快速安装指南

本文概述了在 Active Directory、Active Directory 联合身份验证服务 (AD FS) 或 Active Directory 证书服务 (AD CS) 服务器上快速安装 Microsoft Defender for Identity 传感器时所需的步骤。 有关更详细的说明,请参阅使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity

观看以下视频,了解分步演示并了解:

  • 安装 Defender for Identity 传感器以保护组织免受基于身份的攻击的重要性
  • 下载并安装传感器
  • 查找潜在的传感器和配置运行状况问题
  • 在 Microsoft 安全功能分数中查看与身份相关的状况评估

先决条件

本部分列出了安装 Defender for Identity 传感器之前需要满足的先决条件,包括:

  • 许可
  • 权限
  • 系统要求
  • 最佳做法建议

每个 Defender for Identity 工作区均支持多个 Active Directory 林边界和 Windows 2003 及更高版本的林功能级别 (FFL)。

许可要求

请确保具有以下许可证之一:

  • 企业移动性 + 安全性 E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* 安全性
  • Microsoft 365 F5 安全与合规*
  • 独立 Defender for Identity 许可证

* 两个 F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和企业移动性 + 安全性 E3。

直接通过 Microsoft 365 门户获取许可证,或使用云解决方案合作伙伴 (CSP) 许可模型。

有关详细信息,请参阅许可和隐私常见问题解答

所需的权限

要创建 Defender for Identity 工作区,需要至少有一个安全管理员的 Microsoft Entra ID 租户。

至少需要对租户的安全管理员访问权限,才能访问 Microsoft Defender XDR 设置区域的身份部分并创建工作区。

有关详细信息,请参阅 Microsoft Defender for Identity 角色组

最低系统要求

本部分介绍了适用于安装 Defender for Identity 传感器的操作系统。 要安装 Defender for Identity 传感器,至少需要在域控制器上安装 2 个核心、6 GB RAM 和 6 GB 磁盘空间。

作为虚拟机运行时,一定要将所有内存分配给虚拟机。 有关详细信息,请参阅规划用于 Microsoft Defender for Identity 部署的容量

Defender for Identity 传感器可以安装在以下操作系统上:

  • Windows Server 2016
  • Windows Server 2019。 需要 KB4487044 或更新的累积更新。 如果在系统目录中找到的 ntdsai.dll 文件版本早于 10.0.17763.316,则在没有此更新的 Server 2019 上安装的传感器将自动停止
  • Windows Server 2022

对于所有操作系统:

  • 同时支持带桌面体验的服务器和服务器核心。
  • 不支持 Nano 服务器。
  • 支持安装域控制器、AD FS 和 AD CS 服务器。

检查网络连接

验证要安装 Defender for Identity 传感器的服务器是否能够访问 Defender for Identity 云服务。 在每台服务器上,尝试访问:https://*your-workspace-name*sensorapi.atp.azure.com

安排维护时段(可选)

在安装期间,如果未安装 .NET Framework 4.7 或更高版本,则会安装 .NET Framework 4.7,并且可能需要重新启动服务器。 如果重启已挂起,也可能需要重启。

在安装传感器时,请考虑安排域控制器的维护时段。

安装 Defender for Identity

此过程介绍如何在 Windows Server 2016 或更高版本上安装 Defender for Identity 传感器。 确保服务器满足最低系统要求

注意

Defender for Identity 传感器应安装在所有域控制器上,包括只读域控制器 (RODC)。 如果要在 AD FS / AD CS 场或群集上安装,建议在每台 AD FS / AD CS 服务器上安装传感器。

要下载并安装传感器

  1. Microsoft Defender 门户下载 Defender for Identity 传感器。

  2. 浏览到系统>设置>标识>传感器>添加传感器

  3. 选择下载安装程序,并将该文件保存在可从域控制器访问的位置。

  4. 复制安装所需的访问密钥值。

    提示

    只需下载一次安装程序,因为它可用于租户中的每台服务器。 确保没有弹出窗口阻止程序阻止下载。

  5. 从域控制器运行运行之前从 Microsoft Defender XDR 下载的安装程序,按照屏幕上的说明执行操作。

下一步

有关完全安装说明和其他详细信息,请参阅使用 Microsoft Defender XDR 部署 Microsoft Defender for Identity。 例如,要在多个域控制器上进行部署,我们建议改用无提示安装