快速安装指南

本文概述了在 Active Directory、Active Directory 联合身份验证服务 (AD FS) 或 Active Directory 认证服务 (AD CS) 服务器上安装Microsoft Defender for Identity传感器时所需的步骤。 有关更详细的说明，请参阅使用 Microsoft Defender XDR 部署Microsoft Defender for Identity。

观看以下视频获取分步演示并了解以下内容：

• 安装 Defender for Identity 传感器来保护组织免受基于标识的攻击的重要性
• 下载并安装传感器
• 查找潜在的传感器和配置运行状况问题
• 在Microsoft安全功能分数中查看与标识相关的状态评估

先决条件

本部分列出了安装 Defender for Identity 传感器之前所需的先决条件，包括：

• 授权
• 权限
• 系统要求
• 最佳做法建议

每个 Defender for Identity 工作区都支持多个 Active Directory 林边界和林功能级别 (Windows 2003 及更高版本的 FFL) 。

许可要求

请确保具有以下许可证之一：

• 企业移动性 + 安全性 E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5*安全
• Microsoft 365 F5 安全性 + 合规性*
• 独立的 Defender for Identity 许可证

* F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企业移动性 + 安全性 E3。

直接通过 Microsoft 365 门户 获取许可证，或使用云解决方案合作伙伴 (CSP) 许可模型。

有关详细信息，请参阅 许可和隐私常见问题解答。

所需权限

若要创建 Defender for Identity 工作区，需要至少具有一名安全管理员的Microsoft Entra ID租户。

至少需要租户的安全管理员访问权限才能访问“Microsoft Defender XDR设置”区域的“标识”部分并创建工作区。

有关详细信息，请参阅Microsoft Defender for Identity角色组。

最低系统需求

本部分介绍 Defender for Identity 传感器安装支持的操作系统。 安装 Defender for Identity 传感器需要在域控制器上安装至少 2 个核心、6 GB RAM 和 6 GB 磁盘空间。

作为虚拟机运行时，需要随时将所有内存分配给虚拟机。 有关详细信息，请参阅规划Microsoft Defender for Identity部署的容量。

可在以下操作系统上安装 Defender for Identity 传感器：

• Windows Server 2016
• Windows Server 2019。 需要 KB4487044 或更高版本的累积更新。 如果在 ntdsai.dll 系统目录中找到的文件版本较旧，则安装在 Server 2019 上且没有此更新的传感器将自动停止 than 10.0.17763.316
• Windows Server 2022
• Windows Server 2025

对于所有操作系统：

• 支持具有桌面体验的服务器和服务器核心。
• 不支持 Nano 服务器。
• 域控制器、AD FS 和 AD CS 服务器支持安装。

检查网络连接

验证要安装 Defender for Identity 传感器的服务器是否可以访问 Defender for Identity 云服务。 尝试从每个服务器访问： https://*your-workspace-name*sensorapi.atp.azure.com。

• 若要获取工作区名称，请参阅门户中的 “关于”页 。
• 有关代理配置，请参阅 配置终结点代理和 Internet 连接设置。

计划维护时段 (可选)

在安装过程中，如果未安装 .NET Framework 4.7 或更高版本，则会安装 .NET Framework 4.7，并且可能需要重新启动服务器。 如果重启已挂起，则可能需要重新启动。

安装传感器时，请考虑为域控制器计划维护时段。

安装 Defender for Identity

此过程介绍如何在 Windows 服务器版本 2016 或更高版本上安装 Defender for Identity 传感器。 确保服务器具有 最低系统要求。

注意

应在所有域控制器上安装 Defender for Identity 传感器，包括只读域控制器 (RODC) 。 如果要在 AD FS/AD CS 场或群集上安装，我们建议在每个 AD FS/AD CS 服务器上安装传感器。

若要下载并安装传感器，请执行以下操作：

1. 从 Microsoft Defender 门户下载 Defender for Identity 传感器。

2. 浏览到“系统>设置”“标识>传感器>”“添加传感器”>

3. 选择“ 下载安装程序 ”，并将文件保存在可从域控制器访问的位置。

4. 复制 安装所需的 Access 密钥 值。

   提示

   只需下载安装程序一次，因为它可用于租户中的每个服务器。 确保没有弹出窗口阻止程序阻止下载。

5. 在域控制器中，运行从 Microsoft Defender XDR 下载的安装程序，并按照屏幕上的说明进行操作。

后续步骤

有关完整安装说明和其他详细信息，请参阅使用 Microsoft Defender XDR 部署Microsoft Defender for Identity。 例如，若要在多个域控制器上部署，建议改用 无提示安装 。