Microsoft Defender for Identityデプロイの概要

Defender for Identity では、センサーを使用してオンプレミスの ID インフラストラクチャから信号を収集し、脅威を検出します。

Defender for Identity は、特権エスカレーションやリスクの高い横移動などの脅威を検出し、セキュリティ チームによる修正のための制約のない Kerberos 委任などの簡単に悪用された ID の問題に関するレポートを提供します。

読み取り専用ドメイン コントローラー (RODC) を含むすべてのドメイン コントローラーに Defender for Identity センサーをインストールします。 環境内にドメイン コントローラーではない AD FS、AD CS、または Microsoft Entra Connect サーバーがある場合は、それらの各サーバーにも v2.x センサーをインストールします。

デプロイ方法を選択する

展開するセンサーのバージョンは、サーバーの役割とオペレーティング システムによって異なります。 次の表を使用して、環境内の各サーバーに適切なデプロイを選択します。

Defender for Identity では、v3.x センサーと v2.x センサーの両方を使用した混合環境がサポートされています。 たとえば、2019 以降Windows Server実行されているドメイン コントローラーに v3.x を展開し、古いドメイン コントローラーまたは AD FS、AD CS、Microsoft Entraドメイン コントローラーではないサーバーに v2.x を展開できます。 どちらのセンサー バージョンも連携し、同じ Defender for Identity ワークスペースにレポートします。

Defender for Identity センサー v3.x をアクティブにする前に、v3.x に注意してください。

• サーバーに展開されている Defender for Endpoint が必要です。 エンドポイントのデプロイだけでは前提条件ではありません。Defender for Endpoint は、センサーが実行されているサーバーにオンボードする必要があります。
• VPN 統合はサポートされていません。
• syslog 通知はサポートされていません。
• Azure ExpressRoute の操作に制限があります。 詳細については、「Azure ExpressRoute for Microsoft 365」を参照してください。

センサー v3.x のデプロイ手順

次の手順に従って、AD FS、AD CS、または Microsoft Entra Connect ロールも実行するドメイン コントローラーなど、Windows Server 2019 以降を実行しているドメイン コントローラーにセンサー v3.x を展開します。

1. 前提条件の確認
2. センサーのアクティブ化
3. Windows イベント監査を構成する
4. RPC 監査を構成する
5. デプロイを検証する

センサー v2.x のデプロイ手順

次の手順に従って、Windows Server 2016以降を実行しているドメイン コントローラー、またはドメイン コントローラーではない AD FS、AD CS、Microsoft Entra Connect サーバーにセンサー v2.x を展開します。

1. 前提条件の確認
2. 容量計画
3. 接続の構成
4. センサーを取り付けます
5. センサーを構成する
6. Windows イベント監査を構成する
7. ディレクトリ サービス アカウントを構成する
8. AD FS、AD CS、または Entra Connect 用に構成する (該当する場合)
9. デプロイを検証する

次の手順

• センサー v3 用の環境を準備する
• センサー v2 用の環境を準備する