Pika-asennusopas

Tässä artikkelissa esitellään vaiheet, joita tarvitaan asennettaessa Microsoft Defender for Identity tunnistimia Active Directory-, Active Directory -liittoutumispalvelut (AD FS) - tai Active Directory Certification Services (AD CS) -palvelimiin. Tarkempia ohjeita on artikkelissa Microsoft Defender for Identity käyttöönotto Microsoft Defender XDR kanssa.

Katso seuraavasta videosta vaiheittainen esittely ja tietoja seuraavista:

• Defender for Identity -tunnistimien asentamisen tärkeys organisaation suojaamiseksi käyttäjätietoihin perustuvilta hyökkäyksiltä
• Tunnistimen lataaminen ja asentaminen
• Mahdollisten tunnistimen ja kokoonpanon kunto-ongelmien löytäminen
• Käyttäjätietoihin liittyvien asentoarviointien tarkasteleminen Microsoft secure Score -pisteiden avulla

Ennakkovaatimukset

Tässä osiossa luetellaan edellytykset, joita tarvitaan ennen Defender for Identity -tunnistimen asentamista, mukaan lukien:

• Käyttöoikeudet
• Käyttöoikeudet
• Järjestelmävaatimukset
• Suosituksia parhaille käytännöille

Jokainen Defender for Identity -työtila tukee useita Active Directory -toimialuepuuryhmän rajoja ja toimialuepuuryhmän toiminnallista tasoa (FFL) Windows 2003:ssa ja sitä uudemmilla versioissa.

Käyttöoikeusvaatimukset

Varmista, että sinulla on jokin seuraavista käyttöoikeuksista:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* Arvopaperi
• Microsoft 365 F5 Security + yhteensopivuus*
• Itsenäinen Defender for Identity -käyttöoikeus

* Molemmat F5-käyttöoikeudet edellyttävät Microsoft 365 F1/F3:a tai Office 365 F3:a ja Enterprise Mobility + Security E3.

Hanki käyttöoikeuksia suoraan Microsoft 365 -portaalin kautta tai käytä pilviratkaisukumppanin (CSP) käyttöoikeusmallia.

Lisätietoja on artikkelissa Käyttöoikeuksien ja tietosuojan usein kysytyt kysymykset.

Vaaditut käyttöoikeudet

Jotta voit luoda Defender for Identity -työtilan, tarvitset Microsoft Entra ID -vuokraajan, jolla on vähintään yksi suojauksen järjestelmänvalvoja.

Tarvitset vähintään vuokraajan suojauksen järjestelmänvalvojan käyttöoikeuden, jotta voit käyttää Microsoft Defender XDR Asetukset -alueenKäyttäjätiedot-osaa ja luoda työtilan.

Lisätietoja on artikkelissa Microsoft Defender for Identity rooliryhmät.

Järjestelmän vähimmäisvaatimukset

Tässä osiossa kuvataan Käyttöjärjestelmät, joita tuetaan Defender for Identity sensor -asennuksille. Defender for Identity -tunnistimen asentaminen edellyttää, että toimialueen ohjauskoneeseen on asennettu vähintään 2 ydintä, 6 Gt RAM-muistia ja 6 Gt levytilaa.

Kun näennäiskoneena suoritetaan, kaikki muisti on aina kohdistettava näennäiskoneelle. Lisätietoja on artikkelissa Microsoft Defender for Identity käyttöönoton kapasiteetin suunnitteleminen.

Defender for Identity -tunnistimet voidaan asentaa seuraaviin käyttöjärjestelmiin:

• Windows Server 2016
• Windows Server 2019. Edellyttää KB4487044 tai uudempaa kumulatiivista päivitystä. Ilman tätä päivitystä palvelimeen 2019 asennetut tunnistimet pysäytetään automaattisesti, jos ntdsai.dll järjestelmähakemistosta löytynyt tiedostoversio on vanhempi than 10.0.17763.316
• Windows Server 2022
• Windows Server 2025

Kaikki käyttöjärjestelmät:

• Molempia palvelimia, joissa on työpöytäkokemus ja palvelinytimiä, tuetaan.
• Nanopalvelimia ei tueta.
• Asennuksia tuetaan toimialueen ohjauskoneissa, AD FS- ja AD CS -palvelimilla.

Tarkista verkkoyhteys

Varmista, että palvelimet, joihin aiot asentaa Defender for Identity -tunnistimet, voivat tavoittaa Defender for Identity -pilvipalvelun. Kokeile käyttää kutakin palvelinta: https://*your-workspace-name*sensorapi.atp.azure.com.

• Saat työtilasi nimen portaalin Tietoja-sivulta .
• Katso välityspalvelimen määritykset kohdasta Päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen.

Ajoita ylläpitoikkuna (valinnainen)

Jos asennuksen aikana ei ole asennettu .NET Framework 4.7 tai uudempi, .NET Framework 4.7 asennetaan ja palvelin on ehkä käynnistettävä uudelleen. Uudelleenkäynnistys saattaa olla tarpeen myös, jos uudelleenkäynnistystä odotetaan jo.

Kun asennat tunnistimia, harkitse toimialueen ohjauskoneiden ylläpitoikkunan ajoittamista.

Asenna Defender for Identity

Tässä ohjeessa kuvataan, miten Defender for Identity -tunnistin asennetaan Windows-palvelimen versioon 2016 tai uudempaan. Varmista, että palvelimessa on järjestelmän vähimmäisvaatimukset.

Huomautus

Defender for Identity -tunnistimet tulee asentaa kaikkiin toimialueen ohjauskoneisiin, myös vain luku -toimialueen ohjauskoneisiin (RODC). Jos olet asentamassa AD FS - tai AD CS -klusteriin tai -klusteriin, suosittelemme tunnistimen asentamista kuhunkin AD FS / AD CS -palvelimeen.

Tunnistimen lataaminen ja asentaminen:

1. Lataa Defender for Identity -tunnistin Microsoft Defender portaalista.

2. Selaa kohtaan Järjestelmäasetukset>>Käyttäjätiedot>AnturitLisää tunnistin>

3. Valitse Lataa asennusohjelma ja tallenna tiedosto sijaintiin, jota voit käyttää toimialueen ohjauskoneessa.

4. Kopioi Access-avaimen arvo, joka tarvitaan asennusta varten.

   Vihje

   Sinun tarvitsee ladata asennusohjelma vain kerran, koska sitä voidaan käyttää vuokraajan jokaisessa palvelimessa. Varmista, että mikään ponnahdusikkunointien estotoiminto ei estä latausta.

5. Suorita toimialueen ohjauskoneessa asennusohjelma, jonka latasit Microsoft Defender XDR ja noudata näytön ohjeita.

Seuraavat vaiheet

Täydelliset asennusohjeet ja lisätietoja on artikkelissa Microsoft Defender for Identity käyttöönotto Microsoft Defender XDR kanssa. Jos esimerkiksi haluat ottaa käyttöön useita toimialueen ohjauskoneita, suosittelemme, että käytät sen sijaan hiljaista asennusta .