Microsoft Defender for Identity センサーを構成する

  • 5 分

大まかに言えば、Microsoft Defender for Identity を有効にするには、次の手順を行う必要があります。

  1. Microsoft Defender for Identity 管理ポータルでインスタンスを作成します。
  2. Microsoft Defender for Identity ポータルで、オンプレミスの AD サービス アカウントを指定します。
  3. センサーパッケージをダウンロードしてインストールします。
  4. すべてのドメイン コントローラーに Microsoft Defender for Identity センサーをインストールします。
  5. VPN ソリューションを統合します (オプション)。
  6. 設計プロセス中に、記載されている機密アカウントを除外します。
  7. センサーが SAM-R 通話を行うために必要なアクセス許可を構成します。
  8. Microsoft Defender for Cloud Apps との統合を構成します。
  9. Microsoft Defender XDR との統合を構成します (省略可能)。

次の図は、Microsoft Defender for Identity のアーキテクチャを示しています。 この単元では、Microsoft Defender for Identity センサーを構成する方法について説明します。

Microsoft Defender for Identity のアーキテクチャ

Microsoft Defender for Identity センサーはドメイン コントローラーに直接インストールされているため、必要なイベント ログにはこのドメイン コントローラーから直接アクセスします。 ログとネットワーク トラフィックがセンサーによって解析された後、Microsoft Defender for Identity は、解析された情報だけを Microsoft Defender for Identity クラウド サービスに送信します (一部のログだけが送信されます)。

Microsoft Defender for Identity センサーの主な機能は次のとおりです。

  • ドメインコントローラーのネットワークトラフィック (このドメインコントローラーのローカルトラフィック) をキャプチャし、確認する
  • このドメインコントローラーから直接 Windows イベントを受信する
  • VPN プロバイダーから RADIUS 会計情報を受信する
  • Active Directory ドメインからユーザーとコンピューターに関するデータを取得する
  • ネットワークエンティティ (ユーザー、グループ、コンピューター) の解決を行う
  • Microsoft Defender for Identity クラウド サービスに関連データを転送する

Microsoft Defender for Identity センサーの要件は次のとおりです。

  • KB4487044 は、Server 2019 にインストールされます。 2019 サーバーに既にインストールされており、この更新プログラムをインストールしない場合、Microsoft Defender for Identity センサーは自動的に停止します。
  • Microsoft Defender for Identity センサーによってサポートされているドメイン コントローラーの OS リスト:
    • Windows Server 2008 R2 SP1 (Server Core は除外)
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016 (windows Server Core を含み、Windows Nano Server は除外)
    • Windows Server 2019 (windows Core を含み、Windows Nano Server は除外)
  • ドメインコントローラーは読み取り専用のドメインコントローラー (RODC) にすることができます。
  • 10 GB のディスク領域が推奨されます。 これには、Microsoft Defender for Identity バイナリ、Microsoft Defender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。
  • Microsoft Defender for Identity センサーには、ドメイン コントローラーに少なくとも 2 つのコアと 6 GB の RAM がインストールされている必要があります。
  • Microsoft Defender for Identity センサーの電源オプションを高パフォーマンスに設定します。
  • Microsoft Defender for Identity センサーは、ドメイン コントローラーが送受信するネットワーク トラフィック量やインストールされているリソースの量に応じて、さまざまな負荷のドメイン コントローラーに展開できます。
  • 仮想マシンで実行する場合は、動的メモリまたはその他のメモリのバルーン機能はサポートされません。

Microsoft Defender for Identity センサーをインストールするには:

  1. センサーファイルをダウンロードして展開します。 Microsoft Defender for Identity センサー setup.exe を実行し、セットアップ ウィザードに従います。
  2. [ようこそ] ページで、使用する言語を選択し、次へ をクリックします。

インストール手順: 言語を選択します。

  1. インストールウィザードでは、サーバーがドメインコントローラーか、それとも専用サーバーかを自動的に確認します。 ドメイン コントローラーの場合は、Microsoft Defender for Identity センサーがインストールされます。 専用サーバーの場合は、Microsoft Defender for Identity スタンドアロン センサーがインストールされます。 たとえば、Microsoft Defender for Identity センサーの場合、次の画面が表示され、Microsoft Defender for Identity センサーが専用サーバーにインストールされることがわかります。

    インストール手順: サーバーの種類を決定します。

  2. センサーを構成で、使用している環境に合わせてインストールパスとアクセスキーを入力します。

    • インストール パス: Microsoft Defender for Identity センサーがインストールされている場所。 既定では、パスは %programfiles%\Microsoft Defender for Identity センサー です。 既定値のままにします。
    • アクセス キー: Microsoft Defender for Identity ポータルから取得されます。

    インストール手順: センサーを構成します。

  3. [インストール] をクリックします。

Microsoft Defender for Identity センサーをインストールしたら、次の操作を行って Microsoft Defender for Identity センサーの設定を構成します。

  1. [起動] をクリックして、ブラウザーを開いてから Microsoft Defender for Identity ポータルにサインインします。

  2. Microsoft Defender for Identity ポータルで [構成] に移動します。 システムセクションで、センサーを選択します。

    インストール手順: Microsoft Defender for Office 365 ポータルでセンサーを選択します。

  3. 構成するセンサーをクリックし、次の情報を入力します。

    • 説明: Microsoft Defender for Identity センサーの説明を入力します (オプション)。

    • ドメイン コントローラー (FQDN) (Microsoft Defender for Identity スタンドアロン センサーで必要で、これは Microsoft Defender for Identity センサーに変更することはできません): 使用しているドメイン コントローラーの完全な FQDN を入力し、プラス記号をクリックしてリストに追加します。 たとえば、dc01.contoso.com です。

      ドメインコントローラーのリストに入力するサーバーには、次の情報が適用されます。

      • Microsoft Defender for Identity スタンドアロン センサーによって、ポート ミラーリングを介してトラフィックが監視されているすべてのドメイン コントローラーを、ドメイン コントローラーのリストに記載する必要があります。 あるドメインコントローラーがドメインコントローラーの一覧に表示されない場合、不審な動作の検出が予期したとおりに機能しない可能性があります。
      • リスト内の少なくとも 1 つのドメインコントローラーをグローバルカタログにする必要があります。 これにより、Microsoft Defender for Identity はフォレスト内の他のドメインにあるコンピューターとユーザー オブジェクトを解決できます。

    • ネットワークアダプターをキャプチャ (必須):

      • Microsoft Defender for Identity センサーの場合、組織内の他のコンピューターと通信するために使用されるすべてのネットワーク アダプターです。
      • 専用サーバー上の Microsoft Defender for Identity スタンドアロン センサーの場合は、接続先ミラー ポートとして構成されているネットワーク アダプターを選択します。 これらのネットワークアダプターは、ミラー化されたドメインコントローラーのトラフィックを受信します。

    インストール手順: センサーを構成するための情報を入力します。

  4. [保存] をクリックします。