Defender for Identity センサー v3.x をデプロイする

サポートされているドメイン コントローラーに Defender for Identity センサー v3.x を展開します。 アクティブ化の前に前提条件のチェックを完了し、後で監査と ID の設定を構成します。

アクティブ化する前に

センサーをアクティブにする前に、これらのチェックを完了します。

センサーバージョンの制限事項

Defender for Identity センサー v3.x をアクティブにする前に、v3.x に注意してください。

サーバーの要件

センサーをアクティブ化しているサーバーを確認します。

  • Defender for Endpoint がサーバーにデプロイされている。 Microsoft Defenderウイルス対策コンポーネントは、アクティブ モードまたはパッシブ モードにすることができます。 Defender for Endpoint は、センサーが実行されているサーバーにオンボードする必要があります。エンドポイントのみのデプロイだけでは不十分です。
  • Defender for Identity センサー v2.x がまだデプロイされていません。
  • 2019 以降Windows Server実行されています。
  • 2026 年 3 月以降の累積的な更新プログラムが含まれています。

サポートされているサーバーの種類

v3.x センサーは、次の ID ロールを持つドメイン コントローラーを含むドメイン コントローラーをサポートします。

  • Active Directory フェデレーション サービス (AD FS)
  • Active Directory 証明書サービス (AD CS)
  • Microsoft Entra Connect

ドメイン コントローラーではないサーバーに対して Defender for Identity センサー v2.x を使用し、AD FS、AD CS、または Microsoft Entra Connect を実行します。

ライセンスの要件

Defender for Identity を展開するには、次のいずれかの Microsoft 365 ライセンスが必要です。

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* セキュリティ
  • Microsoft 365 F5 セキュリティとコンプライアンス*

両方の F5 ライセンスには、Microsoft 365 F1/F3 または F3 とEnterprise Mobility + Security E3 Office 365が必要です。 Microsoft 365 ポータルまたはクラウド ソリューション パートナー (CSP) ライセンスを使用してライセンスを購入します。 詳細については、「 ライセンスとプライバシーに関する FAQ」を参照してください。

ロールと権限

  • Defender for Identity ワークスペースを作成するには、Microsoft Entra ID テナントが必要です。

  • セキュリティ管理者であるか、次の統合 RBAC アクセス許可を持っている必要があります。

    • System settings (Read and manage)
    • Security settings (All permissions)

ネットワーク要件

Defender for Identity センサーは、Microsoft Defender for Endpointと同じ URI を使用します。 システムの接続に基づいて Defender for Endpoint の次のドキュメントを確認し、必要なサービス エンドポイントの完全な一覧を見つけます。

メモリの要件

次の表では、使用している仮想化の種類に応じて、Defender for Identity センサーに使用されるサーバーのメモリ要件について説明します。

で実行されている VM 説明
Hyper-V [ 動的メモリの有効化] が VM で有効になっていないことを確認します。
Vmware 構成されているメモリの量と予約済みメモリが同じであることを確認するか、VM 設定で [ すべてのゲスト メモリを予約する (すべてのロック済み)] オプションを選択します。
その他の仮想化ホスト メモリが常に VM に完全に割り当てられていることを確認する方法については、ベンダーが提供するドキュメントを参照してください。

重要

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てます。

バージョン 3 のセンサーでは、CPU 使用率を 30% に制限し、メモリ使用量を 1.5 GB に制限することで、センサーが CPU またはメモリを過剰に使用することを防ぎます。 ただし、他のサービスで大量のシステム リソースが使用されている場合、ドメイン コントローラーでパフォーマンスの低下が引き続き発生する可能性があります。

ドメイン コントローラー サーバーにMicrosoft Defender for Identity センサーに十分なリソースがあるかどうかを判断するには、Defender for Identity Capacity Planning のドキュメントを参照してください。

サービス アカウントの要件

Defender for Identity センサーは、次の 2 つの方法で Active Directory と対話します。

  • AD データの読み取り (オブジェクトのクエリ、変更の追跡、エンティティの解決)。 v2.x では、ディレクトリ サービス アカウント (DSA) が使用されます。 v3.x では、LocalSystem はこれを自動的に処理します。
  • 修復アクションの実行 (アカウントの無効化、パスワードのリセット)。 v2.x では、アクション アカウントが使用されます。 v3.x では、LocalSystem はこれを自動的に処理します。

v3.x センサーは、両方の目的でサーバーのローカル システム ID を使用します。 ディレクトリ サービス アカウント (DSA) またはグループマネージド サービス アカウント (gMSA) は使用しません。 LocalSystem は、v3.x でサポートされている唯一の ID です。

センサー v2.x から移行していて、以前にアクション アカウント用に gMSA が構成されていた場合は、Microsoft Defender ポータル (設定>Identities>Microsoft Defender for Identity>Manage アクション アカウント) でセンサーのローカル システム アカウントを自動的に使用する] を選択します。 v3.x センサーでは、v2.x センサー用に構成された gMSA アカウントは使用されません。

重要

いずれかのセンサーが v3.x の場合は、[すべての センサーに対してセンサーのローカル システム アカウントを自動的に使用 する] を選択します。 v3.x センサーは、gMSA 構成に関係なくローカル システム アカウントを使用します。

v2 センサーと v3 センサーの両方を使用する環境での DSA と gMSA の正常性アラート

AD FS、AD CS、または Entra Connect サーバー上の v2 センサーがまだ必要であるために、ワークスペースにディレクトリ サービス アカウント (DSA) またはグループマネージド サービス アカウント (gMSA) がまだ構成されている場合、DSA と gMSA の資格情報は、v3 センサーを含め、ワークスペース内のすべてのセンサーで引き続き検証されます。 検証が失敗した場合、 ディレクトリ サービスのユーザー資格情報が正しくない 正常性アラートが表示されます。 この動作は仕様です。 Defender for Identity は、個々のセンサーが監査アクションまたは応答アクションに使用するかどうかに関係なく、これらのアカウントが存在する限り、すべてのセンサーのワークスペース レベルで DSA と gMSA の資格情報を検証します。

V3 センサーは、監査アクションと応答アクションの DSA と gMSA を無視しますが、ワークスペース レベルの資格情報の検証には引き続き含まれています。 v3 センサーでこの正常性アラートの受信を停止するには、すべてのセンサーが v3 に完全に移行され、v2 センサーが不要になった後、ワークスペース レベルの DSA または gMSA を削除します。

前提条件をテストする

Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストします。

Test-MdiReadiness.ps1 スクリプトは、[ID > ツール] ページ (プレビュー) のMicrosoft Defender XDRからも使用できます。

センサーのアクティブ化

すべての前提条件を確認したら、Microsoft Defender ポータルからセンサーをアクティブにします

アクティブ化した後

センサーがアクティブ化されて実行された後、これらの構成手順を完了します。

Windows イベント監査を構成する

Defender for Identity は、多くの検出に Windows イベント ログに依存しています。 ドメイン コントローラー上の v3.x センサーの場合は、 自動監査を有効にして、手動構成なしですべての監査設定を処理します。

自動監査が利用できない場合、またはオプトアウトした場合は、 監査を手動で構成 するか 、PowerShell を使用します

RPC 監査を構成する

セキュリティの可視性を向上させ、追加の ID 検出を有効にするには、 デバイスに統合センサー RPC 監査 タグを適用します。 適用されると、規則の条件に一致するすべての既存および将来のデバイスに構成が適用されます。 タグは、監査目的でデバイス インベントリに表示されます。

前提条件

  • デバイスは Defender for Identity センサー バージョン 3.0.4 以降を実行する必要があります。 以前のバージョンを実行しているデバイスはこの機能をサポートしていないため、RPC 監査正常性アラートは生成されません。

タグを適用するには:

  1. Microsoft Defender ポータルで、[システム >設定] > Microsoft Defender XDR > [資産ルール管理] に移動します。

  2. [ 新しいルールの作成] を選択します

    新しいルールを追加する方法を示すスクリーンショット。

  3. サイド パネルで、次の操作を行います。

    1. [ルール名] と [説明] を入力します。
    2. 目的のマシンをターゲットDevice nameDomain、またはDevice tagを使用してルール条件を設定します。 センサー v3.x がインストールされているターゲット ドメイン コントローラー。
    3. Defender for Identity センサー v3.x が、選択したデバイスに既にデプロイされていることを確認します。
  4. 選択したデバイスに統合センサー RPC 監査タグを追加します。

    資産ルール管理のデバイスに適用された統合センサー RPC 監査タグを示すスクリーンショット。

  5. [ 次へ ] を選択してルールの確認と作成を完了し、[送信] を選択 します。 ルールが有効になるまでに最大 1 時間かかる場合があります。

資産管理ルールの詳細については、こちらをご覧ください。

  • Defender for Identity センサーを実行しているコンピューターの 電源オプション[高パフォーマンス] に設定します。
  • センサーをインストールするサーバーとドメイン コントローラーの時間を、相互に 5 分以内に同期します。

次の手順

Microsoft Defender for Identity センサーをアクティブにする