適用於身分識別的 Microsoft Defender 必要條件
本文說明成功部署 適用於身分識別的 Microsoft Defender 的需求。
授權需求
部署適用於身分識別的 Defender 需要下列其中一個Microsoft 365 授權:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5*安全
- Microsoft 365 F5 安全性 + 合規性*
- 適用於身分識別的獨立 Defender 授權
* 這兩個 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。
直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。
如需詳細資訊,請參閱 授權和隱私權常見問題。
必要權限
若要建立適用於身分識別的Defender工作區,您需要至少有一個安全性系統管理員的 Microsoft Entra ID 租使用者。
您至少需要租使用者的安全性系統管理員存取權,才能存取 [Microsoft Defender 全面偵測回應 設定] 區域的 [身分識別] 區段,並建立工作區。
建議您使用至少一個目錄服務帳戶,以及受監視網域中所有物件的讀取許可權。 如需詳細資訊,請參閱設定 適用於身分識別的 Microsoft Defender 的目錄服務帳戶。
連線要求
適用於身分識別的 Defender 感測器必須能夠使用下列其中一種方法與適用於身分識別的 Defender 雲端服務通訊:
| 方法 | 描述 | 考量 | 深入了解 |
|---|---|---|---|
| 設定 Proxy | 已部署正向 Proxy 的客戶可以利用 Proxy 來提供 MDI 雲端服務的連線能力。 如果您選擇此選項,稍後會在部署程序中設定 Proxy。 Proxy 設定包括允許傳送至感測器 URL 的流量,以及將適用於身分識別的 Defender URL 設定為 Proxy 或防火牆所使用的任何明確允許清單。 |
允許單一 URL 存取因特網 不支援 SSL 檢查 |
設定端點 Proxy 和因特網連線設定 使用 Proxy 組態執行無訊息安裝 |
| ExpressRoute | ExpressRoute 可以設定為透過客戶的快速路由轉送 MDI 感測器流量。 若要路由傳送目的地為適用於身分識別的 Defender 雲端伺服器的網路流量,請使用 ExpressRoute Microsoft對等互連,並將 適用於身分識別的 Microsoft Defender (12076:5220) 服務 BGP 社群新增至您的路由篩選器。 |
需要 ExpressRoute | 服務對 BGP 社群的價值 |
| 防火牆,使用適用於身分識別的Defender Azure IP位址 | 沒有 Proxy 或 ExpressRoute 的客戶可以使用指派給 MDI 雲端服務的 IP 位址來設定其防火牆。 這需要客戶監視 Azure IP 位址清單,以取得 MDI 雲端服務所使用 IP 位址的任何變更。 如果您選擇此選項,建議您下載 Azure IP 範圍和服務標籤 – 公用雲 端檔案,並使用 AzureAdvancedThreatProtection 服務標籤來新增相關的 IP 位址。 |
客戶必須監視 Azure IP 指派 | 虛擬網路服務標籤 |
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 架構。
感測器需求和建議
下表摘要說明將安裝適用於身分識別的Defender感測器之域控制器、AD FS、AD CS、Entra Connect 伺服器的需求和建議。
| 必要條件/建議 | 描述 |
|---|---|
| 規格 | 請務必將適用於身分識別的Defender安裝在 Windows 2016 版或更新版本的域控制器伺服器上,且最小值為: - 2 個核心 - 6 GB RAM - 需要 6 GB 的磁碟空間,建議使用 10 GB,包括適用於身分識別的 Defender 二進位檔和記錄的空間 適用於身分識別的 Defender 支援 RODC) (只讀域控制器。 |
| 效能 | 為了達到最佳效能,請將執行適用於身分識別的 Defender 感測器之電腦的 Power Option 設定為 高效能。 |
| 網路介面設定 | 如果您使用 VMware 虛擬機,請確定虛擬機的 NIC 設定已停用大型傳送卸除 (LSO) 。 如需詳細資訊,請參閱 VMware 虛擬機感測器問題 。 |
| 維護期間 | 建議您為域控制器排程維護期間,因為如果安裝已執行且重新啟動已擱置,或需要安裝 .NET Framework,可能需要重新啟動。 如果在系統上找不到 .NET Framework 4.7 版或更新版本,則 .NET Framework 安裝 4.7 版,而且可能需要重新啟動。 |
最低作業系統需求
適用於身分識別的 Defender 感測器可以安裝在下列作業系統上:
- Windows Server 2016
-
Windows Server 2019 年。 需要 KB4487044 或較新的累積更新。 如果
ntdsai.dll在系統目錄中找到的檔案版本較舊,則安裝在 Server 2019 上但未安裝此更新的感測器將會自動停止than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
針對所有作業系統:
- 支援具有桌面體驗和伺服器核心的伺服器。
- 不支援 Nano 伺服器。
- 域控制器、AD FS 和 AD CS 伺服器支援安裝。
舊版操作系統
Windows Server 2012 和 Windows Server 2012 R2 已於 2023 年 10 月 10 日終止支援。
建議您規劃升級這些伺服器,因為Microsoft在執行 Windows Server 2012 和 Windows Server 2012 R2 的裝置上不再支援適用於身分識別的 Defender 感測器。
在這些操作系統上執行的感測器會繼續向適用於身分識別的 Defender 回報,甚至接收感測器更新,但某些新的功能將無法使用,因為它們可能依賴操作系統功能。
必要的埠
| Protocol (通訊協定) | 傳輸 | Port | 寄件者 | To |
|---|---|---|---|---|
| 因特網埠 | ||||
|
SSL (*.atp.azure.com) 或者, 設定透過 Proxy 的存取。 |
TCP | 443 | 適用於身分識別的Defender感測器 | 適用於身分識別的Defender雲端服務 |
| 內部埠 | ||||
| DNS | TCP 和 UDP | 53 | 適用於身分識別的Defender感測器 | DNS 伺服器 |
|
Netlogon (SMB、CIFS、SAM-R) |
TCP/UDP | 445 | 適用於身分識別的Defender感測器 | 網路上的所有裝置 |
| 半徑 | UDP | 1813 | 半徑 | 適用於身分識別的Defender感測器 |
|
Localhost 埠:感測器服務更新程式的必要埠 根據預設,除非自定義防火牆原則封鎖 localhost 到 localhost 流量,否則允許該流量。 |
||||
| SSL | TCP | 444 | 感測器服務 | 感測器更新程序服務 |
|
NNR) 埠 (網路名稱解析 若要將IP位址解析為計算機名稱,建議您開啟列出的所有埠。 不過,只需要一個埠。 |
||||
| 透過 RPC 的 NTLM | TCP | 埠 135 | 適用於身分識別的Defender感測器 | 網路上的所有裝置 |
| NetBIOS | UDP | 137 | 適用於身分識別的Defender感測器 | 網路上的所有裝置 |
|
RDP 只有 Client hello 的第一個封包會使用 UDP 53 (IP 位址的反向 DNS 查閱來查詢 DNS 伺服器) |
TCP | 3389 | 適用於身分識別的Defender感測器 | 網路上的所有裝置 |
如果您使用 多個樹系,請確定已在安裝適用於身分識別的 Defender 感測器的任何電腦上開啟下列埠:
| Protocol (通訊協定) | 傳輸 | 連接埠 | 來回 | 方向 |
|---|---|---|---|---|
| 因特網埠 | ||||
| SSL (*.atp.azure.com) | TCP | 443 | 適用於身分識別的Defender雲端服務 | 出埠 |
| 內部埠 | ||||
| LDAP | TCP 和 UDP | 389 | 網域控制站 | 出埠 |
| 保護LDAP (LDAPS) | TCP | 636 | 網域控制站 | 出埠 |
| LDAP 至全域目錄 | TCP | 3268 | 網域控制站 | 出埠 |
| LDAPS 至全域目錄 | TCP | 3269 | 網域控制站 | 出埠 |
易失記憶體需求
下表說明用於適用於身分識別的 Defender 感測器之伺服器上的記憶體需求,視您使用的虛擬化類型而定:
| 在上執行的 VM | 描述 |
|---|---|
| Hyper-V | 請確定 VM 未啟用 [ 啟用易失記憶體 ]。 |
| VMware | 請確定已設定的記憶體數量和保留的記憶體相同,或選取 VM 設定中的 [ 保留所有客體內存 (所有鎖定的) ] 選項。 |
| 其他虛擬化主機 | 請參閱廠商提供的文件,瞭解如何確保記憶體隨時都完全配置給 VM。 |
重要事項
以虛擬機身分執行時,所有記憶體都必須隨時配置給虛擬機。
時間同步處理
安裝感測器的伺服器和域控制器必須將時間同步到彼此相隔五分鐘內。
測試您的必要條件
建議您執行 Test-MdiReadiness.ps1 腳本來進行測試,並查看您的環境是否有必要的必要條件。
Test-MdiReadiness.ps1 文稿的連結也可從 Microsoft Defender 全面偵測回應 > 的 [身分識別工具] 頁面 (預覽) 取得。
相關內容
本文列出基本安裝所需的必要條件。 在 AD FS/AD CS 伺服器或 Entra Connect 上安裝、支援多個 Active Directory 樹系,或安裝適用於身分識別的獨立 Defender 感測器時,需要額外的必要條件。
如需詳細資訊,請參閱:
- 在AD FS和AD CS 伺服器上部署 適用於身分識別的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender 多樹系支援
- 適用於身分識別的 Microsoft Defender 獨立感測器必要條件
- 適用於身分識別的Defender架構