お使いの Microsoft Defender for Identity センサーのエンドポイント プロキシとインターネット接続設定の構成

センサー データを報告して正常に動作させるため、各 Microsoft Defender for Identity センサーには Defender for Identity クラウド サービスへのインターネット接続が必要です。 組織によっては、ドメイン コントローラーをインターネットに直接接続せず、Web プロキシ接続を介して接続している場合もあります。

コマンド ラインを使用してプロキシ サーバーを構成することをお勧めします。これにより、Defender for Identity センサー サービスのみがプロキシ経由で通信できるようになります。

コマンド ラインを使用してプロキシ サーバーを構成する

次のコマンド ライン スイッチを使用すると、センサーのインストール中にプロキシ サーバーを構成できます。

構文

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

スイッチの説明

名前 構文 サイレント インストールに必須 [説明]
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" いいえ Defender for Identity センサーの ProxyUrl とポート番号を指定します。
ProxyUserName ProxyUserName="Contoso\ProxyUser" いいえ プロキシ サービスで認証が必要な場合は、DOMAIN\user の形式でユーザー名を指定します。
ProxyUserPassword ProxyUserPassword="P@ssw0rd" いいえ プロキシ ユーザー名のパスワードを指定します。 *資格情報は、Defender for Identity センサーによって暗号化され、ローカルに保存されます。

プロキシ サーバーを構成するための別の方法

プロキシ サーバーは、他にも次のいずれかの方法を使用して構成することができます。 これらの方法を使用してプロキシ設定を構成すると、ローカル システムまたはローカル サービスとしてコンテキストで実行されている他のサービスでも、プロキシ経由でトラフィックが送信されるようになります。

WinINet を使用してプロキシ サーバーを構成する

Microsoft Windows Internet (WinINet) プロキシ構成を使用してプロキシ サーバーを構成し、コンピューターがインターネットへの接続を許可されていない場合に、Defender for Identity センサーによって診断データが報告され、Defender for Identity クラウド サービスとの通信が行われるようにすることができます。 プロキシ構成で WinHTTP を使用する場合も、センサーと Defender for Identity クラウド サービス間の通信のために Windows Internet (WinINet) ブラウザー プロキシ設定を構成する必要があります。

プロキシを構成するときは、埋め込みの Defender for Identity センサー サービスが LocalService アカウントを使用してシステム コンテキストで実行されることと、Defender for Identity センサーのアップデーター サービスが LocalSystem アカウントを使用してシステム コンテキストで実行されることに注意してください。

注意

ネットワーク トポロジで透過プロキシまたは WPAD を使用している場合は、プロキシについて WinINet を構成する必要はありません。

レジストリを使用してプロキシ サーバーを構成する

また、レジストリベースの静的プロキシを使ってプロキシ サーバーを手動で構成し、コンピューターがインターネットへの接続を許可されていないときに、Defender for Identity センサーによって診断データが報告され、Defender for Identity クラウド サービスと通信できるようにすることもできます。

注意

レジストリの変更は LocalService と LocalSystem のみに適用されるようにする必要があります。

静的プロキシはレジストリで構成できます。 ユーザー コンテキストで使用しているプロキシ構成を localsystem と localservice にコピーする必要があります。 ユーザー コンテキストのプロキシ設定をコピーするには、次のようにします。

  1. 変更前にレジストリ キーを必ずバックアップしてください。

  2. レジストリで、レジストリ キー HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings の下にある DefaultConnectionSettings の値を REG_BINARY として検索して、コピーします。

  3. LocalSystem に正しいプロキシ設定がない (構成されていないか Current_User とは異なる) 場合は、Current_User のプロキシ設定を LocalSystem にコピーします。 レジストリ キー HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings の下で行います。

  4. Current_user DefaultConnectionSettings の値を REG_BINARY として貼り付けます。

  5. LocalService に正しいプロキシ設定がない場合は、Current_User のプロキシ設定を LocalService にコピーします。 レジストリ キー HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings の下で行います。

  6. Current_User DefaultConnectionSettings の値を REG_BINARY として貼り付けます。

注意

これは、LocalService、LocalSytem コンテキストで WinINET を使用する Windows サービスを含むすべてのアプリケーションに影響します。

プロキシ サーバーで Defender for Identity サービス URL へのアクセスを有効にする

Defender for Identity にアクセスできるようにするには、次の URL へのトラフィックを許可することをお勧めします。 URL は、Defender for Identity インスタンスの正しいサービスの場所に自動的にマップされます。

  • <your-instance-name>.atp.azure.com – コンソールの接続性。 たとえば、 contoso-corp.atp.azure.com と記述します。

  • <your-instance-name>sensorapi.atp.azure.com – センサーの接続性。 たとえば、 contoso-corpsensorapi.atp.azure.com と記述します。

また、Azure サービス タグ (AzureAdvancedThreatProtection) の IP アドレス範囲を使用して、Defender for Identity へのアクセスを有効にすることもできます。 サービス タグの詳細については、「仮想ネットワーク サービス タグ」を参照するか、サービス タグのファイルをダウンロードしてください。

または、よりきめ細かい制御が必要な場合は、次の表に示す、関係のあるエンドポイントへのトラフィックを許可することを検討してください。

サービスの場所 *.atp.azure.com DNS レコード
US triprd1wcusw2sensorapi.atp.azure.com
triprd1wcuswb3sensorapi.atp.azure.com
triprd1wcuse3sensorapi.atp.azure.com
US GCC High https://triff1wcva2sensorapi.atp.azure.us
ヨーロッパ triprd1wceun2sensorapi.atp.azure.com
triprd1wceuw3sensorapi.atp.azure.com
アジア triprd1wcasse2sensorapi.atp.azure.com
英国 triprd1wcuks2sensorapi.atp.azure.com

注意

  • 最大限のセキュリティとデータのプライバシーを確保するため、各 Defender for Identity センサーと Defender for Identity クラウド バックエンドの間では、Defender for Identity により証明書ベースの相互認証が使用されます。 お使いの環境で SSL 検査が使用されている場合は、その検査が認証プロセスの妨げにならないよう、相互認証用に構成されていることを確認してください。
  • Defender for Identity サービスの IP アドレスは変更される場合があります。 そのため、IP アドレスを手動で構成する場合、またはプロキシによって DNS 名がその IP アドレスに自動的に解決されて使用される場合は、構成済みの IP アドレスが最新の状態であることを定期的に確認する必要があります。

関連項目