Microsoft Defender for Identity wymagania wstępne
W tym artykule opisano wymagania dotyczące pomyślnego wdrożenia Microsoft Defender for Identity.
Wymagania dotyczące licencjonowania
Wdrożenie usługi Defender for Identity wymaga jednej z następujących licencji platformy Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Bezpieczeństwo
- Zabezpieczenia i zgodność platformy Microsoft 365 F5*
- Autonomiczna licencja usługi Defender for Identity
* Obie licencje F5 wymagają Microsoft 365 F1/F3 lub Office 365 F3 i Enterprise Mobility + Security E3.
Uzyskaj licencje bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub użyj modelu licencjonowania cloud solution partner (CSP).
Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące licencjonowania i ochrony prywatności.
Wymagane uprawnienia
Aby utworzyć obszar roboczy usługi Defender for Identity, potrzebujesz dzierżawy Tożsamość Microsoft Entra z co najmniej jednym administratorem zabezpieczeń.
Aby uzyskać dostęp do sekcji Tożsamość obszaru ustawień Microsoft Defender XDR i utworzyć obszar roboczy, potrzebujesz co najmniej dostępu administratora zabezpieczeń w dzierżawie.
Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity grupy ról.
Zalecamy używanie co najmniej jednego konta usługi katalogowej z dostępem do odczytu do wszystkich obiektów w monitorowanych domenach. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi katalogowej dla Microsoft Defender for Identity.
Wymagania dotyczące łączności
Czujnik usługi Defender for Identity musi być w stanie komunikować się z usługą w chmurze Defender for Identity przy użyciu jednej z następujących metod:
| Metoda | Opis | Zagadnienia dotyczące | Dowiedz się więcej |
|---|---|---|---|
| Konfigurowanie serwera proxy | Klienci, którzy mają wdrożony serwer proxy przesyłania dalej, mogą korzystać z serwera proxy w celu zapewnienia łączności z usługą mdi w chmurze. Jeśli wybierzesz tę opcję, skonfigurujesz serwer proxy w dalszej części procesu wdrażania. Konfiguracje serwera proxy obejmują zezwalanie na ruch do adresu URL czujnika i konfigurowanie adresów URL usługi Defender for Identity do wszelkich jawnych list dozwolonych używanych przez serwer proxy lub zaporę. |
Zezwala na dostęp do Internetu dla pojedynczego adresu URL Inspekcja protokołu SSL nie jest obsługiwana |
Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem Uruchamianie instalacji dyskretnej z konfiguracją serwera proxy |
| ExpressRoute | Usługę ExpressRoute można skonfigurować tak, aby przekazywała ruch czujnika MDI przez trasę ekspresowa klienta. Aby kierować ruch sieciowy kierowany do serwerów w chmurze usługi Defender for Identity, użyj komunikacji równorzędnej usługi ExpressRoute firmy Microsoft i dodaj społeczność protokołu BGP usługi Microsoft Defender for Identity (12076:5220) do filtru tras. |
Wymaga usługi ExpressRoute | Wartość społeczności usługi dla protokołu BGP |
| Zapora przy użyciu adresów IP platformy Azure usługi Defender for Identity | Klienci, którzy nie mają serwera proxy lub usługi ExpressRoute, mogą skonfigurować zaporę przy użyciu adresów IP przypisanych do usługi MDI w chmurze. Wymaga to, aby klient monitorował listę adresów IP platformy Azure pod kątem wszelkich zmian w adresach IP używanych przez usługę MDI w chmurze. W przypadku wybrania tej opcji zalecamy pobranie pliku Zakresy adresów IP i tagi usługi platformy Azure — chmura publiczna i użycie tagu usługi AzureAdvancedThreatProtection w celu dodania odpowiednich adresów IP. |
Klient musi monitorować przypisania adresów IP platformy Azure | Tagi usługi sieci wirtualnej |
Aby uzyskać więcej informacji, zobacz architekturę Microsoft Defender for Identity.
Wymagania i zalecenia dotyczące czujników
Poniższa tabela zawiera podsumowanie wymagań i zaleceń dotyczących kontrolera domeny, usług AD FS, AD CS, serwera Entra Connect, na którym zostanie zainstalowany czujnik usługi Defender for Identity.
| Wymagania wstępne/zalecenie | Opis |
|---|---|
| Specyfikacje | Pamiętaj, aby zainstalować usługę Defender for Identity w systemie Windows w wersji 2016 lub nowszej na serwerze kontrolera domeny z co najmniej: - 2 rdzenie - 6 GB pamięci RAM - 6 GB wymaganego miejsca na dysku, zalecane 10 GB, w tym miejsce dla plików binarnych i dzienników usługi Defender for Identity Usługa Defender for Identity obsługuje kontrolery domeny tylko do odczytu (RODC). |
| Wydajność | Aby uzyskać optymalną wydajność, ustaw opcję zasilania maszyny z uruchomionym czujnikiem usługi Defender for Identity na wartość Wysoka wydajność. |
| Konfiguracja interfejsu sieciowego | Jeśli używasz maszyn wirtualnych VMware, upewnij się, że konfiguracja karty sieciowej maszyny wirtualnej ma wyłączone duże odciążanie wysyłania (LSO). Aby uzyskać więcej informacji , zobacz VMware virtual machine sensor issue (Problem z czujnikiem maszyny wirtualnej VMware ). |
| Okno obsługi | Zalecamy zaplanowanie okna obsługi kontrolerów domeny, ponieważ może być wymagane ponowne uruchomienie, jeśli instalacja jest uruchomiona, a ponowne uruchomienie jest już oczekujące lub jeśli .NET Framework wymaga zainstalowania. Jeśli .NET Framework wersja 4.7 lub nowsza nie została jeszcze znaleziona w systemie, .NET Framework jest zainstalowana wersja 4.7 i może wymagać ponownego uruchomienia. |
Minimalne wymagania dotyczące systemu operacyjnego
Czujniki usługi Defender for Identity można zainstalować w następujących systemach operacyjnych:
- Windows Server 2016
-
Windows Server 2019 r. Wymaga KB4487044 lub nowszej aktualizacji zbiorczej. Czujniki zainstalowane na serwerze 2019 bez tej aktualizacji zostaną automatycznie zatrzymane, jeśli
ntdsai.dllwersja pliku znaleziona w katalogu systemowym jest starszathan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025 r.
Dla wszystkich systemów operacyjnych:
- Obsługiwane są oba serwery ze środowiskiem pulpitu i rdzeniami serwera.
- Serwery nano nie są obsługiwane.
- Instalacje są obsługiwane dla kontrolerów domeny, usług AD FS i serwerów usług AD CS.
Starsze systemy operacyjne
Windows Server 2012 i Windows Server 2012 R2 osiągnęły rozszerzony koniec wsparcia 10 października 2023 r.
Zalecamy uaktualnienie tych serwerów, ponieważ firma Microsoft nie obsługuje już czujnika usługi Defender for Identity na urządzeniach z systemem Windows Server 2012 i Windows Server 2012 R2.
Czujniki działające w tych systemach operacyjnych będą nadal raportować do usługi Defender for Identity, a nawet otrzymywać aktualizacje czujników, ale niektóre nowe funkcje nie będą dostępne, ponieważ mogą polegać na możliwościach systemu operacyjnego.
Wymagane porty
| Protocol (Protokół) | Transport | Port | Od | Do |
|---|---|---|---|---|
| Porty internetowe | ||||
|
SSL (*.atp.azure.com) Alternatywnie skonfiguruj dostęp za pośrednictwem serwera proxy. |
TCP | 443 | Czujnik usługi Defender for Identity | Usługa w chmurze Defender for Identity |
| Porty wewnętrzne | ||||
| DNS | TCP i UDP | 53 | Czujnik usługi Defender for Identity | Serwery DNS |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
| PROMIEŃ | UDP | 1813 | PROMIEŃ | Czujnik usługi Defender for Identity |
|
Porty hosta lokalnego: wymagane dla aktualizacji usługi czujnika Domyślnie ruch hosta lokalnego do hosta lokalnego jest dozwolony, chyba że niestandardowe zasady zapory go blokują. |
||||
| Protokół SSL | TCP | 444 | Usługa czujników | Usługa aktualizowania czujników |
|
Porty rozpoznawania nazw sieci (NNR) Aby rozpoznać adresy IP do nazw komputerów, zalecamy otwarcie wszystkich wymienionych portów. Wymagany jest jednak tylko jeden port. |
||||
| NTLM za pośrednictwem RPC | TCP | Port 135 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
| Netbios | UDP | 137 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
|
RDP Tylko pierwszy pakiet funkcji Hello klienta wysyła zapytanie do serwera DNS przy użyciu odwrotnego wyszukiwania DNS adresu IP (UDP 53) |
TCP | 3389 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
Jeśli pracujesz z wieloma lasami, upewnij się, że następujące porty są otwierane na dowolnej maszynie, na której zainstalowano czujnik usługi Defender for Identity:
| Protocol (Protokół) | Transport | Port | Do/z | Kierunek |
|---|---|---|---|---|
| Porty internetowe | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Usługa w chmurze Defender for Identity | Wychodzące |
| Porty wewnętrzne | ||||
| LDAP | TCP i UDP | 389 | Kontrolery domeny | Wychodzące |
| Bezpieczny protokół LDAP (LDAPS) | TCP | 636 | Kontrolery domeny | Wychodzące |
| Protokół LDAP do wykazu globalnego | TCP | 3268 | Kontrolery domeny | Wychodzące |
| LDAPS do wykazu globalnego | TCP | 3269 | Kontrolery domeny | Wychodzące |
Wymagania dotyczące pamięci dynamicznej
W poniższej tabeli opisano wymagania dotyczące pamięci na serwerze używanym dla czujnika usługi Defender for Identity w zależności od używanego typu wirtualizacji:
| Maszyna wirtualna uruchomiona na | Opis |
|---|---|
| Funkcja Hyper-V | Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej. |
| VMware | Upewnij się, że ilość skonfigurowanej pamięci i pamięć zarezerwowana są takie same, lub wybierz opcję Zarezerwuj całą pamięć gościa (Wszystkie zablokowane) w ustawieniach maszyny wirtualnej. |
| Inny host wirtualizacji | Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest w pełni przydzielona do maszyny wirtualnej przez cały czas. |
Ważna
Podczas uruchamiania jako maszyna wirtualna cała pamięć musi być przydzielana do maszyny wirtualnej przez cały czas.
Synchronizacja czasu
Serwery i kontrolery domeny, na których jest zainstalowany czujnik, muszą mieć czas zsynchronizowany w ciągu pięciu minut od siebie.
Testowanie wymagań wstępnych
Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma wymagane wymagania wstępne.
Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w Microsoft Defender XDR na stronie Narzędzia tożsamości > (wersja zapoznawcza).
Zawartość pokrewna
W tym artykule wymieniono wymagania wstępne wymagane do instalacji podstawowej. Dodatkowe wymagania wstępne są wymagane podczas instalowania na serwerze usług AD FS/AD CS lub Entra Connect, do obsługi wielu lasów usługi Active Directory lub podczas instalowania autonomicznego czujnika usługi Defender for Identity.
Więcej informacji można znaleźć w następujących artykułach:
- Wdrażanie Microsoft Defender for Identity na serwerach usług AD FS i AD CS
- obsługa wielu lasów Microsoft Defender for Identity
- Microsoft Defender for Identity wymagania wstępne dotyczące czujnika autonomicznego
- Architektura usługi Defender for Identity