Rychlá instalační příručka

Tento článek popisuje kroky potřebné k instalaci senzorů Microsoft Defender for Identity na servery Active Directory, Active Directory Federation Services (AD FS) (AD FS) nebo Active Directory Certification Services (AD CS). Podrobnější pokyny najdete v tématu Nasazení Microsoft Defender for Identity pomocí Microsoft Defender XDR.

Podívejte se na následující video, kde najdete podrobnou ukázku a další informace:

• Důležitost instalace senzorů Defenderu for Identity pro ochranu vaší organizace před útoky založenými na identitách
• Stažení a instalace senzoru
• Vyhledání potenciálních problémů se stavem senzoru a konfigurace
• Zobrazení posouzení stavu stavu souvisejícího s identitou ve skóre zabezpečení Microsoftu

Požadavky

Tato část obsahuje seznam požadavků požadovaných před instalací senzoru Defenderu for Identity, včetně:

• Licencování
• Oprávnění
• Požadavky na systém
• Doporučení pro osvědčené postupy

Každý pracovní prostor Defenderu for Identity podporuje hranici více doménových struktur služby Active Directory a úroveň funkčnosti doménové struktury (FFL) systému Windows 2003 a novějších.

Licenční požadavky

Ujistěte se, že máte jednu z následujících licencí:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Bezpečnost
• Microsoft 365 F5 Security + Compliance*
• Samostatná licence defenderu for Identity

* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.

Získejte licence přímo prostřednictvím portálu Microsoft 365 nebo použijte licenční model CSP (Cloud Solution Partner).

Další informace najdete v nejčastějších dotazech k licencování a ochraně osobních údajů.

Požadovaná oprávnění

Pokud chcete vytvořit pracovní prostor Defenderu for Identity, potřebujete Microsoft Entra ID tenanta s alespoň jedním správcem zabezpečení.

Pro přístup k části Identitav oblasti nastavení Microsoft Defender XDR a vytvoření pracovního prostoru potřebujete alespoň přístup správce zabezpečení ve vašem tenantovi.

Další informace najdete v tématu Microsoft Defender for Identity skupin rolí.

Minimální požadavky na systém

Tato část popisuje operační systémy podporované pro instalace senzorů Defenderu for Identity. Instalace senzoru Defenderu for Identity vyžaduje minimálně 2 jádra, 6 GB paměti RAM a 6 GB místa na disku nainstalovaného na řadiči domény.

Pokud běžíte jako virtuální počítač, musí být virtuálnímu počítači vždy přidělena veškerá paměť. Další informace najdete v tématu Plánování kapacity pro nasazení Microsoft Defender for Identity.

Senzory Defenderu for Identity je možné nainstalovat do následujících operačních systémů:

• Windows Server 2016
• Windows Server 2019. Vyžaduje KB4487044 nebo novější kumulativní aktualizaci. Senzory nainstalované na Serveru 2019 bez této aktualizace se automaticky zastaví, pokud ntdsai.dll je verze souboru nalezená v systémovém adresáři starší. than 10.0.17763.316
• Windows Server 2022
• Windows Server 2025

Pro všechny operační systémy:

• Podporují se servery s desktopovým prostředím i jádra serverů.
• Nano servery se nepodporují.
• Instalace se podporují pro řadiče domény, službu AD FS a servery AD CS.

Kontrola připojení k síti

Ověřte, že servery, na které máte v úmyslu nainstalovat senzory Defenderu for Identity, můžou kontaktovat cloudovou službu Defender for Identity. Z každého serveru zkuste získat přístup: https://*your-workspace-name*sensorapi.atp.azure.com.

• Pokud chcete získat název pracovního prostoru, podívejte se na stránku O aplikaci na portálu.
• Informace o konfiguraci proxy serveru najdete v tématu Konfigurace proxy koncového bodu a nastavení připojení k internetu.

Naplánování časového období údržby (volitelné)

Pokud během instalace není nainstalované rozhraní .NET Framework 4.7 nebo novější, nainstaluje se rozhraní .NET Framework 4.7, které může vyžadovat restartování serveru. Restartování může být také vyžadováno, pokud už čeká na restartování.

Při instalaci senzorů zvažte naplánování časového období údržby pro řadiče domény.

Instalace Defenderu for Identity

Tento postup popisuje, jak nainstalovat senzor Defenderu for Identity na Windows Server verze 2016 nebo novější. Ujistěte se, že váš server splňuje minimální požadavky na systém.

Poznámka

Senzory defenderu for Identity by měly být nainstalované na všech řadičích domény, včetně řadičů domény jen pro čtení (RODC). Pokud instalujete na farmu nebo cluster služby AD FS nebo AD CS, doporučujeme nainstalovat senzor na každý server služby AD FS nebo AD CS.

Stažení a instalace senzoru:

1. Stáhněte si senzor Defenderu for Identity z portálu Microsoft Defender.

2. Přejděte naNastavení>systému>Identity senzory>>Přidat senzor.

3. Vyberte Stáhnout instalační program a uložte soubor do umístění, ke které máte přístup z řadiče domény.

4. Zkopírujte hodnotu přístupového klíče , kterou budete potřebovat pro instalaci.

   Tip

   Instalační program stačí stáhnout jenom jednou, protože ho můžete použít pro každý server v tenantovi. Ujistěte se, že stahování neblokuje žádné blokování automaticky otevíraných oken.

5. Na řadiči domény spusťte instalační program, který jste stáhli z Microsoft Defender XDR, a postupujte podle pokynů na obrazovce.

Další krok

Pokyny k úplné instalaci s dalšími podrobnostmi najdete v tématu Nasazení Microsoft Defender for Identity pomocí Microsoft Defender XDR. Pokud chcete například nasadit na více řadičů domény, doporučujeme místo toho použít bezobslužnou instalaci .