požadavky na Microsoft Defender for Identity
Tento článek popisuje požadavky pro úspěšné nasazení Microsoft Defender for Identity.
Licenční požadavky
Nasazení Defenderu for Identity vyžaduje jednu z následujících licencí Microsoftu 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Bezpečnost
- Microsoft 365 F5 Security + Compliance*
- Samostatná licence defenderu for Identity
* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.
Získejte licence přímo prostřednictvím portálu Microsoft 365 nebo použijte licenční model CSP (Cloud Solution Partner).
Další informace najdete v nejčastějších dotazech k licencování a ochraně osobních údajů.
Požadovaná oprávnění
Pokud chcete vytvořit pracovní prostor Defenderu for Identity, potřebujete Microsoft Entra ID tenanta s alespoň jedním správcem zabezpečení.
Pro přístup k části Identitav oblasti nastavení Microsoft Defender XDR a vytvoření pracovního prostoru potřebujete alespoň přístup správce zabezpečení ve vašem tenantovi.
Další informace najdete v tématu Microsoft Defender for Identity skupin rolí.
Doporučujeme použít alespoň jeden účet adresářové služby s přístupem pro čtení ke všem objektům v monitorovaných doménách. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Microsoft Defender for Identity.
Požadavky na připojení
Senzor Defenderu for Identity musí být schopný komunikovat s cloudovou službou Defender for Identity pomocí jedné z následujících metod:
| Metoda | Popis | Úvahy | Další informace |
|---|---|---|---|
| Nastavení proxy serveru | Zákazníci, kteří mají nasazený dopředný proxy server, můžou využít tohoto proxy serveru k zajištění připojení ke cloudové službě MDI. Pokud zvolíte tuto možnost, nakonfigurujete proxy server později v procesu nasazení. Konfigurace proxy serveru zahrnují povolení provozu na adresu URL senzoru a konfiguraci adres URL Defenderu for Identity na všechny explicitní seznamy povolených používané proxy serverem nebo bránou firewall. |
Umožňuje přístup k internetu pro jednu adresu URL. Kontrola SSL se nepodporuje. |
Konfigurace proxy koncového bodu a nastavení připojení k internetu Spuštění bezobslužné instalace s konfigurací proxy serveru |
| ExpressRoute | ExpressRoute je možné nakonfigurovat tak, aby přesměrovávat provoz senzorů MDI přes expressroute zákazníka. Ke směrování síťového provozu určeného na cloudové servery Defenderu for Identity použijte partnerský vztah ExpressRoute s Microsoftem a přidejte do filtru tras komunitu protokolu BGP služby Microsoft Defender for Identity (12076:5220). |
Vyžaduje ExpressRoute. | Hodnota služby pro komunitu protokolu BGP |
| Brána firewall s využitím IP adres Azure služby Defender for Identity | Zákazníci, kteří nemají proxy server nebo ExpressRoute, můžou nakonfigurovat bránu firewall s IP adresami přiřazenými ke cloudové službě MDI. To vyžaduje, aby zákazník sledoval v seznamu IP adres Azure změny IP adres používaných cloudovou službou MDI. Pokud jste zvolili tuto možnost, doporučujeme stáhnout soubor Rozsahy IP adres Azure a značky služeb – Veřejný cloud a přidat příslušné IP adresy pomocí značky služby AzureAdvancedThreatProtection . |
Zákazník musí monitorovat přiřazení IP adres Azure. | Značky služeb virtuální sítě |
Další informace najdete v tématu Microsoft Defender for Identity architektura.
Požadavky na senzory a doporučení
Následující tabulka shrnuje požadavky a doporučení pro řadič domény, službu AD FS, server AD CS a Entra Connect, na který nainstalujete senzor Defenderu for Identity.
| Předpoklad / doporučení | Popis |
|---|---|
| Specifikace | Nezapomeňte nainstalovat Defender for Identity ve Windows verze 2016 nebo novější na server řadiče domény s minimálními následujícími položkami: - 2 jádra – 6 GB paměti RAM – vyžaduje 6 GB místa na disku, doporučuje se 10 GB, včetně místa pro binární soubory a protokoly Defenderu for Identity. Defender for Identity podporuje řadiče domény jen pro čtení (RODC). |
| Představení | Pokud chcete dosáhnout optimálního výkonu, nastavte možnost napájení počítače, na kterém běží senzor Defenderu for Identity, na hodnotu Vysoký výkon. |
| Konfigurace síťového rozhraní | Pokud používáte virtuální počítače VMware, ujistěte se, že konfigurace síťové karty virtuálního počítače má zakázanou možnost LSO (Large Send Offload). Další podrobnosti najdete v tématu Problém se senzorem virtuálního počítače VMware . |
| Časové období údržby | Doporučujeme naplánovat časové období údržby pro řadiče domény, protože restartování může být vyžadováno, pokud instalace běží a restartování již čeká na vyřízení nebo pokud je potřeba nainstalovat rozhraní .NET Framework. Pokud rozhraní .NET Framework verze 4.7 nebo novější ještě není v systému nalezeno, je nainstalované rozhraní .NET Framework verze 4.7 a může vyžadovat restartování. |
Minimální požadavky na operační systém
Senzory Defenderu for Identity je možné nainstalovat do následujících operačních systémů:
- Windows Server 2016
-
Windows Server 2019. Vyžaduje KB4487044 nebo novější kumulativní aktualizaci. Senzory nainstalované na Serveru 2019 bez této aktualizace se automaticky zastaví, pokud
ntdsai.dllje verze souboru nalezená v systémovém adresáři starší.than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Pro všechny operační systémy:
- Podporují se servery s desktopovým prostředím i jádra serverů.
- Nano servery se nepodporují.
- Instalace se podporují pro řadiče domény, službu AD FS a servery AD CS.
Starší operační systémy
Windows Server 2012 a Windows Server 2012 R2 dosáhly 10. října 2023 rozšířeného ukončení podpory.
Doporučujeme naplánovat upgrade těchto serverů, protože Microsoft už nepodporuje senzor Defenderu for Identity na zařízeních s Windows Server 2012 a Windows Server 2012 R2.
Senzory spuštěné v těchto operačních systémech budou dál hlásit službě Defender for Identity a dokonce dostávat aktualizace senzorů, ale některé nové funkce nebudou dostupné, protože můžou záviset na funkcích operačního systému.
Požadované porty
| Protocol (Protokol) | Přeprava | Port | Od | K |
|---|---|---|---|---|
| Internetové porty | ||||
|
SSL (*.atp.azure.com) Případně nakonfigurujte přístup prostřednictvím proxy serveru. |
TCP | 443 | Senzor Defenderu for Identity | Cloudová služba Defender for Identity |
| Interní porty | ||||
| DNS | TCP a UDP | 53 | Senzor Defenderu for Identity | Servery DNS |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Senzor Defenderu for Identity | Všechna zařízení v síti |
| POLOMĚR | Protokol udp | 1813 | POLOMĚR | Senzor Defenderu for Identity |
|
Porty localhost: Povinné pro aktualizátor služby senzoru Ve výchozím nastavení je provoz localhost na localhost povolený, pokud ho neblokují vlastní zásady brány firewall. |
||||
| SSL | TCP | 444 | Senzorová služba | Služba aktualizátoru senzorů |
|
Porty NNR (Network Name Resolution) Pokud chcete ip adresy přeložit na názvy počítačů, doporučujeme otevřít všechny uvedené porty. Vyžaduje se ale pouze jeden port. |
||||
| NTLM přes RPC | TCP | Port 135 | Senzor Defenderu for Identity | Všechna zařízení v síti |
| Rozhraní netbios | Protokol udp | 137 | Senzor Defenderu for Identity | Všechna zařízení v síti |
|
RDP Pouze první paket hello klienta se dotazuje serveru DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53). |
TCP | 3389 | Senzor Defenderu for Identity | Všechna zařízení v síti |
Pokud pracujete s více doménovými strukturami, ujistěte se, že jsou na každém počítači, na kterém je nainstalovaný senzor Defenderu for Identity, otevřené následující porty:
| Protocol (Protokol) | Přeprava | Port | Do/z | Směr |
|---|---|---|---|---|
| Internetové porty | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Cloudová služba Defender for Identity | Odchozí |
| Interní porty | ||||
| LDAP | TCP a UDP | 389 | Řadiče domény | Odchozí |
| Secure LDAP (LDAPS) | TCP | 636 | Řadiče domény | Odchozí |
| LDAP do globálního katalogu | TCP | 3268 | Řadiče domény | Odchozí |
| LDAPS do globálního katalogu | TCP | 3269 | Řadiče domény | Odchozí |
Požadavky na dynamickou paměť
Následující tabulka popisuje požadavky na paměť na serveru používaném pro senzor Defender for Identity v závislosti na typu virtualizace, kterou používáte:
| Virtuální počítač spuštěný na | Popis |
|---|---|
| Hyper-V | Ujistěte se, že pro virtuální počítač není povolená možnost Povolit dynamickou paměť . |
| VMware | Ujistěte se, že velikost nakonfigurované paměti a rezervované paměti jsou stejné, nebo v nastavení virtuálního počítače vyberte možnost Rezervovat veškerou paměť hosta (Vše uzamčeno). |
| Jiný hostitel virtualizace | Informace o tom, jak zajistit, aby se virtuálnímu počítači vždy plně přidělila paměť, najdete v dokumentaci dodané dodavatelem. |
Důležité
Při spuštění jako virtuálního počítače musí být virtuálnímu počítači vždy přidělena veškerá paměť.
Synchronizace času
Servery a řadiče domény, na které je senzor nainstalovaný, musí mít čas synchronizovaný mezi sebou do pěti minut.
Testování požadavků
Doporučujeme spustit skriptTest-MdiReadiness.ps1 , který otestuje a zkontroluje, jestli vaše prostředí splňuje nezbytné požadavky.
Odkaz na skriptTest-MdiReadiness.ps1 je k dispozici také v Microsoft Defender XDR na stránce Nástroje identit > (Preview).
Související obsah
Tento článek obsahuje seznam požadavků potřebných pro základní instalaci. Další požadavky jsou vyžadovány při instalaci na server SLUŽBY AD FS/ AD CS nebo Entra Connect, kvůli podpoře více doménových struktur služby Active Directory nebo při instalaci samostatného senzoru Defenderu for Identity.
Další informace najdete tady:
- Nasazení Microsoft Defender for Identity na servery AD FS a AD CS
- podpora Microsoft Defender for Identity více doménových struktur
- Microsoft Defender for Identity požadavky na samostatné senzory
- Architektura služby Defender for Identity