共用方式為

使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender

  • 發行項

本文提供 適用於身分識別的 Microsoft Defender 的完整部署程式概觀,包括準備、部署的步驟,以及特定案例的額外步驟。

適用於身分識別的 Defender 是 零信任 策略的主要元件,而您的身分識別威脅偵測和回應 (ITDR) 或擴充偵測和回應 (使用 Microsoft Defender 全面偵測回應 部署 XDR) 。 適用於身分識別的 Defender 會使用來自身分識別基礎結構伺服器的訊號,例如域控制器、AD FS/ AD CS 和 Entra Connect 伺服器,來偵測許可權提升或高風險橫向移動等威脅,並報告安全性小組可更正的易受利用身分識別問題,例如不受限制的 Kerberos 委派。

如需一組快速部署重點,請參閱 快速安裝指南

必要條件

開始之前,請確定您至少以安全性系統管理員身分存取 Microsoft Defender 全面偵測回應,而且您有下列其中一個授權:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5*安全
  • Microsoft 365 F5 安全性 + 合規性*
  • 適用於身分識別的獨立 Defender 授權

* 這兩個 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。

直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。

如需詳細資訊,請參閱 授權和隱私權常見問題什麼是適用於身分識別的Defender角色和許可權?

開始使用 Microsoft Defender 全面偵測回應

本節說明如何開始上線至適用於身分識別的 Defender。

  1. 登入 Microsoft Defender 入口網站
  2. 從導覽功能表中,選取任何專案,例如 事件 & 警示搜捕控制中心威脅分析 ,以起始上線程式。

接著,系統會提供您部署支援服務的選項,包括 適用於身分識別的 Microsoft Defender。 當您開啟適用於身分識別的 Defender 設定頁面時,會自動新增適用於身分識別的 Defender 所需的雲端元件。

如需詳細資訊,請參閱:

重要事項

目前,適用於身分識別的 Defender 數據中心部署於歐洲、英國、瑞士、北美洲/中美洲/西歐、澳大利亞東部、亞洲和印度。 您的工作區 (實例) 會在最接近您 Microsoft Entra 租使用者地理位置的 Azure 區域中自動建立。 建立之後,適用於身分識別的Defender工作區就無法移動。

規劃與準備

使用下列步驟來準備部署適用於身分識別的Defender:

  1. 請確定您具有所有必要 條件

  2. 規劃適用於身分識別的Defender容量

提示

建議您執行 Test-MdiReadiness.ps1 腳本來進行測試,並查看您的環境是否有必要的必要條件。

Test-MdiReadiness.ps1 腳本的連結也可從 Microsoft Defender 全面偵測回應 取得,位於 [身分識別工具] 頁面上>, (預覽) 。

部署適用於身分識別的Defender

準備好系統之後,請使用下列步驟來部署適用於身分識別的Defender:

  1. 確認連線到適用於身分識別的Defender服務
  2. 下載適用於身分識別的 Defender 感測器
  3. 安裝適用於身分識別的Defender感測器
  4. 設定適用於身分識別的 Defender 感測器 以開始接收數據。

部署後設定

下列程式可協助您完成部署程式:

提示

根據預設,適用於身分識別的 Defender 感測器會在埠 389 和 3268 上使用 LDAP 查詢目錄。 若要在埠 636 和 3269 上切換至 LDAPS,請開啟支援案例。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 支援

重要事項

在AD FS/AD CS和 Entra Connect 伺服器上安裝適用於身分識別的Defender感測器需要額外的步驟。 如需詳細資訊, 請參閱設定AD FS、AD CS和 Entra Connect 的感測器

下一步

適用於身分識別的 Defender 必要條件 »