Обязательные требования для работы с Microsoft Defender для удостоверений
В этой статье описаны требования для успешного развертывания Microsoft Defender для удостоверений.
Требования к лицензированию
Для развертывания Defender для удостоверений требуется одна из следующих лицензий Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Безопасность
- Безопасность и соответствие требованиям Microsoft 365 F5*
- Автономная лицензия Defender для удостоверений
* Для обеих лицензий F5 требуется Microsoft 365 F1/F3 или Office 365 F3 и Enterprise Mobility + Security E3.
Получите лицензии непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (CSP).
Дополнительные сведения см. в разделе Вопросы и ответы о лицензировании и конфиденциальности.
Необходимые разрешения
Чтобы создать рабочую область Defender для удостоверений, вам потребуется клиент Microsoft Entra ID с хотя бы одним администратором безопасности.
Чтобы получить доступ к разделу Удостоверения области "Параметры Microsoft Defender XDR" и создать рабочую область, требуется по крайней мере доступ администратора безопасности в клиенте.
Дополнительные сведения см. в разделе Microsoft Defender для удостоверений групп ролей.
Рекомендуется использовать по крайней мере одну учетную запись службы каталогов с доступом на чтение ко всем объектам в отслеживаемых доменах. Дополнительные сведения см. в разделе Настройка учетной записи службы каталогов для Microsoft Defender для удостоверений.
Требования к подключению
Датчик Defender для удостоверений должен иметь возможность взаимодействовать с облачной службой Defender для удостоверений, используя один из следующих методов:
| Метод | Описание | Рекомендации | Дополнительные сведения |
|---|---|---|---|
| Настройка прокси-сервера | Клиенты, у которых развернут прокси-сервер пересылки, могут воспользоваться преимуществами прокси-сервера для обеспечения подключения к облачной службе MDI. При выборе этого параметра прокси-сервер будет настроен позже в процессе развертывания. Конфигурации прокси-сервера включают разрешение трафика на URL-адрес датчика и настройку URL-адресов Defender для удостоверений для любых явных списков разрешений, используемых прокси-сервером или брандмауэром. |
Разрешает доступ к Интернету по одному URL-адресу Проверка SSL не поддерживается |
Настройка прокси-сервера конечной точки и параметров подключения к Интернету Запуск автоматической установки с конфигурацией прокси-сервера |
| ExpressRoute | ExpressRoute можно настроить для перенаправления трафика датчика MDI по экспресс-маршруту клиента. Для маршрутизации сетевого трафика, предназначенного для облачных серверов Defender для удостоверений, используйте пиринг Microsoft ExpressRoute и добавьте сообщество BGP службы Microsoft Defender для удостоверений (12076:5220) в фильтр маршрутов. |
Требуется ExpressRoute | Значение сообщества BGP |
| Брандмауэр с использованием IP-адресов Azure Defender для удостоверений | Клиенты, у которых нет прокси-сервера или ExpressRoute, могут настроить брандмауэр с IP-адресами, назначенными облачной службе MDI. Для этого необходимо, чтобы клиент отслеживал список IP-адресов Azure на наличие изменений в IP-адресах, используемых облачной службой MDI. Если вы выбрали этот вариант, рекомендуется скачать файл Диапазоны IP-адресов и теги служб Azure — общедоступное облако и использовать тег службы AzureAdvancedThreatProtection , чтобы добавить соответствующие IP-адреса. |
Клиент должен отслеживать назначения IP-адресов Azure | Теги службы виртуальной сети |
Дополнительные сведения см. в разделе архитектура Microsoft Defender для удостоверений.
Требования и рекомендации по датчику
В следующей таблице приведены требования и рекомендации для контроллера домена, AD FS, AD CS и сервера Entra Connect, на котором будет установлен датчик Defender для удостоверений.
| Предварительные требования и рекомендации | Описание |
|---|---|
| Спецификации | Обязательно установите Defender для удостоверений в Windows версии 2016 или более поздней на сервере контроллера домена с минимальным числом: — 2 ядра — 6 ГБ ОЗУ — требуется 6 ГБ дискового пространства, рекомендуется 10 ГБ, включая пространство для двоичных файлов и журналов Defender для удостоверений. Defender для удостоверений поддерживает контроллеры домена только для чтения (RODC). |
| Производительность | Для оптимальной производительности установите для параметра питания компьютера, на котором работает датчик Defender для удостоверений , значение Высокая производительность. |
| Конфигурация сетевого интерфейса | Если вы используете виртуальные машины VMware, убедитесь, что в конфигурации сетевого адаптера виртуальной машины отключена большая разгрузка отправки (LSO). Дополнительные сведения см. в статье Проблема с датчиком виртуальной машины VMware . |
| Период обслуживания | Рекомендуется запланировать период обслуживания для контроллеров домена, так как перезагрузка может потребоваться, если установка выполняется, а перезапуск уже ожидается или если необходимо установить платформа .NET Framework. Если платформа .NET Framework версии 4.7 или более поздней еще не найден в системе, платформа .NET Framework версии 4.7 установлена, и может потребоваться перезагрузка. |
Минимальные требования к операционной системе
Датчики Defender для удостоверений можно установить в следующих операционных системах:
- Windows Server 2016
-
Windows Server 2019 г.
Требуется KB4487044 или более новое накопительное обновление. Датчики, установленные в Server 2019 без этого обновления, будут автоматически остановлены, если
ntdsai.dllверсия файла, найденная в системном каталоге, является более старойthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025 г.
Для всех операционных систем:
- Поддерживаются оба сервера с возможностями рабочего стола и серверные ядра.
- Серверы Nano не поддерживаются.
- Установка поддерживается для контроллеров домена, AD FS и серверов AD CS.
Устаревшие операционные системы
Windows Server 2012 и Windows Server 2012 R2 достигли расширенного окончания поддержки 10 октября 2023 г.
Мы рекомендуем запланировать обновление этих серверов, так как корпорация Майкрософт больше не поддерживает датчик Defender для удостоверений на устройствах с Windows Server 2012 и Windows Server 2012 R2.
Датчики, работающие в этих операционных системах, будут по-прежнему сообщать в Defender для удостоверений и даже получать обновления датчиков, но некоторые из новых функций будут недоступны, так как они могут полагаться на возможности операционной системы.
Необходимые порты
| Protocol (Протокол) | Transport | Port (Порт) | From | Для |
|---|---|---|---|---|
| Порты Интернета | ||||
|
SSL (*.atp.azure.com) Кроме того, настройте доступ через прокси-сервер. |
TCP | 443 | Датчик Defender для удостоверений | Облачная служба Defender для удостоверений |
| Внутренние порты | ||||
| DNS | TCP и UDP | 53 | Датчик Defender для удостоверений | DNS-серверы |
|
Сетевой журнал (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Датчик Defender для удостоверений | Все устройства в сети |
| РАДИУС | UDP | 1813 | РАДИУС | Датчик Defender для удостоверений |
|
Порты localhost: требуется для обновления службы датчиков. По умолчанию трафик localhost to localhost разрешен, если пользовательская политика брандмауэра не блокирует его. |
||||
| SSL | TCP | 444 | Служба датчика | Служба обновления датчиков |
|
Порты разрешения сетевых имен (NNR) Чтобы разрешить IP-адреса в имена компьютеров, рекомендуется открыть все перечисленные порты. Однако требуется только один порт. |
||||
| NTLM по RPC | TCP | Порт 135 | Датчик Defender для удостоверений | Все устройства в сети |
| NetBIOS | UDP | 137 | Датчик Defender для удостоверений | Все устройства в сети |
|
RDP Только первый пакет Client hello запрашивает DNS-сервер с помощью обратного поиска DNS IP-адреса (UDP 53) |
TCP | 3389 | Датчик Defender для удостоверений | Все устройства в сети |
Если вы работаете с несколькими лесами, убедитесь, что на любом компьютере, где установлен датчик Defender для удостоверений, открыты следующие порты:
| Протокол | Transport | Порт | To/From | Направление |
|---|---|---|---|---|
| Порты Интернета | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Облачная служба Defender для удостоверений | Исходящий |
| Внутренние порты | ||||
| LDAP | TCP и UDP | 389 | Контроллеры доменов | Исходящий |
| Secure LDAP (LDAPS) | TCP | 636 | Контроллеры доменов | Исходящий |
| LDAP к глобальному каталогу | TCP | 3268 | Контроллеры доменов | Исходящий |
| LDAPS к глобальному каталогу | TCP | 3269 | Контроллеры доменов | Исходящий |
Требования к динамической памяти
В следующей таблице описаны требования к памяти на сервере, используемом для датчика Defender для удостоверений, в зависимости от типа используемой виртуализации:
| Виртуальная машина, запущенная на | Описание |
|---|---|
| Hyper-V | Убедитесь, что параметр Включить динамическую память не включен для виртуальной машины. |
| VMware | Убедитесь, что настроенный объем памяти и зарезервированная память одинаковы, или выберите параметр Зарезервировать всю гостевую память (все заблокированы) в параметрах виртуальной машины. |
| Другой узел виртуализации | Сведения о том, как обеспечить полное выделение памяти виртуальной машине, см. в предоставленной поставщиком документации. |
Важно!
При запуске в качестве виртуальной машины вся память должна быть выделена виртуальной машине в любое время.
синхронизация времени;
Серверы и контроллеры домена, на которые установлен датчик, должны синхронизировать время в течение пяти минут друг от друга.
Тестирование необходимых компонентов
Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 , чтобы проверить, есть ли в вашей среде необходимые предварительные требования.
Ссылка на скриптTest-MdiReadiness.ps1 также доступна в Microsoft Defender XDR на странице Средства удостоверений > (предварительная версия).
Связанные материалы
В этой статье перечислены необходимые компоненты для базовой установки. Дополнительные предварительные требования требуются при установке на сервере AD FS/ AD CS или Entra Connect для поддержки нескольких лесов Active Directory или при установке автономного датчика Defender для удостоверений.
Дополнительные сведения см. в разделе:
- Развертывание Microsoft Defender для удостоверений на серверах AD FS и AD CS
- поддержка нескольких лесов Microsoft Defender для удостоверений
- Microsoft Defender для удостоверений предварительные требования к автономному датчику
- Архитектура Defender для удостоверений