国防総省 (DoD) オファリングは、Microsoft Azure Government クラウド上に構築されており、Microsoft 365 GCC、GCC High、DoD と連携するように設計されています。 Defender for Identity パブリック ドキュメントは、サービスの展開と運用の 出発点 として使用します。
ライセンスの要件
米国政府機関向け Defender for Identity のお客様には、次のいずれかの Microsoft ボリューム ライセンス オファーが必要です。
| GCC | GCC High | DoD |
|---|---|---|
| Microsoft 365 GCC G5 | GCC High のMicrosoft 365 E5 | Microsoft 365 G5 for DOD |
| Microsoft 365 G5 セキュリティ GCC | GCC High 用 Microsoft 365 G5 セキュリティ | Microsoft 365 G5 Security for DOD |
| スタンドアロン Defender for Identity ライセンス | スタンドアロン Defender for Identity ライセンス | スタンドアロン Defender for Identity ライセンス |
URL
米国政府機関向けオファリングのMicrosoft Defender for Identityにアクセスするには、次の表の適切なアドレスを使用します。
| 米国政府機関向けオファリング | Microsoft Defender ポータル | センサー (エージェント) エンドポイント |
|---|---|---|
| DoD | security.microsoft.us |
<your-workspace-name>sensorapi.atp.azure.us |
| GCC-H | security.microsoft.us |
<your-workspace-name>sensorapi.atp.azure.us |
| GCC | security.microsoft.com |
<your-workspace-name>sensorapi.gcc.atp.azure.com |
また、Azure サービス タグ (AzureAdvancedThreatProtection) の IP アドレス範囲を使用して、Defender for Identity へのアクセスを有効にすることもできます。 サービス タグの詳細については、「 仮想ネットワーク サービス タグ 」を参照するか、 Azure IP 範囲とサービス タグ – US Government Cloud ファイルをダウンロードしてください。
必要な接続設定
このリンクを使用して、Defender for Identity センサーに必要な最小内部ポートを構成します。
商用から GCC に移行する方法
注:
次の手順は、Microsoft Defender for EndpointとMicrosoft Defender for Cloud Appsの移行を開始した後にのみ実行する必要があります。
- Azure portalに移動します> Microsoft Entra ID > グループ
- 次の 3 つのグループの名前を変更します ( workspaceName はワークスペースの名前です)。
- "Azure ATP workspaceName Administrators" --> "Azure ATP workspaceName Administrators - commercial"
- "Azure ATP workspaceName Viewer" --> "Azure ATP workspaceName Viewer - commercial"
- "Azure ATP workspaceName Users" --> "Azure ATP workspaceName Users - commercial"
- Microsoft Defender ポータルで、[設定] -> [ID] セクションに移動して、Defender for Identity 用の新しいワークスペースを作成します
- ディレクトリ サービス アカウントを構成する
- 新しいセンサー エージェント パッケージをダウンロードし、ワークスペース キーをコピーします
- センサーが *.gcc.atp.azure.com (直接またはプロキシ経由) にアクセスできることを確認します
- ドメイン コントローラー、AD FS サーバー、および AD CS サーバーから既存のセンサー エージェントをアンインストールする
- 新しいワークスペース キーを使用してセンサーを再インストールする
- 初期同期後に設定を移行する (別のブラウザー セッションで https://transition.security.microsoft.com ポータルを使用して比較する)
- 最終的に、前のワークスペースを削除します (履歴データは失われます)
注:
商用サービスからデータは移行されません。
商用環境との機能パリティ
特に指定がない限り、「 Defender for Identity の新機能」に記載されているプレビュー機能を含む新機能リリースは、Defender for Identity 商用環境でリリースから 90 日以内に GCC、GCC High、DoD 環境で利用できるようになります。 GCC、GCC High、DoD 環境ではプレビュー機能がサポートされていない場合があります。