Installer un capteur Microsoft Defender pour Identity

Cet article explique comment installer un capteur Microsoft Defender pour Identity, y compris un capteur autonome. La recommandation par défaut est d’utiliser l’interface utilisateur. Toutefois:

• Lorsque vous installez le capteur sur Windows Server Core, ou pour déployer le capteur via un système de déploiement logiciel, suivez plutôt les étapes pour une installation sans assistance.

• Si vous utilisez un proxy, nous vous recommandons d’installer le capteur et de configurer votre proxy ensemble à partir de la ligne de commande. Si vous devez mettre à jour vos paramètres de proxy ultérieurement, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Configurer les paramètres de proxy de point de terminaison et de connectivité Internet.

Configuration requise

Avant de commencer, vérifiez que vous disposez des points suivants :

• Une copie téléchargée de votre package d’installation du capteur Defender pour Identity et de la clé d’accès.

• Microsoft .NET Framework 4.7 ou version ultérieure installé sur l’ordinateur. Si Microsoft .NET Framework 4.7 ou version ultérieure n’est pas installé, le package d’installation du capteur Defender pour Identity l’installe. L’installation à partir du package d’installation peut nécessiter un redémarrage du serveur.

• Spécifications de serveur pertinentes et configuration réseau requise. Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Conditions préalables de Microsoft Defender pour Identity
  • Configurer des capteurs pour AD FS, AD CS et Microsoft Entra Connect
  • Microsoft Defender pour Identity composants requis pour les capteurs autonomes

• Certificats racines approuvés sur votre ordinateur. Si vos certificats signés par l’autorité de certification racine de confiance sont manquants, vous pouvez recevoir une erreur de connexion.

Installer le capteur à l’aide de l’interface utilisateur

Effectuez les étapes suivantes sur le contrôleur de domaine, le serveur Services ADFS (AD FS) ou le serveur des services de certificats Active Directory (AD CS).

1. Vérifiez que la machine dispose d’une connectivité aux points de terminaison de service cloud Defender pour Identity appropriés.

2. Extrayez les fichiers d’installation du fichier .zip. L’installation directe à partir du fichier .zip échoue.

3. Exécutez le capteur Azure ATP setup.exe avec des privilèges élevés (Exécuter en tant qu’administrateur) et suivez l’Assistant d’installation.

4. Dans la page Bienvenue , sélectionnez votre langue, puis sélectionnez Suivant.

   

   L’Assistant Installation vérifie automatiquement si le serveur est un contrôleur de domaine, un serveur AD FS, un serveur AD CS ou un serveur dédié. Le type de serveur détermine le type de capteur :

   • Si le serveur est un contrôleur de domaine, un serveur AD FS ou un serveur AD CS, le capteur Defender pour Identity est installé.
   • Si le serveur est dédié, le capteur autonome Defender pour Identity est installé.

   Par exemple, l’Assistant affiche la page suivante pour indiquer qu’un capteur Defender pour Identity est installé sur les contrôleurs de domaine.

   

5. Sélectionnez Suivant.

   L’Assistant émet un avertissement si le contrôleur de domaine, le serveur AD FS, le serveur AD CS ou le serveur dédié ne répond pas à la configuration matérielle minimale requise pour l’installation.

   L’avertissement ne vous empêche pas de sélectionner Suivant et de poursuivre l’installation, ce qui peut toujours être la bonne option. Par exemple, vous avez besoin de moins d’espace pour le stockage des données lorsque vous installez un petit environnement de test lab.

   Pour les environnements de production, nous vous recommandons vivement d’utiliser l’outil de dimensionnement Defender pour Identity pour vous assurer que vos contrôleurs de domaine ou serveurs dédiés répondent aux exigences de capacité.

6. Dans la page Configurer le capteur , entrez les informations suivantes pour le package d’installation :

   • Chemin d’installation : emplacement où le capteur Defender pour Identity est installé. Par défaut, le chemin d’accès est %programfiles%\Azure Advanced Threat Protection sensor. Gardez la valeur par défaut.
   • Clé d’accès : récupérée à partir du portail Microsoft Defender à l’étape précédente.

   

7. Sélectionnez Installer. Les composants suivants sont installés et configurés lors de l’installation du capteur Defender pour Identity :

   • Service de capteur Defender pour Identity et service de mise à jour de capteur Defender pour Identity

   • Npcap OEM version 1.0

     Importante

     Npcap OEM version 1.0 est automatiquement installé si aucune autre version de Npcap n’est présente. Si Npcap est déjà installé en raison d’une autre configuration logicielle requise ou pour toute autre raison, vérifiez qu’il s’agit de la version 1.0 ou ultérieure et qu’il dispose des paramètres requis pour Defender pour Identity.

Affichage des versions des capteurs

À compter de la version 2.176 du capteur, lorsque vous installez le capteur à partir d’un nouveau package, la version sous Ajout/Suppression de programmes s’affiche avec le nombre complet, par exemple 2.176.x.y. Auparavant, la version était statique 2.0.0.0.

La version installée continue d’apparaître même après l’exécution des mises à jour automatiques par les services cloud Defender pour Identity.

Affichez la version réelle du capteur dans la page des paramètres du capteur Microsoft Defender XDR, dans le chemin d’accès exécutable ou dans la version du fichier.

Effectuer une installation sans assistance de Defender pour Identity

L’installation silencieuse de Defender pour Identity pour les capteurs est configurée pour redémarrer automatiquement le serveur à la fin de l’installation, si nécessaire.

Planifiez une installation silencieuse uniquement pendant une fenêtre de maintenance. En raison d’un bogue Windows Installer, vous ne pouvez pas utiliser de manière fiable l’indicateur norestart pour vous assurer que le serveur ne redémarre pas.

Pour suivre la progression de votre déploiement, surveillez les journaux du programme d’installation de Defender pour Identity dans %localappdata%\Temp.

Installation silencieuse via un système de déploiement

Lorsque vous déployez en mode silencieux un capteur Defender pour Identity via System Center Configuration Manager ou un autre système de déploiement logiciel, nous vous recommandons de créer deux packages de déploiement :

• .NET Framework 4.7 ou version ultérieure, qui peut inclure le redémarrage du contrôleur de domaine
• Capteur Defender pour Identity

Faites dépendre le package de capteur Defender pour Identity du déploiement du package .NET Framework. Si nécessaire, obtenez le package de déploiement hors connexion .NET Framework 4.7.

Commandes pour l’exécution d’une installation sans assistance

Utilisez les commandes suivantes pour effectuer une installation entièrement silencieuse du capteur Defender pour Identity, à l’aide de la clé d’accès que vous avez copiée à l’étape précédente.

syntaxe cmd.exe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Syntaxe PowerShell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Remarque

Lorsque vous utilisez la syntaxe PowerShell, l’omission de la .\ préface entraîne une erreur qui empêche l’installation sans assistance.

Options d’installation

Nom	Syntaxe	Obligatoire pour l’installation sans assistance ?	Description
Quiet	/quiet	Oui	Exécute le programme d’installation sans afficher l’interface utilisateur ou les invites.
Help	/help	Non	Fournit de l’aide et des informations de référence rapides. Affiche l’utilisation correcte de la commande setup, y compris une liste de toutes les options et comportements.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Oui	Spécifie les paramètres de l’installation du .NET Framework. Doit être défini pour appliquer l’installation silencieuse du .NET Framework.

Paramètres d’installation

Nom	Syntaxe	Obligatoire pour l’installation sans assistance ?	Description
InstallationPath	InstallationPath=""	Non	Définit le chemin d’installation des fichiers binaires du capteur Defender pour Identity. Chemin d’accès par défaut : %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey	AccessKey="\*\*"	Oui	Définit la clé d’accès utilisée pour inscrire le capteur Defender pour Identity auprès de l’espace de travail Defender pour Identity.
AccessKeyFile	AccessKeyFile=""	Non	Définit la clé d’accès à l’espace de travail à partir du chemin d’accès au fichier texte fourni.
DelayedUpdate	DelayedUpdate=true	Non	Définit le mécanisme de mise à jour du capteur pour retarder la mise à jour pendant 72 heures à partir de la version officielle de chaque mise à jour de service. Pour plus d’informations, consultez Mise à jour différée du capteur.
LogsPath	LogsPath=""	Non	Définit le chemin des journaux du capteur Defender pour Identity. Chemin d’accès par défaut : %programfiles%\Azure Advanced Threat Protection Sensor.

Exemples

Utilisez les commandes suivantes pour installer en mode silencieux le capteur Defender pour Identity :

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Commande pour l’exécution d’une installation sans assistance avec une configuration de proxy

Utilisez la commande suivante pour configurer votre proxy avec une installation sans assistance :

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Remarque

Si vous avez précédemment configuré votre proxy à l’aide d’options héritées, notamment WinINet ou une mise à jour de clé de Registre, vous devez apporter des modifications avec la même méthode que celle utilisée à l’origine. Pour plus d’informations, consultez Modifier la configuration du proxy à l’aide de méthodes héritées.

Paramètres d’installation

Nom	Syntaxe	Obligatoire pour l’installation sans assistance ?	Description
ProxyUrl	ProxyUrl="http://proxy.contoso.com:8080"	Non	Spécifie l’URL et le numéro de port du proxy pour le capteur Defender pour Identity.
ProxyUserName	ProxyUserName="Contoso\ProxyUser"	Non	Si votre service proxy nécessite une authentification, définissez un nom d’utilisateur au DOMAIN\user format .
ProxyUserPassword	ProxyUserPassword="P@ssw0rd"	Non	Spécifie le mot de passe de votre nom d’utilisateur proxy. Le capteur Defender pour Identity chiffre les informations d’identification et les stocke localement.

Conseil

Si vous devez mettre à jour vos paramètres de proxy ultérieurement, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Configurer les paramètres de proxy de point de terminaison et de connectivité Internet. Nous vous recommandons de créer et d’utiliser un enregistrement DNS A personnalisé pour le serveur proxy. Vous pouvez ensuite utiliser cet enregistrement pour modifier l’adresse du serveur proxy si nécessaire et utiliser le fichier hosts à des fins de test.

Contenu connexe

Après avoir installé un capteur, vous pouvez suivre les étapes supplémentaires :

• Si vous avez installé le capteur sur un serveur AD FS ou AD CS, consultez Étapes post-installation (facultatives).

• Si vous avez installé un capteur autonome, consultez :

  • Écouter les événements SIEM sur votre capteur autonome Defender pour Identity
  • Configurer la mise en miroir de ports
  • Configurer le transfert d’événements Windows vers votre capteur autonome Defender pour Identity

Étape suivante

Configurer les paramètres du capteur Microsoft Defender pour Identity