こんにちは、 @yama-s です。
📅 Active Directory Security Advent Calendar 2025
21 日目 を担当します!
テーマは Microsoft Defender for Identity (以降 MDI) です。
本日は、小ネタ集として 3 つのトピックを準備しました!
何か 1 つでもご参考にしていただける部分があれば大変嬉しいです。
アジェンダ
- 概要
- トピック1: 2025 年 12 月のアップデート情報
- トピック2: 仮想 NIC の TSO, LSO のはなし
- トピック3: サイジングツール動かしてみた
概要
Microsoft Defender for Identity (MDI) とは
MDI は、Active Directory(オンプレ AD / Entra Connect 環境を含む)を標的とした攻撃を検出・調査するためのクラウドベースの脅威保護サービスです。
ユーザー行動や認証パターンを分析し、pass-the-hash、pass-the-ticket、偵察活動などの高度な攻撃をリアルタイムに検出します。ID を起点とした侵害を早期に可視化し、SOC やセキュリティ担当者の対応を強力にサポートします。
トピック1: 2025 年 12 月のアップデート情報
アドベントカレンダーで賑わう今月のアップデートを見ていきましょう!
MDI の新機能(What’s New ページ)は以下からご確認いただけます。
2025 年 12 月は、本日時点で 2 件のアップデートがあります。
- Graph-API の "sensorCandidate" リソースの種類の新しいプロパティ (プレビュー)
- 高度なハンティングでの ADWS LDAP 検索
2025 年 10 月には、Microsoft Defender for Identity センサー v3.x が一般公開 (GA) になっていますね。今後の機能拡張・展開拡大に期待大です!
トピック2: 仮想 NIC の TSO, LSO のはなし
VMware vSphere の仮想マシンで AD を構築されており、こちらに MDI を導入する際に確認しておくべき点があります。
TSO … TCP Segmentation Offload
LSO … Large Send Offload
公開情報はこちら
ネットワーク設定の構成不一致が原因で、以下のような正常性アラートが出力される場合があります。
"一部のネットワーク トラフィックが分析されておらず 、 VMware で実行されているセンサーのネットワーク構成が一致しません"
IPv4 TSO オフロード や LSO が有効になっており、ゲスト OS とホスト OS のネットワークアダプタの設定不一致が検出された場合、MDI センサーの正常性チェックをクリアしません。
オンプレミス AD に MDI を導入される際、プラットフォームの確認と設定確認が必要です。
[参考] VMware (Broadcom) の関連情報はこちら
▼ KB
▼ネットワークアダプタの基本
▼コンパチガイド
トピック3: サイジングツール動かしてみた
MDI を AD DC に導入する前に、デプロイ準備として実施可能なサイズ設定ツールが用意されています。
公開情報はこちら
このサイズ設定ツールは、AD DC が対象になっています。AD FS、AD CS、Entra Connect のみのサーバー (AD DC と同居していない) に対して実行する必要はありません。
では実際の操作感を見ていきましょう。
<画面例> ※必ず更新します。お待ちを
さいごに
いかがでしたでしょうか?
Advent Calendar も残すところあと 4 日!
ぜひ最後までお楽しみください😊🎄
Sayaka Yamauchi (syamauchi)
参考資料
- Microsoft Defender for Identity とは
https://learn.microsoft.com/ja-jp/defender-for-identity/what-is