Microsoft Defender for Identity 先决条件
本文介绍成功部署Microsoft Defender for Identity的要求。
许可要求
部署 Defender for Identity 需要以下Microsoft 365 个许可证之一:
- 企业移动性 + 安全性 E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5*安全
- Microsoft 365 F5 安全性 + 合规性*
- 独立的 Defender for Identity 许可证
* F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企业移动性 + 安全性 E3。
直接通过 Microsoft 365 门户 获取许可证,或使用云解决方案合作伙伴 (CSP) 许可模型。
有关详细信息,请参阅 许可和隐私常见问题解答。
所需权限
若要创建 Defender for Identity 工作区,需要至少具有一名安全管理员的Microsoft Entra ID租户。
至少需要租户的安全管理员访问权限才能访问“Microsoft Defender XDR设置”区域的“标识”部分并创建工作区。
有关详细信息,请参阅Microsoft Defender for Identity角色组。
建议至少使用一个目录服务帐户,该帐户对受监视域中的所有对象具有读取访问权限。 有关详细信息,请参阅为Microsoft Defender for Identity配置目录服务帐户。
连接要求
Defender for Identity 传感器必须能够使用以下方法之一与 Defender for Identity 云服务通信:
| 方法 | 说明 | 注意事项 | 了解详细信息 |
|---|---|---|---|
| 设置代理 | 部署了前向代理的客户可以利用代理来提供与 MDI 云服务的连接。 如果选择此选项,稍后将在部署过程中配置代理。 代理配置包括允许流向传感器 URL 的流量,以及将 Defender for Identity URL 配置为代理或防火墙使用的任何显式允许列表。 |
允许访问单个 URL 的 Internet 不支持 SSL 检查 |
配置终结点代理和 Internet 连接设置 使用代理配置运行无提示安装 |
| ExpressRoute | 可以将 ExpressRoute 配置为通过客户的快速路由转发 MDI 传感器流量。 若要路由发往 Defender for Identity 云服务器的网络流量,请使用 ExpressRoute Microsoft对等互连,并将 Microsoft Defender for Identity (12076:5220) 服务 BGP 社区添加到路由筛选器。 |
需要 ExpressRoute | 服务到 BGP 社区值 |
| 使用 Defender for Identity Azure IP 地址的防火墙 | 没有代理或 ExpressRoute 的客户可以使用分配给 MDI 云服务的 IP 地址配置其防火墙。 这要求客户监视 Azure IP 地址列表,了解 MDI 云服务使用的 IP 地址中的任何更改。 如果选择此选项,建议下载 Azure IP 范围和服务标记 - 公有云 文件,并使用 AzureAdvancedThreatProtection 服务标记添加相关的 IP 地址。 |
客户必须监视 Azure IP 分配 | 虚拟网络服务标记 |
有关详细信息,请参阅Microsoft Defender for Identity体系结构。
传感器要求和建议
下表汇总了要在其中安装 Defender for Identity 传感器的域控制器、AD FS、AD CS、Entra Connect 服务器的要求和建议。
| 先决条件/建议 | 说明 |
|---|---|
| 规范 | 确保在域控制器服务器上安装 Windows 2016 或更高版本的 Defender for Identity,且至少满足以下要求: - 2 个核心 - 6 GB RAM - 需要 6 GB 磁盘空间,建议使用 10 GB,包括 Defender for Identity 二进制文件和日志空间 Defender for Identity 支持只读域控制器 (RODC) 。 |
| 性能 | 为了获得最佳性能,请将运行 Defender for Identity 传感器的计算机的 “电源选项” 设置为 “高性能”。 |
| 网络接口配置 | 如果使用 VMware 虚拟机,请确保虚拟机的 NIC 配置已禁用大型发送卸载 (LSO) 。 有关更多详细信息,请参阅 VMware 虚拟机传感器问题 。 |
| 维护时段 | 建议为域控制器计划维护时段,因为如果安装运行且重启已挂起,或者需要安装.NET Framework,则可能需要重启。 如果系统上尚未找到.NET Framework版本 4.7 或更高版本,则安装.NET Framework版本 4.7,并且可能需要重启。 |
最低操作系统要求
可在以下操作系统上安装 Defender for Identity 传感器:
- Windows Server 2016
-
Windows Server 2019。 需要 KB4487044 或更高版本的累积更新。 如果在
ntdsai.dll系统目录中找到的文件版本较旧,则安装在 Server 2019 上且没有此更新的传感器将自动停止than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
对于所有操作系统:
- 支持具有桌面体验的服务器和服务器核心。
- 不支持 Nano 服务器。
- 域控制器、AD FS 和 AD CS 服务器支持安装。
旧版操作系统
Windows Server 2012和Windows Server 2012 R2 已于 2023 年 10 月 10 日终止支持。
我们建议你计划升级这些服务器,因为Microsoft不再支持运行 Windows Server 2012 和 Windows Server 2012 R2 的设备上的 Defender for Identity 传感器。
在这些操作系统上运行的传感器将继续向 Defender for Identity 报告,甚至接收传感器更新,但某些新功能将不可用,因为它们可能依赖于操作系统功能。
所需端口
| 协议 | Transport | 端口 | From | "自" |
|---|---|---|---|---|
| Internet 端口 | ||||
|
SSL (*.atp.azure.com) 或者, 通过代理配置访问权限。 |
TCP | 443 | Defender for Identity 传感器 | Defender for Identity 云服务 |
| 内部端口 | ||||
| DNS | TCP 和 UDP | 53 | Defender for Identity 传感器 | DNS 服务器 |
|
Netlogon (SMB、CIFS、SAM-R) |
TCP/UDP | 445 | Defender for Identity 传感器 | 网络上的所有设备 |
| 半径 | UDP | 1813 | 半径 | Defender for Identity 传感器 |
|
Localhost 端口:传感器服务更新程序需要 默认情况下,除非自定义防火墙策略阻止 localhost ,否则允许 localhost 到 localhost 的流量。 |
||||
| SSL | TCP | 444 | 传感器服务 | 传感器更新程序服务 |
|
(NNR) 端口的网络名称解析 若要将 IP 地址解析为计算机名称,建议打开列出的所有端口。 但是,只需要一个端口。 |
||||
| NTLM over RPC | TCP | 端口 135 | Defender for Identity 传感器 | 网络上的所有设备 |
| NetBIOS | UDP | 137 | Defender for Identity 传感器 | 网络上的所有设备 |
|
RDP 只有 Client hello 的第一个数据包使用 IP 地址的反向 DNS 查找 (UDP 53) |
TCP | 3389 | Defender for Identity 传感器 | 网络上的所有设备 |
如果使用的是 多个林,请确保在安装了 Defender for Identity 传感器的任何计算机上打开以下端口:
| 协议 | Transport | 端口 | To/From | 方向 |
|---|---|---|---|---|
| Internet 端口 | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity 云服务 | 出站 |
| 内部端口 | ||||
| LDAP | TCP 和 UDP | 389 | 域控制器 | 出站 |
| 保护 LDAP (LDAPS) | TCP | 636 | 域控制器 | 出站 |
| LDAP 到全局编录 | TCP | 3268 | 域控制器 | 出站 |
| LDAPS 到全局编录 | TCP | 3269 | 域控制器 | 出站 |
动态内存要求
下表描述了用于 Defender for Identity 传感器的服务器上的内存要求,具体取决于所使用的虚拟化类型:
| 在 上运行的 VM | 说明 |
|---|---|
| Hyper-V | 确保未为 VM 启用 动态内存 。 |
| VMware | 确保配置的内存量与预留内存相同,或在 VM 设置中选择“ 保留所有来宾内存 (所有锁定) ”选项。 |
| 其他虚拟化主机 | 请参阅供应商提供的文档,了解如何确保随时将内存完全分配给 VM。 |
重要
作为虚拟机运行时,必须随时将所有内存分配给虚拟机。
时间同步
安装传感器的服务器和域控制器的时间必须在五分钟内同步到彼此之间。
测试先决条件
建议运行 Test-MdiReadiness.ps1 脚本来测试环境是否具有必要的先决条件。
Test-MdiReadiness.ps1 脚本的链接也可从 Microsoft Defender XDR, (预览) 的“标识>工具”页上提供。
相关内容
本文列出了基本安装所需的先决条件。 在 AD FS/AD CS 服务器或 Entra Connect 上安装、支持多个 Active Directory 林或安装独立 Defender for Identity 传感器时,还需要满足其他先决条件。
有关更多信息,请参阅:
- 在 AD FS 和 AD CS 服务器上部署Microsoft Defender for Identity
- Microsoft Defender for Identity多林支持
- Microsoft Defender for Identity独立传感器先决条件
- Defender for Identity 体系结构