共用方式為

快速安裝指南

  • 發行項

本文概述在 Active Directory、Active Directory 同盟服務 (AD FS) 或 Active Directory Certification Services (AD CS) 伺服器上安裝 適用於身分識別的 Microsoft Defender 感測器時所需的步驟。 如需詳細指示,請參閱使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender

觀看下列影片以取得逐步示範,並瞭解:

  • 安裝適用於身分識別的 Defender 感測器以保護貴組織免於遭受身分識別型攻擊的重要性
  • 下載並安裝感測器
  • 尋找潛在的感測器和設定健康情況問題
  • 檢視安全分數中的身分識別相關狀態評估Microsoft

必要條件

本節列出安裝適用於身分識別的 Defender 感測器之前所需的必要條件,包括:

  • 授權
  • 權限
  • 系統需求
  • 最佳做法的建議

每個適用於身分識別的 Defender 工作區都支援多個 Active Directory 樹系界限和樹系功能等級 (Windows 2003 和更新版本的 FFL) 。

授權需求

請確定您有下列其中一個授權:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5*安全
  • Microsoft 365 F5 安全性 + 合規性*
  • 適用於身分識別的獨立 Defender 授權

* F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。

直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。

如需詳細資訊,請參閱 授權和隱私權常見問題

必要權限

若要建立適用於身分識別的Defender工作區,您需要至少有一個安全性系統管理員的 Microsoft Entra ID 租使用者。

您至少需要租使用者的安全性系統管理員存取權,才能存取 [Microsoft Defender 全面偵測回應 設定] 區域 [身分識別] 區段,並建立工作區。

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組

最低系統需求

本節說明適用於身分識別的 Defender 感測器安裝所支援的作業系統。 安裝適用於身分識別的 Defender 感測器需要在域控制器上安裝至少 2 個核心、6 GB RAM 和 6 GB 的磁碟空間。

以虛擬機身分執行時,所有記憶體都必須隨時配置給虛擬機。 如需詳細資訊,請參閱規劃 適用於身分識別的 Microsoft Defender 部署的容量

適用於身分識別的 Defender 感測器可以安裝在下列作業系統上:

  • Windows Server 2016
  • Windows Server 2019 年。 需要 KB4487044 或較新的累積更新。 如果 ntdsai.dll 在系統目錄中找到的檔案版本較舊,則安裝在 Server 2019 上但未安裝此更新的感測器將會自動停止 than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

針對所有作業系統:

  • 支援具有桌面體驗和伺服器核心的伺服器。
  • 不支援 Nano 伺服器。
  • 域控制器、AD FS 和 AD CS 伺服器支援安裝。

檢查網路連線能力

確認您想要安裝適用於身分識別的Defender感測器的伺服器可以連線到適用於身分識別的Defender雲端服務。 從每部伺服器嘗試存取: https://*your-workspace-name*sensorapi.atp.azure.com

排程維護期間 (選擇性)

在安裝期間,如果未安裝 .NET Framework 4.7 或更新版本,則會安裝 .NET Framework 4.7,而且可能需要重新啟動伺服器。 如果有擱置中的重新啟動,可能也需要重新啟動。

安裝感測器時,請考慮為域控制器排程維護期間。

安裝適用於身分識別的Defender

此程式描述如何在 Windows Server 2016 版或更新版本上安裝適用於身分識別的 Defender 感測器。 請確定您的伺服器具有 最低系統需求

注意事項

適用於身分識別的 Defender 感測器應該安裝在所有域控制器上,包括 RODC) (只讀域控制器。 如果您要安裝在 AD FS/AD CS 伺服器陣變數或叢集上,建議您在每個 AD FS/ AD CS 伺服器上安裝感測器。

下載並安裝感測器

  1. 從 Microsoft Defender 入口網站下載適用於身分識別的Defender感測器。

  2. 流覽至 系統>設定身分>識別>感測器>新增感測器

  3. 取 [下載安裝程式 ],並將檔案儲存在您可以從域控制器存取的位置。

  4. 複製 安裝所需的 Access 金鑰 值。

    提示

    您只需要下載安裝程式一次,因為它可用於租使用者中的每個伺服器。 請確定沒有任何快顯封鎖程序封鎖下載。

  5. 從域控制器執行您從 Microsoft Defender 全面偵測回應 下載的安裝程式,並遵循畫面上的指示。

下一步

如需詳細資訊的完整安裝指示,請參閱使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender。 例如,若要在多個域控制器上部署,建議您改用 無訊息安裝