Voraussetzungen für Microsoft Defender for Identity
In diesem Artikel werden die Anforderungen für eine erfolgreiche Microsoft Defender for Identity-Bereitstellung beschrieben.
Lizenzierungsanforderungen
Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicherheit
- Microsoft 365 F5 Security + Compliance*
- Eine eigenständige Defender for Identity-Lizenz
* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.
Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal , oder verwenden Sie das CSP-Lizenzierungsmodell (Cloud Solution Partner).
Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Lizenzierung und Datenschutz.
Erforderliche Berechtigungen
Zum Erstellen Ihres Defender for Identity-Arbeitsbereichs benötigen Sie einen Microsoft Entra ID Mandanten mit mindestens einem Sicherheitsadministrator.
Sie benötigen mindestens Sicherheitsadministratorzugriff auf Ihren Mandanten, um auf den Abschnitt Identitätdes Bereichs einstellungen Microsoft Defender XDR zugreifen und den Arbeitsbereich erstellen zu können.
Weitere Informationen finden Sie unter Microsoft Defender for Identity Rollengruppen.
Es wird empfohlen, mindestens ein Verzeichnisdienstkonto mit Lesezugriff auf alle Objekte in den überwachten Domänen zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Verzeichnisdienstkontos für Microsoft Defender for Identity.
Konnektivitätsanforderungen
Der Defender for Identity-Sensor muss mithilfe einer der folgenden Methoden mit dem Defender for Identity-Clouddienst kommunizieren können:
| Methode | Beschreibung | Überlegungen | Weitere Informationen |
|---|---|---|---|
| Einrichten eines Proxys | Kunden, die einen Vorwärtsproxy bereitgestellt haben, können den Proxy nutzen, um Konnektivität mit dem MDI-Clouddienst bereitzustellen. Wenn Sie diese Option auswählen, konfigurieren Sie Ihren Proxy später im Bereitstellungsprozess. Proxykonfigurationen umfassen das Zulassen von Datenverkehr zur Sensor-URL und das Konfigurieren von Defender for Identity-URLs für alle expliziten Zulassungslisten, die von Ihrem Proxy oder Ihrer Firewall verwendet werden. |
Ermöglicht den Zugriff auf das Internet für eine einzelne URL SSL-Überprüfung wird nicht unterstützt |
Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen Ausführen einer automatischen Installation mit einer Proxykonfiguration |
| ExpressRoute | ExpressRoute kann so konfiguriert werden, dass MDI-Sensordatenverkehr über die Expressroute des Kunden weitergeleitet wird. Um Netzwerkdatenverkehr an die Defender for Identity-Cloudserver weiterzuleiten, verwenden Sie ExpressRoute-Microsoft-Peering, und fügen Sie ihrem Routenfilter die BGP-Community des Microsoft Defender for Identity (12076:5220)-Diensts hinzu. |
Erfordert ExpressRoute | Service to BGP community value |
| Firewall unter Verwendung der Azure-IP-Adressen von Defender for Identity | Kunden ohne Proxy oder ExpressRoute können ihre Firewall mit den IP-Adressen konfigurieren, die dem MDI-Clouddienst zugewiesen sind. Dies erfordert, dass der Kunde die Azure-IP-Adressliste auf Änderungen an den IP-Adressen überwacht, die vom MDI-Clouddienst verwendet werden. Wenn Sie diese Option ausgewählt haben, empfehlen wir Ihnen, die Datei Azure-IP-Adressbereiche und Diensttags – Öffentliche Cloud herunterzuladen und das Diensttag AzureAdvancedThreatProtection zu verwenden, um die relevanten IP-Adressen hinzuzufügen. |
Der Kunde muss Azure-IP-Zuweisungen überwachen. | Diensttags für virtuelle Netzwerke |
Weitere Informationen finden Sie unter Microsoft Defender for Identity Architektur.
Sensoranforderungen und -empfehlungen
In der folgenden Tabelle sind die Anforderungen und Empfehlungen für den Domänencontroller, AD FS, AD CS und Entra Connect-Server zusammengefasst, auf dem Sie den Defender for Identity-Sensor installieren.
| Voraussetzung/Empfehlung | Beschreibung |
|---|---|
| Spezifikationen | Stellen Sie sicher, dass Sie Defender for Identity unter Windows Version 2016 oder höher auf einem Domänencontrollerserver mit mindestens folgenden Mindestanforderungen installieren: - 2 Kerne – 6 GB RAM – 6 GB erforderlicher Speicherplatz, 10 GB empfohlen, einschließlich Speicherplatz für Defender for Identity-Binärdateien und Protokolle Defender for Identity unterstützt schreibgeschützte Domänencontroller (RODC). |
| Leistung | Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hohe Leistung fest. |
| Konfiguration der Netzwerkschnittstelle | Wenn Sie virtuelle VMware-Computer verwenden, stellen Sie sicher, dass für die NIC-Konfiguration des virtuellen Computers große Sendeabladung (Large Send Offload, LSO) deaktiviert ist. Weitere Informationen finden Sie unter Problem mit dem VMware-VM-Sensor . |
| Wartungsfenster | Es wird empfohlen, ein Wartungsfenster für Ihre Domänencontroller zu planen, da möglicherweise ein Neustart erforderlich ist, wenn die Installation ausgeführt wird und ein Neustart bereits aussteht oder wenn .NET Framework installiert werden muss. Wenn .NET Framework Version 4.7 oder höher noch nicht auf dem System gefunden wurde, ist .NET Framework Version 4.7 installiert und erfordert möglicherweise einen Neustart. |
Mindestanforderungen an das Betriebssystem
Defender for Identity-Sensoren können unter den folgenden Betriebssystemen installiert werden:
- Windows Server 2016
-
Windows Server 2019. Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die ohne dieses Update auf Server 2019 installiert sind, werden automatisch beendet, wenn die
ntdsai.dllim Systemverzeichnis gefundene Dateiversion älter ist.than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Für alle Betriebssysteme:
- Sowohl Server mit Desktoperfahrung als auch Serverkerne werden unterstützt.
- Nano-Server werden nicht unterstützt.
- Installationen werden für Domänencontroller, AD FS- und AD CS-Server unterstützt.
Legacybetriebssysteme
Windows Server 2012 und Windows Server 2012 R2 haben am 10. Oktober 2023 das verlängerte Supportende erreicht.
Es wird empfohlen, dass Sie ein Upgrade dieser Server planen, da Microsoft den Defender for Identity-Sensor auf Geräten, auf denen Windows Server 2012 und Windows Server 2012 R2 ausgeführt wird, nicht mehr unterstützt.
Sensoren, die auf diesen Betriebssystemen ausgeführt werden, melden weiterhin Defender for Identity und erhalten sogar die Sensorupdates, aber einige der neuen Funktionen sind nicht verfügbar, da sie möglicherweise auf Betriebssystemfunktionen angewiesen sind.
Erforderliche Ports
| Protocol | Transport | Port | From | An |
|---|---|---|---|---|
| Internetports | ||||
|
SSL (*.atp.azure.com) Alternativ können Sie den Zugriff über einen Proxy konfigurieren. |
TCP | 443 | Defender for Identity-Sensor | Defender for Identity-Clouddienst |
| Interne Ports | ||||
| DNS | TCP und UDP | 53 | Defender for Identity-Sensor | DNS-Server |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity-Sensor |
|
Localhost-Ports: Erforderlich für den Sensordienst-Updater Standardmäßig ist localhost to localhost-Datenverkehr zulässig, es sei denn, eine benutzerdefinierte Firewallrichtlinie blockiert ihn. |
||||
| SSL | TCP | 444 | Sensordienst | Sensorupdatedienst |
|
NNR-Ports (Network Name Resolution, Netzwerknamenauflösung) Um IP-Adressen in Computernamen aufzulösen, empfehlen wir, alle aufgeführten Ports zu öffnen. Es ist jedoch nur ein Port erforderlich. |
||||
| NTLM über RPC | TCP | Port 135 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
| NetBIOS | UDP | 137 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
|
RDP Nur das erste Paket von Client hello fragt den DNS-Server mithilfe von Reverse-DNS-Lookup der IP-Adresse (UDP 53) ab. |
TCP | 3389 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
Wenn Sie mit mehreren Gesamtstrukturen arbeiten, stellen Sie sicher, dass die folgenden Ports auf jedem Computer geöffnet sind, auf dem ein Defender for Identity-Sensor installiert ist:
| Protokoll | Transport | Port | An/Von | Richtung |
|---|---|---|---|---|
| Internetports | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-Clouddienst | Ausgehend |
| Interne Ports | ||||
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Secure LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
Anforderungen an dynamischen Arbeitsspeicher
In der folgenden Tabelle werden die Arbeitsspeicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art der Virtualisierung Sie verwenden:
| VIRTUELLER Computer, der auf ausgeführt wird | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| VMware | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie in den VM-Einstellungen die Option Alle Gastspeicher reservieren (Alle gesperrt) aus. |
| Anderer Virtualisierungshost | In der vom Hersteller bereitgestellten Dokumentation erfahren Sie, wie Sie sicherstellen können, dass der vm jederzeit vollständig Arbeitsspeicher zugeordnet ist. |
Wichtig
Bei der Ausführung als virtueller Computer muss dem virtuellen Computer jederzeit der gesamte Arbeitsspeicher zugeordnet werden.
Zeitsynchronisierung
Die Server und Domänencontroller, auf denen der Sensor installiert ist, müssen innerhalb von fünf Minuten mit der Zeit synchronisiert werden.
Testen Der Voraussetzungen
Es wird empfohlen, das Test-MdiReadiness.ps1 Skript auszuführen, um zu testen, ob Ihre Umgebung die erforderlichen Voraussetzungen erfüllt.
Der Link zum Test-MdiReadiness.ps1-Skript ist auch auf Microsoft Defender XDR auf der Seite Identitätstools > (Vorschau) verfügbar.
Verwandte Inhalte
In diesem Artikel werden die Voraussetzungen aufgeführt, die für eine einfache Installation erforderlich sind. Zusätzliche Voraussetzungen sind erforderlich, wenn Sie auf einem AD FS/AD CS-Server oder Entra Connect installieren, um mehrere Active Directory-Gesamtstrukturen zu unterstützen, oder wenn Sie einen eigenständigen Defender for Identity-Sensor installieren.
Weitere Informationen finden Sie unter:
- Bereitstellen von Microsoft Defender for Identity auf AD FS- und AD CS-Servern
- unterstützung für Microsoft Defender for Identity mehrerer Gesamtstrukturen
- Voraussetzungen für Microsoft Defender for Identity eigenständigen Sensor
- Defender for Identity-Architektur