Microsoft Defender for Identity の前提条件

この記事では、Microsoft Defender for Identity を環境に正しくデプロイするための要件について説明します。

注意

リソースおよび容量を計画する方法については、Defender for Identity のキャパシティ プランニングに関するページを参照してください。

Defender for Identity は Defender for Identity クラウド サービスによって構成されており、それは Defender for Identity ポータルと Defender for Identity センサーで構成されています。 Defender for Identity の各コンポーネントの詳細については、「Defender for Identity のアーキテクチャ」を参照してください。

Defender for Identity によって、オンプレミスの Active Directory ユーザーまたは Azure Active Directory に同期されたユーザー (あるいは両方) が保護されます。 AAD ユーザー専用に構成された環境を保護するには、AAD Identity Protection に関するページをご覧ください。

Defender for Identity のインスタンスを作成するには、グローバル管理者およびセキュリティ管理者が少なくとも 1 人いる AAD テナントが必要です。 Defender for Identity の各インスタンスによって、複数の Active Directory フォレスト境界と、Windows 2003 以上のフォレスト機能レベル (FFL) がサポートされます。

この前提条件ガイドは、Defender for Identity を正しくデプロイするために必要なものがすべて確実に用意できるように、次のセクションに分けられています。

開始する前に:インストールを開始する前に収集しておくべき情報、準備しておく必要のあるアカウントとネットワーク エンティティについて説明します。

Defender for Identity ポータル: Defender for Identity ポータルのブラウザーの要件について説明します。

Defender for Identity センサー: Defender for Identity センサーのハードウェアとソフトウェアの要件の一覧を示します。

Defender for Identity スタンドアロン センサー: Defender for Identity スタンドアロン センサーは専用サーバーにインストールされており、ネットワーク トラフィックを受信するには、ドメイン コントローラーでポート ミラーリングを構成する必要があります。

注意

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

開始する前に

このセクションでは、Defender for Identity のインストールを始める前に用意する必要があるアカウントとネットワーク エンティティに関する情報に加えて、収集する必要のある情報の一覧を示します。

  • Microsoft 365 ポータル経由で直接 Enterprise Mobility + Security E5 (EMS E5/A5)、Microsoft 365 E5 (M365 E5/A5/G5)、または Microsoft 365 E5/A5/G5 Security のライセンスを取得するか、クラウド ソリューション パートナー (CSP) のライセンス モデルを使用します。 スタンドアロンの Defender for Identity ライセンスも使用できます。

  • Defender for Identity センサーをインストールしようとしているドメイン コントローラーを確認し、Defender for Identity クラウド サービスにインターネット経由で接続されていることを確認します。 Defender for Identity センサーでは、プロキシの使用がサポートされています。 プロキシの構成の詳細については、Defender for Identity のプロキシの構成に関するページを参照してください。

  • 監視対象ドメイン内のすべてのオブジェクトに対する読み取りアクセス権がある、次のディレクトリ サービス アカウントのうちの少なくとも 1 つ。

    • 標準 AD ユーザー アカウントとパスワード。 Windows Server 2008 R2 SP1 を稼働しているセンサーに必要です。

    • グループ管理サービス アカウント (gMSA)。 Windows Server 2012 以降が必要です。
      すべてのセンサーは、gMSA アカウントのパスワードを取得するためのアクセス許可を持っている必要があります。
      gMSA アカウントの詳細については、グループ管理サービス アカウントの概要に関する記事をご覧ください。

      次の表に、どの AD ユーザー アカウントがどのサーバー バージョンと共に使用できるかを示します。

      アカウントの種類 Windows Server 2008 R2 SP1 Windows Server 2012 以降
      標準 AD ユーザー アカウント はい はい
      gMSA アカウント いいえ Yes

      注意

      • Windows Server 2012 以降を稼働しているセンサー コンピューターでは、gMSA アカウントを使用して、その強化されたセキュリティとパスワードの自動管理を利用することをお勧めします。
      • Windows Server 2008 R2 を稼働しているセンサーと Windows Server 2012 以降を稼働している複数のセンサーがある場合は、推奨される gMSA アカウントの使用に加え、標準 AD ユーザー アカウントも少なくとも 1 つ使用する必要があります。
      • ドメイン内のさまざまな組織単位 (OU) にカスタム ACL を設定している場合は、それらの OU に対する読み取りアクセス許可が選択したユーザーに付与されていることを確認します。
  • Defender for Identity スタンドアロン センサーで Wireshark を実行している場合は、Wireshark のキャプチャを停止した後で Defender for Identity センサー サービスを再起動します。 センサー サービスを再起動しない場合、センサーはトラフィックのキャプチャを停止します。

  • NIC チーミング アダプターが構成されたマシンに Defender for Identity センサーをインストールしようとすると、インストール エラーが表示されます。 NIC チーミングが構成されたマシンに Defender for Identity センサーをインストールする場合は、「Defender for Identity センサーの NIC チーミングの問題」を参照してください。

  • Deleted Objects コンテナーの推奨事項:ユーザーには Deleted Objects コンテナーに対する読み取り専用アクセス許可が必要です。 このコンテナーに対する読み取り専用アクセス許可により、Defender for Identity で Active Directory からのユーザーの削除を検出できます。 Deleted Objects コンテナーに対する読み取り専用アクセス許可の構成については、「View or Set Permissions on a Directory Object」(ディレクトリ オブジェクトに対するアクセス許可を表示または設定する) の記事の「Changing permissions on a deleted object container」(削除されたオブジェクト コンテナーに対するアクセス許可を変更する) を参照してください。

  • 省略可能なハニートークン:ネットワーク アクティビティを持たないユーザーのユーザー アカウント。 このアカウントは、Defender for Identity ハニートークン ユーザーとして構成されます。 ハニートークンの使用方法の詳細については、「機微またはハニートークン アカウントの管理」を参照してください。

  • 省略可能: スタンドアロン センサーを展開するときは、Windows イベントを Defender for Identity に転送して、Defender for Identity の認証ベースの検出、機密性の高いグループへの追加、および疑わしいサービス作成の検出を、さらに強化する必要があります。 これらのイベントは、Defender for Identity センサーによって自動的に受信されます。 Defender for Identity スタンドアロン センサーでは、これらのイベントは SIEM から受信できるほか、ドメイン コントローラーからの Windows イベント転送を設定することで受信できます。 収集されたイベントにより、ドメイン コントローラーのネットワーク トラフィック経由では利用できない追加情報が Defender for Identity に提供されます。

Defender for Identity ポータルの要件

Defender for Identity ポータルへはブラウザーを使用してアクセスし、次のブラウザーと設定がサポートされています。

  • TLS 1.2 がサポートされているブラウザー。例:

    • Microsoft Edge
    • Internet Explorer バージョン 11 以降
    • Google Chrome 30.0 以降
  • 最低画面解像度 (幅) 1700 ピクセル

  • ファイアウォールとプロキシで開くもの - Defender for Identity クラウド サービスと通信するには、ファイアウォールとプロキシで *.atp.azure.com ポート 443 を開く必要があります。

    注意

    また、Azure サービス タグ (AzureAdvancedThreatProtection) を使用して、Defender for Identity へのアクセスを有効にすることもできます。 サービス タグの詳細については、「仮想ネットワーク サービス タグ」を参照するか、サービス タグのファイルをダウンロードしてください。

Defender for Identity のアーキテクチャの図

注意

既定では、最大 350 個のセンサーが Defender for Identity でサポートされます。 さらに多くのセンサーをインストールしたい場合は、Defender for Identity のサポートにお問い合わせください。

Defender for Identity のネットワーク名前解決 (NNR) の要件

ネットワーク名前解決 (NNR) は、Defender for Identity の機能の主要なコンポーネントです。 IP アドレスをコンピューター名に解決するため、Defender for Identity センサーにより次の方法を使用して IP アドレスが検索されます。

  • RPC 経由の NTLM (TCP ポート 135)
  • NetBIOS (UDP ポート 137)
  • RDP (TCP ポート 3389) - Client hello の最初のパケットのみ
  • IP アドレスの逆引き DNS 参照を使って DNS サーバーに対してクエリを実行する (UDP 53)

最初の 3 つの方法を機能させるには、Defender for Identity センサーからネットワーク上のデバイスに対して、関連するポートを受信用に開く必要があります。 Defender for Identity と NNR の詳細については、Defender for Identity の NNR ポリシーに関するページを参照してください。

最良の結果を得るには、すべての方法を使用することをお勧めします。 これが不可能な場合は、DNS 参照の方法と、その他の方法の少なくとも 1 つを使用する必要があります。

Defender for Identity センサーの要件

ここでは、Defender for Identity センサーの要件の一覧を示します。

全般

Defender for Identity センサーでは、次の表に示すように、ドメイン コントローラーまたは Active Directory フェデレーション サービス (AD FS) サーバーへのインストールがサポートされています。

オペレーティング システムのバージョン デスクトップ エクスペリエンス搭載サーバー Server Core Nano Server サポートされているインストール
Windows Server 2008 R2 SP1 適用なし ドメイン コントローラー
Windows Server 2012 適用できません ドメイン コントローラー
Windows Server 2012 R2 適用できません ドメイン コントローラー
Windows Server 2016 ドメイン コントローラー、AD FS
Windows Server 2019* ドメイン コントローラー、AD FS

* KB4487044 以降の累積的な更新プログラムが必要です。 システム ディレクトリ内の ntdsai.dll ファイルのファイルバージョンが 10.0.17763.316 よりも古い場合、この更新プログラムなしで Server 2019 にインストールされているセンサーは自動的に停止されます。

ドメイン コントローラーは、読み取り専用ドメイン コントローラー (RODC) を指定できます。

ドメイン コントローラーおよび AD FS で実行されているセンサーとクラウド サービスの通信を可能にするには、ファイアウォールとプロキシで *.atp.azure.com へのポート 443 を開く必要があります。 AD FS ファームにインストールする場合は、各 AD FS サーバー、または少なくともプライマリ ノードにセンサーをインストールすることをお勧めします。

.NET Framework 4.7 以降がインストールされていない場合、インストールの間に .NET Framework 4.7 がインストールされ、サーバーの再起動が必要になる可能性があります。 再起動が既に保留中になっている場合も、再起動が必要になることがあります。

注意

ディスク領域は少なくとも 5 GB 必要で、10 GB が推奨値です。 これには、Defender for Identity バイナリ、Defender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。

サーバーの仕様

Defender for Identity センサーを使用するには、ドメイン コントローラーに最低でも 2 コアと 6 GB の RAM が装備されている必要があります。 最適なパフォーマンスを得るため、Defender for Identity センサーが実行されているコンピューターの電源オプション高パフォーマンスに設定します。

Defender for Identity センサーは、さあーバーによって送受信されるネットワーク トラフィックの量、およびインストールされているリソースの量に応じて、さまざまな負荷やサイズのドメイン コントローラーまたは AD FS サーバーに展開できます。

Windows オペレーティング システム 2008R2 および 2012 の場合、マルチプロセッサ グループ モードでは Defender for Identity センサーはサポートされません。 マルチプロセッサ グループ モードの詳細については、トラブルシューティングに関するページをご覧ください。

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。

スタンドアロン センサーのハードウェア要件の詳細については、Defender for Identity のキャパシティ プランニングに関するページを参照してください。

時刻の同期

センサーおよびセンサーをインストールするドメイン コントローラーは、それぞれの時刻をお互いに 5 分以内に同期する必要があります。

ネットワーク アダプター

Defender for Identity センサーを使用すると、すべてのドメイン コントローラーのネットワーク アダプターでローカル トラフィックが監視されます。
デプロイ後は、Defender for Identity ポータルを使用して、監視対象のネットワーク アダプターを変更します。

センサーは Broadcom ネットワーク アダプターのチーミングが有効な Windows 2008 R2 を実行しているドメイン コントローラーではサポートされていません。

ポート

次の表では、Defender for Identity センサーで必要な最小限のポートを示します。

プロトコル トランスポート ポート 差出人 終了
インターネット ポート
SSL (*.atp.azure.com) TCP 443 Defender for Identity センサー Defender for Identity クラウド サービス
内部ポート
DNS TCP および UDP 53 Defender for Identity センサー DNS サーバー
Netlogon (SMB、CIFS、SAM-R) TCP/UDP 445 Defender for Identity センサー ネットワーク上のすべてのデバイス
RADIUS UDP 1813 RADIUS Defender for Identity センサー
Localhost ポート センサー サービスのアップデーター用に必要
SSL (localhost) TCP 444 センサー サービス センサー アップデーター サービス
NNR ポート
RPC 経由の NTLM TCP ポート 135 Defender for Identity ネットワーク上のすべてのデバイス
NetBIOS UDP 137 Defender for Identity ネットワーク上のすべてのデバイス
RDP TCP 3389、Client hello の最初のパケットのみ Defender for Identity ネットワーク上のすべてのデバイス

* 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。
** これらのポートのいずれかが必須ですが、すべてを開くことをお勧めします。

Windows イベント ログ

Defender for Identity の検出は、センサーによってドメイン コントローラーから解析される、特定の Windows イベント ログに依存しています。 正しいイベントが監査され、Windows イベント ログに含まれるようにするには、ドメイン コントローラーで高度な監査ポリシーを正確に設定する必要があります。 正しいポリシーの設定について詳しくは、高度な監査ポリシーの確認に関するページをご覧ください。 サービスの要求に従って Windows イベント 8004 が監査されるようにするには、お使いの NTLM 監査設定を確認してください。

AD FS サーバーで実行されているセンサーの場合は、監査レベルを詳細に構成します。 監査レベルを構成する方法の詳細については、AD FS のイベント監査情報に関する記事を参照してください。

注意

センサーは、水平方向の活動のパス グラフを作成するため、ディレクトリ サービスのユーザー アカウントを使って、組織のエンドポイントで、SAM-R (ネットワーク ログオン) を使っているローカル管理者を照会します。 詳しくは、「SAM-R ために必要なアクセス許可を構成」をご覧ください。

Defender for Identity スタンドアロン センサーの要件

ここでは、Defender for Identity スタンドアロン センサーの要件の一覧を示します。

注意

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

全般

Defender for Identity スタンドアロン センサーでは、Windows Server 2012 R2 または Windows Server 2016 (Server Core を含む) が実行されているサーバーへのインストールがサポートされています。 Defender for Identity スタンドアロン センサーは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。 Defender for Identity スタンドアロン センサーは、Windows 2003 以上のドメイン機能レベルを備えたドメイン コントローラーを監視するために使用できます。

スタンドアロン センサーとクラウド サービスの通信を可能にするには、ファイアウォールとプロキシで *.atp.azure.com へのポート 443 を開く必要があります。

Defender for Identity スタンドアロン センサーでの仮想マシンの使用については、「ポート ミラーリングの構成」を参照してください。

注意

ディスク領域は少なくとも 5 GB 必要で、10 GB が推奨値です。 これには、Defender for Identity バイナリ、Defender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。

サーバーの仕様

最適なパフォーマンスを得るため、Defender for Identity スタンドアロン センサーが実行されているコンピューターの電源オプション高パフォーマンスに設定します。

Defender for Identity スタンドアロン センサーでは、ドメイン コントローラーが送受信するネットワーク トラフィック量に応じて、複数のドメイン コントローラーの監視がサポートされます。

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。

Defender for Identity スタンドアロン センサーのハードウェア要件の詳細については、Defender for Identity のキャパシティ プランニングに関するページを参照してください。

時刻の同期

センサーおよびセンサーをインストールするドメイン コントローラーは、それぞれの時刻をお互いに 5 分以内に同期する必要があります。

ネットワーク アダプター

Defender for Identity スタンドアロン センサーには、1 つ以上の管理アダプターと 1 つ以上のキャプチャ アダプターが必要です。

  • 管理アダプター - 企業ネットワーク上の通信に使用されます。 センサーはこのアダプターを使用して、保護している DC にクエリを実行し、マシン アカウントに対して解決策を実行します。

    このアダプターは、次の設定にしたがって構成する必要があります:

    • デフォルト ゲートウェイなどの静的 IP アドレス

    • 優先および代替 DNS サーバー

    • [この接続の DNS サフィックス] には、監視対象の各ドメインの DNS 名を指定する必要があります。

      TCP/IP 詳細設定の DNS サフィックスの構成。

      注意

      Defender for Identity スタンドアロン センサーがドメインのメンバーである場合、この構成を自動的に行うことができます。

  • キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックのキャプチャに使用されます。

    重要

    • ドメイン コントローラーのネットワーク トラフィックの宛先として、キャプチャ アダプターのポート ミラーリングを構成します。 詳細については、「ポート ミラーリングの構成」を参照してください。 通常、ネットワーク チームや仮想化チームと連携してポート ミラーリングを構成する必要があります。
    • デフォルト センサー ゲートウェイと DNS サーバーのアドレスなしで環境のルーティング不可能な静的 IP アドレス (/32 マスクを含む) を構成します。 例: 10.10.0.10/32。 これにより、キャプチャ ネットワーク アダプターが最大トラフィック量をキャプチャできるようになり、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックが送受信されるようになります。

ポート

次の表では、Defender for Identity スタンドアロン センサーを使用するために管理アダプターで構成する必要がある最小限のポートを示します。

プロトコル トランスポート ポート 差出人 終了
インターネット ポート
SSL (*.atp.azure.com) TCP 443 Defender for Identity センサー Defender for Identity クラウド サービス
内部ポート
LDAP TCP および UDP 389 Defender for Identity センサー ドメイン コントローラー
セキュリティで保護された LDAP (LDAPS) TCP 636 Defender for Identity センサー ドメイン コントローラー
グローバル カタログ用 LDAP TCP 3268 Defender for Identity センサー ドメイン コントローラー
グローバル カタログ用 LDAPS TCP 3269 Defender for Identity センサー ドメイン コントローラー
Kerberos TCP および UDP 88 Defender for Identity センサー ドメイン コントローラー
Netlogon (SMB、CIFS、SAM-R) TCP および UDP 445 Defender for Identity センサー ネットワーク上のすべてのデバイス
Windows タイム UDP 123 Defender for Identity センサー ドメイン コントローラー
DNS TCP および UDP 53 Defender for Identity センサー DNS サーバー
Syslog (省略可能) TCP/UDP 514 (構成次第) SIEM サーバー Defender for Identity センサー
RADIUS UDP 1813 RADIUS Defender for Identity センサー
Localhost ポート センサー サービスのアップデーター用に必要
SSL (localhost) TCP 444 センサー サービス センサー アップデーター サービス
NNR ポート
RPC 経由の NTLM TCP 135 Defender for Identity ネットワーク上のすべてのデバイス
NetBIOS UDP 137 Defender for Identity ネットワーク上のすべてのデバイス
RDP TCP 3389、Client hello の最初のパケットのみ Defender for Identity ネットワーク上のすべてのデバイス

* 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。
** これらのポートのいずれかが必須ですが、すべてを開くことをお勧めします。

注意

関連項目