vereisten voor Microsoft Defender for Identity
In dit artikel worden de vereisten voor een geslaagde Microsoft Defender for Identity implementatie beschreven.
Licentievereisten
Voor het implementeren van Defender for Identity is een van de volgende Microsoft 365-licenties vereist:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Veiligheid
- Microsoft 365 F5 Beveiliging en naleving*
- Een zelfstandige Defender for Identity-licentie
* Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist.
Verkrijg licenties rechtstreeks via de Microsoft 365-portal of gebruik het CSP-licentiemodel (Cloud Solution Partner).
Zie Veelgestelde vragen over licenties en privacy voor meer informatie.
Vereiste machtigingen
Als u uw Defender for Identity-werkruimte wilt maken, hebt u een Microsoft Entra ID tenant met ten minste één beveiligingsbeheerder nodig.
U hebt ten minste toegang tot beveiligingsbeheerders voor uw tenant nodig om toegang te krijgen tot de sectie Identiteit van het gebied Microsoft Defender XDR Instellingen en de werkruimte te maken.
Zie Microsoft Defender for Identity rolgroepen voor meer informatie.
U wordt aangeraden ten minste één Directory Service-account te gebruiken, met leestoegang tot alle objecten in de bewaakte domeinen. Zie Een Directory Service-account configureren voor Microsoft Defender for Identity voor meer informatie.
Connectiviteitsvereisten
De Defender for Identity-sensor moet op een van de volgende manieren kunnen communiceren met de Defender for Identity-cloudservice:
| Methode | Beschrijving | Overwegingen | Meer informatie |
|---|---|---|---|
| Een proxy instellen | Klanten die een doorsturende proxy hebben geïmplementeerd, kunnen gebruikmaken van de proxy om verbinding te maken met de MDI-cloudservice. Als u deze optie kiest, configureert u uw proxy later in het implementatieproces. Proxyconfiguraties omvatten het toestaan van verkeer naar de sensor-URL en het configureren van Defender for Identity-URL's voor expliciete acceptatielijsten die door uw proxy of firewall worden gebruikt. |
Staat toegang tot internet toe voor één URL SSL-inspectie wordt niet ondersteund |
Instellingen voor eindpuntproxy en internetverbinding configureren Een installatie op de achtergrond uitvoeren met een proxyconfiguratie |
| ExpressRoute | ExpressRoute kan worden geconfigureerd om MDI-sensorverkeer door te sturen via de expressroute van de klant. Als u netwerkverkeer wilt routeren dat is bestemd voor de Defender for Identity-cloudservers, gebruikt u ExpressRoute Microsoft-peering en voegt u de BGP-community van de service Microsoft Defender for Identity (12076:5220) toe aan uw routefilter. |
Vereist ExpressRoute | Service naar BGP-communitywaarde |
| Firewall, met behulp van de Azure IP-adressen van Defender for Identity | Klanten die geen proxy of ExpressRoute hebben, kunnen hun firewall configureren met de IP-adressen die zijn toegewezen aan de MDI-cloudservice. Hiervoor moet de klant de Azure IP-adreslijst controleren op wijzigingen in de IP-adressen die worden gebruikt door de MDI-cloudservice. Als u deze optie hebt gekozen, raden we u aan het bestand Azure IP-bereiken en servicetags – openbare cloud te downloaden en de servicetag AzureAdvancedThreatProtection te gebruiken om de relevante IP-adressen toe te voegen. |
De klant moet Azure IP-toewijzingen bewaken | Servicetags voor virtuele netwerken |
Zie Microsoft Defender for Identity architectuur voor meer informatie.
Sensorvereisten en aanbevelingen
De volgende tabel bevat een overzicht van de vereisten en aanbevelingen voor de domeincontroller, AD FS, AD CS, Entra Connect-server waar u de Defender for Identity-sensor installeert.
| Vereiste/aanbeveling | Beschrijving |
|---|---|
| Specificaties | Zorg ervoor dat u Defender for Identity installeert op Windows versie 2016 of hoger, op een domeincontrollerserver met een minimum van: - 2 kernen - 6 GB RAM-geheugen - 6 GB schijfruimte vereist, 10 GB aanbevolen, inclusief ruimte voor binaire bestanden en logboeken van Defender for Identity Defender for Identity ondersteunt alleen-lezen domeincontrollers (RODC). |
| Prestatie | Stel voor optimale prestaties de aan/uit-optie van de computer waarop de Defender for Identity-sensor wordt uitgevoerd in op Hoge prestaties. |
| Configuratie van netwerkinterface | Als u virtuele VMware-machines gebruikt, controleert u of de NIC-configuratie van de virtuele machine Large Send Offload (LSO) is uitgeschakeld. Zie Probleem met sensor voor virtuele VMware-machines voor meer informatie. |
| Onderhoudsvenster | We raden u aan een onderhoudsvenster voor uw domeincontrollers te plannen, omdat opnieuw opstarten mogelijk vereist is als de installatie wordt uitgevoerd en opnieuw opstarten al in behandeling is of als .NET Framework moet worden geïnstalleerd. Als .NET Framework versie 4.7 of hoger nog niet is gevonden op het systeem, wordt .NET Framework versie 4.7 geïnstalleerd en moet mogelijk opnieuw worden opgestart. |
Minimale vereisten voor het besturingssysteem
Defender for Identity-sensoren kunnen worden geïnstalleerd op de volgende besturingssystemen:
- Windows Server 2016
-
Windows Server 2019. Vereist KB4487044 of een nieuwere cumulatieve update. Sensoren die zijn geïnstalleerd op Server 2019 zonder deze update, worden automatisch gestopt als de
ntdsai.dllbestandsversie in de systeemmap ouder isthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Voor alle besturingssystemen:
- Beide servers met bureaubladervaring en serverkernen worden ondersteund.
- Nano-servers worden niet ondersteund.
- Installaties worden ondersteund voor domeincontrollers, AD FS en AD CS-servers.
Verouderde besturingssystemen
Windows Server 2012 en Windows Server 2012 R2 bereikten het uitgebreide einde van de ondersteuning op 10 oktober 2023.
U wordt aangeraden deze servers te upgraden omdat Microsoft de Defender for Identity-sensor niet meer ondersteunt op apparaten met Windows Server 2012 en Windows Server 2012 R2.
Sensoren die op deze besturingssystemen worden uitgevoerd, blijven rapporteren aan Defender for Identity en ontvangen zelfs de sensorupdates, maar sommige nieuwe functies zijn niet beschikbaar omdat ze mogelijk afhankelijk zijn van de mogelijkheden van het besturingssysteem.
Vereiste poorten
| Protocol | Vervoer | Poort | Van | Naar |
|---|---|---|---|---|
| Internetpoorten | ||||
|
SSL (*.atp.azure.com) U kunt ook toegang configureren via een proxy. |
TCP | 443 | Defender for Identity-sensor | Defender for Identity-cloudservice |
| Interne poorten | ||||
| DNS | TCP en UDP | 53 | Defender for Identity-sensor | DNS-servers |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-sensor | Alle apparaten in het netwerk |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity-sensor |
|
Localhost-poorten: vereist voor de updater van de sensorservice Verkeer van localhost naar localhost is standaard toegestaan, tenzij dit wordt geblokkeerd door een aangepast firewallbeleid. |
||||
| SSL | TCP | 444 | Sensorservice | Sensor updater-service |
|
NNR-poorten (Network Name Resolution) Als u IP-adressen wilt omzetten in computernamen, raden we u aan alle vermelde poorten te openen. Er is echter slechts één poort vereist. |
||||
| NTLM via RPC | TCP | Poort 135 | Defender for Identity-sensor | Alle apparaten in het netwerk |
| NetBIOS | UDP | 137 | Defender for Identity-sensor | Alle apparaten in het netwerk |
|
RDP Alleen het eerste pakket client hello query's de DNS-server met behulp van reverse DNS lookup van het IP-adres (UDP 53) |
TCP | 3389 | Defender for Identity-sensor | Alle apparaten in het netwerk |
Als u met meerdere forests werkt, moet u ervoor zorgen dat de volgende poorten zijn geopend op elke computer waarop een Defender for Identity-sensor is geïnstalleerd:
| Protocol | Vervoer | Poort | Naar/van | Richting |
|---|---|---|---|---|
| Internetpoorten | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-cloudservice | Uitgaand |
| Interne poorten | ||||
| LDAP | TCP en UDP | 389 | Domeincontrollers | Uitgaand |
| Secure LDAP (LDAPS) | TCP | 636 | Domeincontrollers | Uitgaand |
| LDAP naar globale catalogus | TCP | 3268 | Domeincontrollers | Uitgaand |
| LDAPS naar globale catalogus | TCP | 3269 | Domeincontrollers | Uitgaand |
Vereisten voor dynamisch geheugen
In de volgende tabel worden de geheugenvereisten beschreven op de server die wordt gebruikt voor de Defender for Identity-sensor, afhankelijk van het type virtualisatie dat u gebruikt:
| VM die wordt uitgevoerd op | Beschrijving |
|---|---|
| Hyper-V | Zorg ervoor dat Dynamisch geheugen inschakelen niet is ingeschakeld voor de VM. |
| VMware | Zorg ervoor dat de hoeveelheid geconfigureerd geheugen en het gereserveerde geheugen hetzelfde zijn, of selecteer de optie Alle gastgeheugen reserveren (Alle vergrendelde) in de VM-instellingen. |
| Andere virtualisatiehost | Raadpleeg de door de leverancier geleverde documentatie over hoe u ervoor kunt zorgen dat geheugen te allen tijde volledig is toegewezen aan de VM. |
Belangrijk
Wanneer het wordt uitgevoerd als een virtuele machine, moet alle geheugen te allen tijde aan de virtuele machine worden toegewezen.
Tijdsynchronisatie
De tijd van de servers en domeincontrollers waarop de sensor is geïnstalleerd, moet binnen vijf minuten van elkaar zijn gesynchroniseerd.
Uw vereisten testen
We raden u aan het Test-MdiReadiness.ps1-script uit te voeren om te testen en te zien of uw omgeving aan de vereiste vereisten voldoet.
De koppeling naar het Test-MdiReadiness.ps1 script is ook beschikbaar via Microsoft Defender XDR op de pagina Hulpmiddelen voor identiteiten > (preview).
Verwante onderwerpen
In dit artikel vindt u de vereisten voor een basisinstallatie. Aanvullende vereisten zijn vereist bij het installeren op een AD FS-/AD CS-server of Entra Connect, om meerdere Active Directory-forests te ondersteunen of wanneer u een zelfstandige Defender for Identity-sensor installeert.
Zie voor meer informatie:
- Implementeren van Microsoft Defender for Identity op AD FS- en AD CS-servers
- Microsoft Defender for Identity ondersteuning voor meerdere forests
- vereisten voor zelfstandige Microsoft Defender for Identity-sensor
- Defender for Identity-architectuur