Microsoft Defender for Identity forudsætninger
I denne artikel beskrives kravene til en vellykket Microsoft Defender for Identity installation.
Licenskrav
Installation af Defender for Identity kræver en af følgende Microsoft 365-licenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sikkerhed
- Microsoft 365 F5 Security + Compliance*
- En separat licens til Defender for Identity
* Begge F5-licenser kræver Microsoft 365 F1/F3 eller Office 365 F3 og Enterprise Mobility + Security E3.
Hent licenser direkte via Microsoft 365-portalen , eller brug CSP-licensmodellen (Cloud Solution Partner).
Du kan få flere oplysninger under Ofte stillede spørgsmål om licenser og beskyttelse af personlige oplysninger.
Påkrævede tilladelser
Hvis du vil oprette arbejdsområdet Defender for Identity, skal du have en Microsoft Entra ID lejer med mindst én sikkerhedsadministrator.
Du skal som minimum have sikkerhedsadministratoradgang på din lejer for at få adgang til sektionen Identitet i området Microsoft Defender XDR Indstillinger og oprette arbejdsområdet.
Du kan få flere oplysninger under Microsoft Defender for Identity rollegrupper.
Vi anbefaler, at du bruger mindst én Directory Service-konto med læseadgang til alle objekter i de overvågede domæner. Du kan få flere oplysninger under Konfigurer en katalogtjenestekonto til Microsoft Defender for Identity.
Forbindelseskrav
Defender for Identity-sensoren skal kunne kommunikere med cloudtjenesten Defender for Identity ved hjælp af en af følgende metoder:
| Metode | Beskrivelse | Overvejelser | Lær mere |
|---|---|---|---|
| Konfigurer en proxy | Kunder, der har installeret en fremadrettet proxy, kan drage fordel af proxyen til at oprette forbindelse til MDI-cloudtjenesten. Hvis du vælger denne indstilling, skal du konfigurere din proxy senere i installationsprocessen. Proxykonfigurationer omfatter tilladelse af trafik til sensorens URL-adresse og konfiguration af Defender for Identity URL-adresser til alle eksplicitte allowlists, der bruges af din proxy eller firewall. |
Giver adgang til internettet for en enkelt URL-adresse SSL-inspektion understøttes ikke |
Konfigurer indstillinger for slutpunktsproxy og internetforbindelse Kør en uovervåget installation med en proxykonfiguration |
| ExpressRoute | ExpressRoute kan konfigureres til at videresende MDI-sensortrafik via kundens ekspresrute. Hvis du vil dirigere netværkstrafik, der er bestemt til Defender for Identity-cloudservere, skal du bruge ExpressRoute Microsoft-peering og føje BGP-community'et for Microsoft Defender for Identity (12076:5220) til dit rutefilter. |
Kræver ExpressRoute | Tjeneste til BGP-communityværdi |
| Firewall ved hjælp af Azure-IP-adresserne til Defender for Identity | Kunder, der ikke har en proxy eller ExpressRoute, kan konfigurere deres firewall med de IP-adresser, der er tildelt MDI-cloudtjenesten. Dette kræver, at kunden overvåger Azure IP-adresselisten for eventuelle ændringer i de IP-adresser, der bruges af MDI-cloudtjenesten. Hvis du vælger denne indstilling, anbefaler vi, at du downloader Azure IP Ranges and Service Tags – Public Cloud-filen og bruger tjenestekoden AzureAdvancedThreatProtection til at tilføje de relevante IP-adresser. |
Kunden skal overvåge Azure IP-tildelinger | Mærker for virtuelle netværkstjeneste |
Du kan få flere oplysninger under Microsoft Defender for Identity arkitektur.
Sensorkrav og -anbefalinger
I følgende tabel opsummeres krav og anbefalinger for domænecontrolleren, AD FS, AD CS, Entra Connect-serveren, hvor du installerer Defender for Identity-sensoren.
| Forudsætning/anbefaling | Beskrivelse |
|---|---|
| Specifikationer | Sørg for at installere Defender for Identity på Windows version 2016 eller nyere på en domænecontrollerserver med mindst: - 2 kerner - 6 GB RAM - 6 GB diskplads kræves, 10 GB anbefales, herunder plads til Defender for Identity binaries og logfiler Defender for Identity understøtter skrivebeskyttede domænecontrollere (RODC). |
| Præstation | Du opnår optimal ydeevne ved at indstille Power Option for den maskine, der kører Defender for Identity-sensoren, til Høj ydeevne. |
| Konfiguration af netværksgrænseflade | Hvis du bruger virtuelle VMware-maskiner, skal du kontrollere, at NIC-konfigurationen for den virtuelle maskine har LSO (Large Send Offload) deaktiveret. Du kan finde flere oplysninger under Problemer med VMware-sensor til virtuelle maskiner . |
| Vedligeholdelsesvindue | Vi anbefaler, at du planlægger et vedligeholdelsesvindue for dine domænecontrollere, da det kan være nødvendigt at genstarte, hvis installationen kører, og en genstart allerede venter, eller hvis .NET Framework skal installeres. Hvis .NET Framework version 4.7 eller nyere ikke allerede findes på systemet, er .NET Framework version 4.7 installeret og kan kræve genstart. |
Minimumkrav til operativsystem
Defender for Identity-sensorer kan installeres på følgende operativsystemer:
- Windows Server 2016
-
Windows Server 2019. Kræver KB4487044 eller en nyere kumulativ opdatering. Sensorer, der er installeret på Server 2019 uden denne opdatering, stoppes automatisk, hvis den
ntdsai.dllfilversion, der findes i systemmappen, er ældrethan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
For alle operativsystemer:
- Begge servere med skrivebordsoplevelse og serverkerner understøttes.
- Nano-servere understøttes ikke.
- Installationer understøttes for domænecontrollere, AD FS- og AD CS-servere.
Ældre operativsystemer
Windows Server 2012 og Windows Server 2012 R2 nåede forlænget ophør af support den 10. oktober 2023.
Vi anbefaler, at du planlægger at opgradere disse servere, da Microsoft ikke længere understøtter Defender for Identity-sensoren på enheder, der kører Windows Server 2012 og Windows Server 2012 R2.
Sensorer, der kører på disse operativsystemer, vil fortsat rapportere til Defender for Identity og endda modtage sensoropdateringer, men nogle af de nye funktioner vil ikke være tilgængelige, da de muligvis er afhængige af operativsystemets funktioner.
Påkrævede porte
| Protokol | Transport | Havn | Fra | Til |
|---|---|---|---|---|
| Internetporte | ||||
|
SSL (*.atp.azure.com) Du kan også konfigurere adgang via en proxy. |
TCP | 443 | Defender for Identity-sensor | Defender for Identity-cloudtjeneste |
| Interne porte | ||||
| DNS | TCP og UDP | 53 | Defender for Identity-sensor | DNS-servere |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-sensor | Alle enheder på netværket |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity-sensor |
|
Localhost-porte: Påkrævet til opdatering af sensortjenesten Localhost til localhost-trafik er som standard tilladt, medmindre en brugerdefineret firewallpolitik blokerer den. |
||||
| SSL | TCP | 444 | Sensortjeneste | Sensoropdateringstjeneste |
|
NNR-porte (Network Name Resolution) Hvis du vil oversætte IP-adresser til computernavne, anbefaler vi, at du åbner alle de viste porte. Der kræves dog kun én port. |
||||
| NTLM via RPC | TCP | Port 135 | Defender for Identity-sensor | Alle enheder på netværket |
| NetBIOS | UDP | 137 | Defender for Identity-sensor | Alle enheder på netværket |
|
RDP Det er kun den første pakke med Client Hello , der forespørger DNS-serveren ved hjælp af omvendt DNS-opslag for IP-adressen (UDP 53) |
TCP | 3389 | Defender for Identity-sensor | Alle enheder på netværket |
Hvis du arbejder med flere områder, skal du sørge for, at følgende porte er åbnet på alle computere, hvor der er installeret en Defender for Identity-sensor:
| Protokol | Transport | Havn | Til/fra | Retning |
|---|---|---|---|---|
| Internetporte | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-cloudtjeneste | Udgående |
| Interne porte | ||||
| LDAP | TCP og UDP | 389 | Domænecontrollere | Udgående |
| Sikker LDAP (LDAPS) | TCP | 636 | Domænecontrollere | Udgående |
| LDAP til globalt katalog | TCP | 3268 | Domænecontrollere | Udgående |
| LDAPS til globalt katalog | TCP | 3269 | Domænecontrollere | Udgående |
Krav til dynamisk hukommelse
I følgende tabel beskrives hukommelseskravene på den server, der bruges til Defender for Identity-sensoren, afhængigt af den type virtualisering, du bruger:
| VM, der kører på | Beskrivelse |
|---|---|
| Hyper-V | Sørg for, at Aktivér dynamisk hukommelse ikke er aktiveret for vm'en. |
| VMware | Kontrollér, at mængden af hukommelse, der er konfigureret, og den reserverede hukommelse er den samme, eller vælg indstillingen Reserve all guest memory (All locked) under VM-indstillingerne. |
| Anden virtualiseringsvært | Se dokumentationen fra leverandøren for at få oplysninger om, hvordan du sikrer, at der hele tiden allokeres fuld hukommelse til vm'en. |
Vigtigt!
Når du kører som en virtuel maskine, skal al hukommelse altid allokeres til den virtuelle maskine.
Tidssynkronisering
De servere og domænecontrollere, som sensoren er installeret på, skal have tid synkroniseret til inden for fem minutter fra hinanden.
Test dine forudsætninger
Vi anbefaler, at du kører Test-MdiReadiness.ps1 scriptet for at teste og se, om dit miljø har de nødvendige forudsætninger.
Linket til Test-MdiReadiness.ps1 scriptet er også tilgængeligt fra Microsoft Defender XDR på siden Identitetsværktøjer > (prøveversion).
Relateret indhold
I denne artikel vises de forudsætninger, der kræves til en grundlæggende installation. Der kræves yderligere forudsætninger, når du installerer på en AD FS/AD CS-server eller Entra Connect, for at understøtte flere Active Directory-områder, eller når du installerer en separat Defender for Identity-sensor.
Du kan finde flere oplysninger under:
- Udrulning af Microsoft Defender for Identity på AD FS- og AD CS-servere
- Microsoft Defender for Identity støtte til flere skovområder
- Microsoft Defender for Identity enkeltstående sensorforudsætningerne
- Defender for Identity-arkitektur