Conditions préalables de Microsoft Defender pour Identity
Cet article décrit les conditions requises pour un déploiement Microsoft Defender pour Identity réussi.
Conditions d'octroi de licence
Le déploiement de Defender pour Identity nécessite l’une des licences Microsoft 365 suivantes :
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sécurité
- Module complémentaire sécurité + conformité Microsoft 365 F5*
- Une licence Defender pour Identity autonome
* Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.
Acquérir des licences directement via le portail Microsoft 365 ou utiliser le modèle de licence Cloud Solution Partner (CSP).
Pour plus d’informations, consultez FAQ sur les licences et la confidentialité.
Autorisations requises
Pour créer votre espace de travail Defender pour Identity, vous avez besoin d’un locataire Microsoft Entra ID avec au moins un administrateur de sécurité.
Vous devez au moins accéder à l’administrateur de la sécurité sur votre locataire pour accéder à la section Identité de la zone Paramètres Microsoft Defender XDR et créer l’espace de travail.
Pour plus d’informations, consultez Microsoft Defender pour Identity groupes de rôles.
Nous vous recommandons d’utiliser au moins un compte de service d’annuaire, avec un accès en lecture à tous les objets dans les domaines surveillés. Pour plus d’informations, consultez Configurer un compte de service d’annuaire pour Microsoft Defender pour Identity.
Prérequis en matière de connectivité
Le capteur Defender pour Identity doit être en mesure de communiquer avec le service cloud Defender pour Identity, à l’aide de l’une des méthodes suivantes :
| Méthode | Description | Considérations | En savoir plus |
|---|---|---|---|
| Configurer un proxy | Les clients qui ont déployé un proxy de transfert peuvent tirer parti du proxy pour fournir une connectivité au service cloud MDI. Si vous choisissez cette option, vous configurerez votre proxy plus tard dans le processus de déploiement. Les configurations de proxy incluent l’autorisation du trafic vers l’URL du capteur et la configuration des URL Defender pour Identity vers toutes les listes d’autorisation explicites utilisées par votre proxy ou pare-feu. |
Autorise l’accès à Internet pour une SEULE URL L’inspection SSL n’est pas prise en charge |
Configurer les paramètres de proxy de point de terminaison et de connectivité Internet Exécuter une installation sans assistance avec une configuration de proxy |
| ExpressRoute | ExpressRoute peut être configuré pour transférer le trafic du capteur MDI sur l’itinéraire express du client. Pour acheminer le trafic réseau destiné aux serveurs cloud Defender pour Identity, utilisez le peering Microsoft ExpressRoute et ajoutez la communauté BGP du service Microsoft Defender pour Identity (12076:5220) à votre filtre de routage. |
Nécessite ExpressRoute | Valeur de la communauté service vers BGP |
| Pare-feu, à l’aide des adresses IP Azure Defender pour Identity | Les clients qui n’ont pas de proxy ou d’ExpressRoute peuvent configurer leur pare-feu avec les adresses IP affectées au service cloud MDI. Cela nécessite que le client surveille la liste d’adresses IP Azure pour rechercher les modifications apportées aux adresses IP utilisées par le service cloud MDI. Si vous avez choisi cette option, nous vous recommandons de télécharger le fichier Plages d’adresses IP et étiquettes de service Azure – Cloud public et d’utiliser la balise de service AzureAdvancedThreatProtection pour ajouter les adresses IP appropriées. |
Le client doit surveiller les affectations d’adresses IP Azure | Étiquettes de service de réseau virtuel |
Pour plus d’informations, consultez architecture Microsoft Defender pour Identity.
Exigences et recommandations relatives aux capteurs
Le tableau suivant récapitule la configuration requise et les recommandations pour le contrôleur de domaine, AD FS, AD CS et le serveur Entra Connect sur lequel vous allez installer le capteur Defender pour Identity.
| Prérequis / Recommandation | Description |
|---|---|
| Spécifications | Veillez à installer Defender pour Identity sur Windows version 2016 ou ultérieure, sur un serveur de contrôleur de domaine avec un minimum de : - 2 cœurs - 6 Go de RAM - 6 Go d’espace disque requis, 10 Go recommandés, y compris l’espace pour les fichiers binaires et les journaux Defender pour Identity Defender pour Identity prend en charge les contrôleurs de domaine en lecture seule (RODC). |
| Performances | Pour des performances optimales, définissez l’option d’alimentation de l’ordinateur exécutant le capteur Defender pour Identity sur Hautes performances. |
| Configuration de l’interface réseau | Si vous utilisez des machines virtuelles VMware, vérifiez que l’authentification LSO (Large Send Offload) est désactivée dans la configuration de la carte réseau de la machine virtuelle. Pour plus d’informations, consultez Problème de capteur de machine virtuelle VMware . |
| Fenêtre de maintenance | Nous vous recommandons de planifier une fenêtre de maintenance pour vos contrôleurs de domaine, car un redémarrage peut être nécessaire si l’installation s’exécute et qu’un redémarrage est déjà en attente, ou si .NET Framework doit être installé. Si .NET Framework version 4.7 ou ultérieure n’est pas déjà trouvé sur le système, .NET Framework version 4.7 est installé et peut nécessiter un redémarrage. |
Configuration minimale requise pour le système d’exploitation
Les capteurs Defender pour Identity peuvent être installés sur les systèmes d’exploitation suivants :
- Windows Server 2016
-
Windows Server 2019. Nécessite KB4487044 ou une mise à jour cumulative plus récente. Les capteurs installés sur Server 2019 sans cette mise à jour sont automatiquement arrêtés si la version du
ntdsai.dllfichier trouvée dans le répertoire système est plus anciennethan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Pour tous les systèmes d’exploitation :
- Les deux serveurs avec expérience de bureau et cœurs de serveur sont pris en charge.
- Les serveurs Nano ne sont pas pris en charge.
- Les installations sont prises en charge pour les contrôleurs de domaine, les serveurs AD FS et AD CS.
Systèmes d’exploitation hérités
Windows Server 2012 et Windows Server 2012 R2 ont atteint la fin du support prolongé le 10 octobre 2023.
Nous vous recommandons de planifier la mise à niveau de ces serveurs, car Microsoft ne prend plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2012 et Windows Server 2012 R2.
Les capteurs s’exécutant sur ces systèmes d’exploitation continueront de rendre compte à Defender pour Identity et même de recevoir les mises à jour du capteur, mais certaines des nouvelles fonctionnalités ne seront pas disponibles, car elles peuvent s’appuyer sur les fonctionnalités du système d’exploitation.
Ports requis
| Protocol (Protocole) | Transport | Port | From | To |
|---|---|---|---|---|
| Ports Internet | ||||
|
SSL (*.atp.azure.com) Vous pouvez également configurer l’accès via un proxy. |
TCP | 443 | Capteur Defender pour Identity | Service cloud Defender pour Identity |
| Ports internes | ||||
| DNS | TCP et UDP | 53 | Capteur Defender pour Identity | Serveurs DNS |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Capteur Defender pour Identity | Tous les appareils sur le réseau |
| RAYON | UDP | 1813 | RAYON | Capteur Defender pour Identity |
|
Ports Localhost : requis pour le générateur de mise à jour du service de capteur Par défaut, le trafic localhost vers localhost est autorisé, sauf si une stratégie de pare-feu personnalisée le bloque. |
||||
| SSL | TCP | 444 | Service de capteur | Service de mise à jour de capteur |
|
Ports de résolution de noms réseau (NNR) Pour résoudre les adresses IP en noms d’ordinateurs, nous vous recommandons d’ouvrir tous les ports répertoriés. Toutefois, un seul port est requis. |
||||
| NTLM sur RPC | TCP | Port 135 | Capteur Defender pour Identity | Tous les appareils sur le réseau |
| Netbios | UDP | 137 | Capteur Defender pour Identity | Tous les appareils sur le réseau |
|
RDP Seul le premier paquet de Client hello interroge le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53) |
TCP | 3389 | Capteur Defender pour Identity | Tous les appareils sur le réseau |
Si vous utilisez plusieurs forêts, assurez-vous que les ports suivants sont ouverts sur n’importe quel ordinateur sur lequel un capteur Defender pour Identity est installé :
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| Ports Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Service cloud Defender pour Identity | Sortant |
| Ports internes | ||||
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Sortant |
| LDAP vers catalogue global | TCP | 3268 | Contrôleurs de domaine | Sortant |
| LDAPS vers le catalogue global | TCP | 3269 | Contrôleurs de domaine | Sortant |
Besoins en mémoire dynamique
Le tableau suivant décrit la mémoire requise sur le serveur utilisé pour le capteur Defender pour Identity, en fonction du type de virtualisation que vous utilisez :
| Machine virtuelle en cours d’exécution sur | Description |
|---|---|
| Hyper-V | Vérifiez que l’option Activer la mémoire dynamique n’est pas activée pour la machine virtuelle. |
| VMware | Vérifiez que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option Réserver toute la mémoire invité (tout verrouillé) dans les paramètres de la machine virtuelle. |
| Autre hôte de virtualisation | Reportez-vous à la documentation fournie par le fournisseur pour vous assurer que la mémoire est entièrement allouée à la machine virtuelle à tout moment. |
Importante
Lors de l’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.
Synchronisation date/heure
Les serveurs et les contrôleurs de domaine sur lesquels le capteur est installé doivent avoir une synchronisation dans un délai de cinq minutes les uns des autres.
Tester vos prérequis
Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.
Le lien vers le script Test-MdiReadiness.ps1 est également disponible à partir de Microsoft Defender XDR, dans la page Outils Identités > (préversion).
Contenu connexe
Cet article répertorie les prérequis requis pour une installation de base. Des prérequis supplémentaires sont requis lors de l’installation sur un serveur AD FS/AD CS ou Entra Connect, pour prendre en charge plusieurs forêts Active Directory, ou lorsque vous installez un capteur Defender pour Identity autonome.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Déploiement de Microsoft Defender pour Identity sur des serveurs AD FS et AD CS
- Microsoft Defender pour Identity prise en charge de plusieurs forêts
- Microsoft Defender pour Identity composants requis pour les capteurs autonomes
- Architecture de Defender pour Identity