Microsoft Defender for Identity edellytykset
Tässä artikkelissa kuvataan käyttöönoton onnistuneen Microsoft Defender for Identity vaatimukset.
Käyttöoikeusvaatimukset
Defender for Identityn käyttöönotto edellyttää jotakin seuraavista Microsoft 365 -käyttöoikeuksista:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Arvopaperi
- Microsoft 365 F5 Security + yhteensopivuus*
- Itsenäinen Defender for Identity -käyttöoikeus
* Molemmat F5-käyttöoikeudet edellyttävät Microsoft 365 F1/F3:a tai Office 365 F3:a ja Enterprise Mobility + Security E3.
Hanki käyttöoikeuksia suoraan Microsoft 365 -portaalin kautta tai käytä pilviratkaisukumppanin (CSP) käyttöoikeusmallia.
Lisätietoja on artikkelissa Käyttöoikeuksien ja tietosuojan usein kysytyt kysymykset.
Vaaditut käyttöoikeudet
Jotta voit luoda Defender for Identity -työtilan, tarvitset Microsoft Entra ID -vuokraajan, jolla on vähintään yksi suojauksen järjestelmänvalvoja.
Tarvitset vähintään vuokraajan suojauksen järjestelmänvalvojan käyttöoikeuden, jotta voit käyttää Microsoft Defender XDR Asetukset -alueenKäyttäjätiedot-osaa ja luoda työtilan.
Lisätietoja on artikkelissa Microsoft Defender for Identity rooliryhmät.
Suosittelemme, että käytät vähintään yhtä hakemistopalvelun tiliä ja kaikkien valvotuissa toimialueissa olevien objektien lukuoikeutta. Lisätietoja on artikkelissa Hakemistopalvelun tilin määrittäminen Microsoft Defender for Identity varten.
Yhteysvaatimukset
Defender for Identity -tunnistimen on pystyttävä vaihtamaan tietoja Defender for Identity -pilvipalvelun kanssa jollakin seuraavista menetelmistä:
| Menetelmä | Kuvaus | Näkökohdat | Lisätietoja |
|---|---|---|---|
| Välityspalvelimen määrittäminen | Asiakkaat, joille on otettu käyttöön välityspalvelin, voivat hyödyntää välityspalvelinta tarjotakseen yhteyden MDI-pilvipalveluun. Jos valitset tämän vaihtoehdon, määrität välityspalvelimen myöhemmin käyttöönottoprosessissa. Välityspalvelinmäärityksiin kuuluu liikenteen salliminen tunnistimen URL-osoitteeseen ja Defender for Identityn URL-osoitteiden määrittäminen välityspalvelimen tai palomuurin käyttämiin eksplisiittisiin sallittujen luetteloon. |
Sallii yksittäisen URL-osoitteen käytön Internetiin SSL-tarkastusta ei tueta |
Päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Hiljaisen asennuksen suorittaminen välityspalvelimen määrityksillä |
| ExpressRoute | ExpressRoute voidaan määrittää välittää MDI-anturiliikenne asiakkaan pikareitin kautta. Jos haluat reitittää Defender for Identity -pilvipalvelimille tarkoitetun verkkoliikenteen, käytä ExpressRoute Microsoft -vertaisverkkoa ja lisää Microsoft Defender for Identity (12076:5220) -palvelun BGP-yhteisö reittisuodattimeen. |
Edellyttää ExpressRoutea | Palvelu BGP:lle -yhteisön arvo |
| Palomuuri, jossa käytetään Defender for Identityn AZUREn IP-osoitteita | Asiakkaat, joilla ei ole välityspalvelinta tai ExpressRoutea, voivat määrittää palomuurinsa MDI-pilvipalveluun määritetyillä IP-osoitteilla. Tämä edellyttää, että asiakas valvoo Azuren IP-osoiteluetteloa kaikkien MDI-pilvipalvelun käyttämien IP-osoitteiden muutosten osalta. Jos valitsit tämän vaihtoehdon, suosittelemme, että lataat Azure IP Ranges and Service Tags – Public Cloud - tiedoston ja lisäät tarvittavat IP-osoitteet Käyttämällä AzureAdvancedThreatProtection-palvelutunnistetta . |
Asiakkaan on valvottava Azuren IP-varausta | Näennäisverkkopalvelun tunnisteet |
Lisätietoja on kohdassa Microsoft Defender for Identity arkkitehtuuri.
Anturin vaatimukset ja suositukset
Seuraavassa taulukossa on yhteenveto toimialueen ohjauskoneen, AD FS:n, AD CS:n ja Entra Connectin palvelimen vaatimuksista ja suosituksista, johon asennat Defender for Identity -tunnistimen.
| Edellytys/suositus | Kuvaus |
|---|---|
| Eritelmät | Varmista, että asennat Defender for Identityn Windows-versioon 2016 tai uudempaan toimialueen ohjauspalvelimeen, jossa on vähintään: - 2 ydintä - 6 Gt RAM - tarvittava levytila 6 Gt, suositus on 10 Gt, mukaan lukien Defender for Identity -binaaritiedostoille ja lokeille tarkoitettu tila Defender for Identity tukee vain luku -toimialueen ohjauskoneita (RODC). |
| Suorituskyky | Saat optimaalisen suorituskyvyn määrittämällä Defender for Identity -tunnistinta suorittavan tietokoneen Power Option -asetukseksi Suuren suorituskyvyn. |
| Verkkoliittymän määritys | Jos käytät VMware-näennäiskoneita, varmista, että näennäiskoneen verkkotietokokoonpanossa on käytössä Suuri lähetyskuormitus (LSO). Lisätietoja on kohdassa VMware-näennäiskoneen tunnistimen ongelma . |
| Ylläpitoikkuna | On suositeltavaa ajoittaa toimialueen ohjauskoneiden ylläpitoikkuna. Uudelleenkäynnistys saattaa olla tarpeen, jos asennus ja uudelleenkäynnistys on jo kesken tai jos .NET Framework on asennettava. Jos .NET Framework versiota 4.7 tai uudempaa versiota ei vielä löydy järjestelmästä, .NET Framework versio 4.7 on asennettu ja se on ehkä käynnistettävä uudelleen. |
Käyttöjärjestelmän vähimmäisvaatimukset
Defender for Identity -tunnistimet voidaan asentaa seuraaviin käyttöjärjestelmiin:
- Windows Server 2016
-
Windows Server 2019. Edellyttää KB4487044 tai uudempaa kumulatiivista päivitystä. Ilman tätä päivitystä palvelimeen 2019 asennetut tunnistimet pysäytetään automaattisesti, jos
ntdsai.dlljärjestelmähakemistosta löytynyt tiedostoversio on vanhempithan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Kaikki käyttöjärjestelmät:
- Molempia palvelimia, joissa on työpöytäkokemus ja palvelinytimiä, tuetaan.
- Nanopalvelimia ei tueta.
- Asennuksia tuetaan toimialueen ohjauskoneissa, AD FS- ja AD CS -palvelimilla.
Vanhat käyttöjärjestelmät
Windows Server 2012 ja Windows Server 2012 R2:n tuki päättyi 10.10.2023.
Suosittelemme, että päivität nämä palvelimet, koska Microsoft ei enää tue Defender for Identity -tunnistinta laitteissa, joissa on Windows Server 2012 ja Windows Server 2012 R2.
Näissä käyttöjärjestelmissä käynnissä olevat tunnistimet raportoivat edelleen Defender for Identitylle ja saavat jopa anturipäivitykset, mutta osa uusista toiminnoista ei ole käytettävissä, koska ne saattavat luottaa käyttöjärjestelmän ominaisuuksiin.
Pakolliset portit
| Protocol (Protokolla) | Kuljetus | Port (Portti) | Lähettäjä | Vastaanottaja |
|---|---|---|---|---|
| Internet-portit | ||||
|
SSL (*.atp.azure.com) Vaihtoehtoisesti voit määrittää käyttöoikeuden välityspalvelimen kautta. |
TCP | 443 | Defender for Identity -tunnistin | Defender for Identity -pilvipalvelu |
| Sisäiset portit | ||||
| DNS | TCP ja UDP | 53 | Defender for Identity -tunnistin | DNS-palvelimet |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity -tunnistin | Kaikki verkon laitteet |
| SÄDE | UDP | 1813 | SÄDE | Defender for Identity -tunnistin |
|
Localhost-portit: Tarvitaan tunnistinpalvelun päivitystoimintoa varten Localhost to localhost -liikenne on oletusarvoisesti sallittu, ellei mukautettu palomuurikäytäntö estä sitä. |
||||
| SSL | TCP | 444 | Tunnistinpalvelu | Tunnistimen päivityspalvelu |
|
Verkkonimien ratkaisuportit (NNR) Jos haluat ratkaista IP-osoitteet tietokoneiden nimiin, suosittelemme avaamaan kaikki luetellut portit. Tarvitaan kuitenkin vain yksi portti. |
||||
| NTLM RPC:n yli | TCP | Sola 135 | Defender for Identity -tunnistin | Kaikki verkon laitteet |
| Netbios | UDP | 137 | Defender for Identity -tunnistin | Kaikki verkon laitteet |
|
RDP Vain ensimmäinen Asiakkaan hei -paketti lähettää DNS-palvelimelle käänteisen DNS-haun IP-osoitteesta (UDP 53) |
TCP | 3389 | Defender for Identity -tunnistin | Kaikki verkon laitteet |
Jos käsittelet useita metsiä, varmista, että seuraavat portit avataan missä tahansa koneessa, johon on asennettu Defender for Identity -tunnistin:
| Protocol (Protokolla) | Kuljetus | Portti | Kohteeseen tai lähettäjään | Suunta |
|---|---|---|---|---|
| Internet-portit | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity -pilvipalvelu | Lähtevä |
| Sisäiset portit | ||||
| LDAP | TCP ja UDP | 389 | Toimialueen ohjauskoneet | Lähtevä |
| Suojattu LDAP (LDAPS) | TCP | 636 | Toimialueen ohjauskoneet | Lähtevä |
| LDAP yleiseen luetteloon | TCP | 3268 | Toimialueen ohjauskoneet | Lähtevä |
| LDAPS yleiseen luetteloon | TCP | 3269 | Toimialueen ohjauskoneet | Lähtevä |
Dynaamiset muistivaatimukset
Seuraavassa taulukossa kuvataan defender for Identity -tunnistimen käyttämän palvelimen muistivaatimukset käyttämäsi virtualisoinnin tyypin mukaan:
| Näennäiskone käynnissä | Kuvaus |
|---|---|
| Hyper-V | Varmista, että Ota käyttöön dynaaminen muisti ei ole käytössä näennäiskoneessa. |
| VMware | Varmista, että määritetty muistin määrä ja varattu muisti ovat samat, tai valitse Näennäiskoneen asetuksissa Varaa kaikki vierasmuisti (kaikki lukittu). |
| Muu virtualisoinnin isäntä | Katso toimittajan toimittamasta dokumentaatiosta, miten voit varmistaa, että muisti on aina kohdistettu täysin näennäiskoneeseen. |
Tärkeää
Näennäiskoneena suoritettavana kaikki muisti on aina kohdistettava näennäiskoneelle.
Ajan synkronointi
Palvelimilla ja toimialueen ohjauskoneilla, joihin tunnistin on asennettu, on oltava synkronoitu aika viiden minuutin kuluessa toisistaan.
Testaa edellytykset
Suosittelemme, että suoritat Test-MdiReadiness.ps1-komentosarjan , jotta voit testata, onko ympäristössäsi tarvittavat edellytykset.
linkkiTest-MdiReadiness.ps1-komentosarjaan on käytettävissä myös Microsoft Defender XDR Käyttäjätiedot-työkalut-sivulla > (esikatselu).
Aiheeseen liittyvä sisältö
Tässä artikkelissa luetellaan perusasennuksen edellyttämät edellytykset. Lisäedellytyksiä tarvitaan asennettaessa AD FS / AD CS -palvelimeen tai Entra Connectiin, tuettaessa useita Active Directory -metsätiloja tai asennettaessa itsenäistä Defender for Identity -tunnistinta.
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Defender for Identity käyttöönotto AD FS- ja AD CS -palvelimilla
- Microsoft Defender for Identity usean metsän tuki
- Microsoft Defender for Identity erillisen tunnistimen edellytykset
- Defender for Identity -arkkitehtuuri