Microsoft Defender for identitet forutsetninger
Denne artikkelen beskriver kravene for en vellykket Microsoft Defender for identitet distribusjon.
Lisensieringskrav
Distribusjon av Defender for identitet krever én av følgende Microsoft 365-lisenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sikkerhet
- Microsoft 365 F5 Security + Compliance*
- En frittstående Defender for Identity-lisens
* Begge F5-lisensene krever Microsoft 365 F1/F3 eller Office 365 F3 og Enterprise Mobility + Security E3.
Hent lisenser direkte via Microsoft 365-portalen , eller bruk lisensieringsmodellen for Cloud Solution Partner (CSP).
Hvis du vil ha mer informasjon, kan du se vanlige spørsmål om lisensiering og personvern.
Nødvendige tillatelser
Hvis du vil opprette Defender for Identity-arbeidsområdet, trenger du en Microsoft Entra ID-leier med minst én sikkerhetsadministrator.
Du trenger minst sikkerhetsadministratortilgang på leieren for å få tilgang til identitetsdelen i Microsoft Defender XDR Innstillinger-området og opprette arbeidsområdet.
Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet rollegrupper.
Vi anbefaler at du bruker minst én katalogtjenestekonto med lesetilgang til alle objekter i de overvåkede domenene. Hvis du vil ha mer informasjon, kan du se Konfigurere en katalogtjenestekonto for Microsoft Defender for identitet.
Tilkoblingskrav
Defender for Identity-sensoren må kunne kommunisere med Skytjenesten Defender for Identity ved hjelp av én av følgende metoder:
| Metode | Beskrivelse | Hensyn | Mer informasjon |
|---|---|---|---|
| Konfigurere en proxy | Kunder som har distribuert en videresendingsproxy, kan dra nytte av proxyen for å gi tilkobling til MDI-skytjenesten. Hvis du velger dette alternativet, konfigurerer du proxyen senere i distribusjonsprosessen. Proxy-konfigurasjoner inkluderer å tillate trafikk til nettadressen for sensoren og konfigurere Defender for identitetsnettadresser til eksplisitte tillatelseslister som brukes av proxyen eller brannmuren. |
Gir tilgang til Internett for én enkelt nettadresse SSL-inspeksjon støttes ikke |
Konfigurer proxy- og Internett-tilkoblingsinnstillinger for endepunkt Kjøre en stille installasjon med en proxy-konfigurasjon |
| ExpressRoute | ExpressRoute kan konfigureres til å videresende MDI-sensortrafikk over kundens ekspressrute. For å rute nettverkstrafikk som er bestemt til Defender for Identity-skyservere, bruker du ExpressRoute Microsoft-nodenetting og legger til BGP-fellesskapet for Microsoft Defender for identitet (12076:5220)-tjenesten i rutefilteret. |
Krever ExpressRoute | Tjeneste til BGP-fellesskapsverdi |
| Brannmur som bruker Ip-adressene til Defender for Identity Azure | Kunder som ikke har proxy eller ExpressRoute, kan konfigurere brannmuren med IP-adressene som er tilordnet MDI-skytjenesten. Dette krever at kunden overvåker Azure IP-adresselisten for eventuelle endringer i IP-adressene som brukes av MDI-skytjenesten. Hvis du velger dette alternativet, anbefaler vi at du laster ned Azure IP-områder og tjenestekoder – offentlig skyfil og bruker tjenestekoden AzureAdvancedThreatProtection til å legge til de relevante IP-adressene. |
Kunden må overvåke Azure IP-tilordninger | Virtuelle nettverkstjenestekoder |
Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet arkitektur.
Sensorkrav og anbefalinger
Tabellen nedenfor oppsummerer krav og anbefalinger for domenekontrolleren, AD FS, AD CS, Entra Connect-serveren der du installerer Defender for Identity-sensoren.
| Forutsetning / anbefaling | Beskrivelse |
|---|---|
| Spesifikasjoner | Pass på å installere Defender for Identity på Windows versjon 2016 eller nyere, på en domenekontrollerserver med minimum: - 2 kjerner - 6 GB RAM – 6 GB diskplass kreves, 10 GB anbefales, inkludert plass til Defender for identitetsbinærfiler og logger Defender for Identity støtter skrivebeskyttede domenekontrollere (RODC). |
| Prestasjon | Hvis du vil ha optimal ytelse, angir du Power Option for maskinen som kjører Defender for Identity-sensoren til høy ytelse. |
| Konfigurasjon av nettverksgrensesnitt | Hvis du bruker virtuelle maskiner for VMware, må du kontrollere at NIC-konfigurasjonen for den virtuelle maskinen har stor sendingsavlastning (LSO) deaktivert. Se problemet med virtuell maskinsensor for VMware for mer informasjon. |
| Vedlikeholdsvindu | Vi anbefaler at du planlegger et vedlikeholdsvindu for domenekontrollerne, da en omstart kan være nødvendig hvis installasjonen kjører og en omstart allerede venter, eller hvis .NET Framework må installeres. Hvis .NET Framework versjon 4.7 eller nyere ikke allerede finnes på systemet, er .NET Framework versjon 4.7 installert og kan kreve en omstart. |
Minimumskrav til operativsystem
Defender for Identity-sensorer kan installeres på følgende operativsystemer:
- Windows Server 2016
-
Windows Server 2019. Krever KB4487044 eller en nyere kumulativ oppdatering. Sensorer som er installert på Server 2019 uten denne oppdateringen, stoppes automatisk hvis
ntdsai.dllfilversjonen som finnes i systemkatalogen, er eldrethan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
For alle operativsystemer:
- Begge serverne med skrivebordsopplevelse og serverkjerner støttes.
- Nano-servere støttes ikke.
- Installasjoner støttes for domenekontrollere, AD FS- og AD CS-servere.
Eldre operativsystemer
Windows Server 2012 og Windows Server 2012 R2 nådde utvidet slutt på støtte på oktober 10, 2023.
Vi anbefaler at du planlegger å oppgradere disse serverne fordi Microsoft ikke lenger støtter Defender for Identity-sensoren på enheter som kjører Windows Server 2012 og Windows Server 2012 R2.
Sensorer som kjører på disse operativsystemene vil fortsette å rapportere til Defender for Identity og til og med motta sensoroppdateringene, men noen av de nye funksjonene vil ikke være tilgjengelige, da de kan stole på operativsystemfunksjoner.
Obligatoriske porter
| Protokoll | Transport | Port | Fra: | Til |
|---|---|---|---|---|
| Internett-porter | ||||
|
SSL (*.atp.azure.com) Alternativt kan du konfigurere tilgang gjennom en proxy. |
_tcp | 443 | Defender for identitetssensor | Defender for identitetsskytjeneste |
| Interne porter | ||||
| DNS | TCP og UDP | 53 | Defender for identitetssensor | DNS-servere |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for identitetssensor | Alle enheter på nettverket |
| RADIUS | UDP | 1813 | RADIUS | Defender for identitetssensor |
|
Localhost-porter: Obligatorisk for oppdatering av sensortjenesten Localhost til localhost-trafikk tillates som standard med mindre en egendefinert brannmurpolicy blokkerer den. |
||||
| SSL | _tcp | 444 | Sensortjeneste | Sensoroppdateringstjeneste |
|
NNR-porter (Network Name Resolution) Hvis du vil løse IP-adresser til datamaskinnavn, anbefaler vi at du åpner alle portene som er oppført. Det kreves imidlertid bare én port. |
||||
| NTLM over RPC | _tcp | Port 135 | Defender for identitetssensor | Alle enheter på nettverket |
| Netbios | UDP | 137 | Defender for identitetssensor | Alle enheter på nettverket |
|
RDP Bare den første pakken med Client Hello spør DNS-serveren ved hjelp av omvendt DNS-oppslag av IP-adressen (UDP 53) |
_tcp | 3389 | Defender for identitetssensor | Alle enheter på nettverket |
Hvis du arbeider med flere skoger, må du kontrollere at følgende porter er åpnet på en hvilken som helst maskin der en Defender for Identity-sensor er installert:
| Protokoll | Transport | Port | Til/fra | Retning |
|---|---|---|---|---|
| Internett-porter | ||||
| SSL (*.atp.azure.com) | _tcp | 443 | Defender for identitetsskytjeneste | Utgående |
| Interne porter | ||||
| LDAP | TCP og UDP | 389 | Domenekontrollere | Utgående |
| Sikker LDAP (LDAPS) | _tcp | 636 | Domenekontrollere | Utgående |
| LDAP til global katalog | _tcp | 3268 | Domenekontrollere | Utgående |
| LDAPS til global katalog | _tcp | 3269 | Domenekontrollere | Utgående |
Krav til dynamisk minne
Tabellen nedenfor beskriver minnekrav på serveren som brukes for Defender for Identity-sensoren, avhengig av hvilken type virtualisering du bruker:
| VM kjører på | Beskrivelse |
|---|---|
| Hyper-V | Kontroller at Aktiver dynamisk minne ikke er aktivert for den virtuelle maskinen. |
| VMware | Kontroller at mengden minne som er konfigurert og det reserverte minnet er det samme, eller velg alternativet Reserver alt gjesteminne (alle låst) i VM-innstillingene. |
| Annen virtualiseringsvert | Se leverandørens dokumentasjon om hvordan du sikrer at minnet er fullstendig allokert til den virtuelle maskinen til enhver tid. |
Viktig
Når du kjører som en virtuell maskin, må alt minne tildeles den virtuelle maskinen til enhver tid.
Tidssynkronisering
Serverne og domenekontrollerne som sensoren er installert på, må ha tid synkronisert til innen fem minutter fra hverandre.
Test forutsetningene dine
Vi anbefaler at du kjørerTest-MdiReadiness.ps1-skriptet for å teste og se om miljøet har de nødvendige forutsetningene.
Koblingen til Test-MdiReadiness.ps1 skriptet er også tilgjengelig fra Microsoft Defender XDR, på identitetsverktøysiden > (forhåndsvisning).
Beslektet innhold
Denne artikkelen viser forutsetninger som kreves for en grunnleggende installasjon. Flere forutsetninger kreves når du installerer på en AD FS / AD CS-server eller Entra Connect, for å støtte flere Active Directory-skoger, eller når du installerer en frittstående Defender for Identity-sensor.
Hvis du vil ha mer informasjon, kan du se:
- Distribuere Microsoft Defender for identitet på AD FS- og AD CS-servere
- støtte for Microsoft Defender for identitet flere skoger
- Microsoft Defender for identitet frittstående forutsetninger for sensor
- Defender for identitetsarkitektur