設定適用於身分識別的 Microsoft Defender 感應器

已完成

在高等級上，需要執行以下步驟才能啟用適用於身分識別的 Microsoft Defender：

1. 在適用於身分識別的 Microsoft Defender 管理入口網站上建立執行個體。
2. 在適用於身分識別的 Microsoft Defender 入口網站中指定內部部署的 AD 服務帳戶。
3. 下載並安裝感應器套裝軟體。
4. 在所有網域控制站上安裝適用於身分識別的 Microsoft Defender 感應器。
5. 整合您的 VPN 解決方案（選用）。
6. 排除您在設計程式過程中列出的的機密帳戶。
7. 設定感應器執行 SAM-R 調用所需的權限。
8. 設定與 Microsoft 雲端 App 安全性的整合。
9. 設定與 Microsoft Defender XDR 的整合 (選擇性) 。

下列圖表顯示適用於身分識別的 Microsoft Defender 架構。 在這個單元中，我們將討論如何設定適用於身分識別的 Microsoft Defender 感應器。

直接安裝在您網域控制站上之適用於身分識別的 Microsoft Defender 感應器，會直接從網域控制站存取所需的事件記錄檔。 當感應器剖析記錄檔和網路流量之後，適用於身分識別的 Microsoft Defender 只會將已剖析的資訊傳送到適用於身分識別的 Microsoft Defender 雲端服務 (只傳送百分比的記錄檔)。

適用於身分識別的 Microsoft Defender 感應器具有下列核心功能：

• 擷取並檢查網網域控制器網路流量（網域控制器的本機流量）
• 從網域控制器直接接收 Windows 事件
• 從您的 VPN 供應商接收 RADIUS 記帳資訊
• 從 Active Directory 網域中檢索使用者和電腦的相關資料
• 執行網路實體（使用者、群組及電腦）的解決方案
• 將相關資料傳送到適用於身分識別的 Microsoft Defender 雲端服務

適用於身分識別的 Microsoft Defender 感應器有下列需求：

• KB4487044 已安裝在 Server 2019 上。 已安裝在 2019 伺服器上卻沒有此更新之適用於身分識別的 Microsoft Defender ，將會自動停止。
• 適用於身分識別的 Microsoft Defender 感應器支援的網域控制站 OS 清單：
  • Windows Server 2008 R2 SP1 （不包括伺服器核心）
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016 （含 Windows Server Core，但不含 Windows Nano Server）
  • Windows Server 2019 （含 Windows Core，但不含 windows Nano Server）
• 網域控制站可以是唯讀網域控制器（RODC）。
• 建議 10 GB 的磁碟空間。 這包含適用於身分識別的 Microsoft Defender 二進位檔、適用於身分識別的 Microsoft Defender 記錄檔，和效能記錄檔所需的空間。
• 適用於身分識別的 Microsoft Defender 感應器最少需要在網域控制站上安裝 2 個核心和 6 GB 的 RAM。
• 強化為高效能之適用於身分識別的 Microsoft Defender 選項。
• 取決於進出網域控制站的網路流量多寡，和所安裝的資源數量，適用於身分識別的 Microsoft Defender 感應器可以部署在各式各樣負載和大小的網域控制站上。
• 當以虛擬機器執行時，不支援動態記憶體或任何其他記憶體佔用功能。

若要安裝適用於身分識別的 Microsoft Defender 感應器

1. 下載並解壓縮感應器檔案。 請執行 Microsoft Defender for Identity sensor setup.exe，並遵循安裝精靈操作。
2. 在歡迎頁面上，選取您的語言，然後按一下下一步。

3. 安裝精靈會自動檢查伺服器是網域控制器或專用伺服器。 如果是網域控制站，則是安裝適用於身分識別的 Microsoft Defender 感應器。 如果是專用伺服器，則是安裝適用於身分識別的 Microsoft Defender 獨立感應器。 例如，針對適用於身分識別的 Microsoft Defender 感應器，系統會顯示下列畫面以讓您知道您的專用伺服器上已安裝適用於身分識別的 Microsoft Defender 感應器：

   

4. 在 設定感應器下，根據您的環境輸入安裝路徑和存取鍵：

   • 安裝路徑：適用於身分識別的 Microsoft Defender 感應器安裝的位置。 根據預設，路徑是 %programfiles%\Microsoft Defender for Identity sensor。 保留預設值。
   • 存取鍵：已從適用於身分識別的 Microsoft Defender 入口網站中擷取。

   

5. 按一下安裝。

在安裝適用於身分識別的 Microsoft Defender 感應器之後，請執行下列動作以進行適用於身分識別的 Microsoft Defender 感應器設定：

1. 按一下 [啟動]以開啟您的瀏覽器，並登入適用於身分識別的 Microsoft Defender 入口網站。

2. 在適用於身分識別的 Microsoft Defender 入口網站中，移至 [設定]。 選取 [系統] 區段底下的 [感應器]。

   

3. 按一下您要設定的感應器，並輸入下列資訊：

   • 描述：輸入適用於身分識別的 Microsoft Defender 感應器描述 (選用)。

   • 網域控制站 (FQDN) (適用於身分識別的 Microsoft Defender 獨立感應器的必要項，不能改為使用適用於身分識別的 Microsoft Defender 感應器)：輸入您網域控制站的完整 FQDN，然後按一下 [加號] 以將它新增到清單中。 例如，dc01.contoso.com。

     下列資訊適用於您在網域控制器清單中輸入的伺服器：

     • 所有由適用於身分識別的 Microsoft Defender 獨立感應器的連接埠鏡像監視其流量的網域控制站，都必須列在網域控制站清單中。 如果網網域控制器沒有列在網域控制器清單中，則可疑活動的檢測可能無法如預期運作。
     • 清單中至少有一個網域控制器應為通用類別目錄。 這可讓適用於身分識別的 Microsoft Defender 解析樹系中其他網域內的電腦和使用者物件。

   • 擷取網路介面卡 (必要)：

     • 針對適用於身分識別的 Microsoft Defende 感應器, 所有網路介面卡是用來與貴組織中的其他電腦通訊。
     • 針對專用伺服器上的適用於身分識別的 Microsoft Defender 獨立感應器，請選取設定為目的地鏡像連接埠的網路介面卡。 這些網路介面卡會接收鏡像的網域控制器流量。

   

4. 按一下儲存。