Microsoft Defender for Identity krav
I den här artikeln beskrivs kraven för en lyckad Microsoft Defender for Identity distribution.
Licensieringskrav
Distribution av Defender for Identity kräver någon av följande Microsoft 365-licenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Säkerhet
- Säkerhet och efterlevnad för Microsoft 365 F5*
- En fristående Defender for Identity-licens
* Båda F5-licenserna kräver Microsoft 365 F1/F3 eller Office 365 F3 och Enterprise Mobility + Security E3.
Skaffa licenser direkt via Microsoft 365-portalen eller använd csp-licensieringsmodellen (Cloud Solution Partner).
Mer information finns i Vanliga frågor och svar om licensiering och sekretess.
Nödvändiga behörigheter
Om du vill skapa din Defender for Identity-arbetsyta behöver du en Microsoft Entra ID klientorganisation med minst en säkerhetsadministratör.
Du behöver minst säkerhetsadministratörsåtkomst i klientorganisationen för att få åtkomst till avsnittet Identitet i området Microsoft Defender XDR Inställningar och skapa arbetsytan.
Mer information finns i Microsoft Defender for Identity rollgrupper.
Vi rekommenderar att du använder minst ett Katalogtjänstkonto med läsåtkomst till alla objekt i de övervakade domänerna. Mer information finns i Konfigurera ett katalogtjänstkonto för Microsoft Defender for Identity.
Anslutningskrav
Defender for Identity-sensorn måste kunna kommunicera med molntjänsten Defender för identitet med någon av följande metoder:
| Metod | Beskrivning | Överväganden | Mer information |
|---|---|---|---|
| Konfigurera en proxy | Kunder som har en vidarebefordrad proxy distribuerad kan dra nytta av proxyn för att tillhandahålla anslutning till MDI-molntjänsten. Om du väljer det här alternativet konfigurerar du proxyn senare i distributionsprocessen. Proxykonfigurationer omfattar att tillåta trafik till sensor-URL:en och konfigurera URL:er för Defender for Identity till explicita tillåtna listor som används av proxyn eller brandväggen. |
Tillåter åtkomst till Internet för en enda URL SSL-inspektion stöds inte |
Konfigurera inställningar för slutpunktsproxy och Internetanslutning Köra en tyst installation med en proxykonfiguration |
| ExpressRoute | ExpressRoute kan konfigureras för att vidarebefordra MDI-sensortrafik via kundens expressväg. Om du vill dirigera nätverkstrafik till Defender for Identity-molnservrar använder du ExpressRoute Microsoft-peering och lägger till BGP-communityn för tjänsten Microsoft Defender for Identity (12076:5220) i vägfiltret. |
Kräver ExpressRoute | Communityvärde för tjänst till BGP |
| Brandvägg med Azure IP-adresser för Defender for Identity | Kunder som inte har någon proxy eller ExpressRoute kan konfigurera sin brandvägg med de IP-adresser som tilldelats till MDI-molntjänsten. Detta kräver att kunden övervakar Azure IP-adresslistan för eventuella ändringar i de IP-adresser som används av MDI-molntjänsten. Om du väljer det här alternativet rekommenderar vi att du laddar ned filen Azure IP Ranges and Service Tags – Public Cloud och använder tjänsttaggen AzureAdvancedThreatProtection för att lägga till relevanta IP-adresser. |
Kunden måste övervaka Azure IP-tilldelningar | Tjänsttaggar för virtuellt nätverk |
Mer information finns i Microsoft Defender for Identity arkitektur.
Sensorkrav och rekommendationer
I följande tabell sammanfattas krav och rekommendationer för domänkontrollanten, AD FS, AD CS, Entra Connect-servern där du installerar Defender for Identity-sensorn.
| Krav/rekommendation | Beskrivning |
|---|---|
| Specifikationer | Se till att installera Defender for Identity på Windows version 2016 eller senare på en domänkontrollantserver med minst: - 2 kärnor - 6 GB RAM-minne - 6 GB diskutrymme krävs, 10 GB rekommenderas, inklusive utrymme för Defender för identitet binärfiler och loggar Defender for Identity stöder skrivskyddade domänkontrollanter (RODC). |
| Prestanda | För optimala prestanda ställer du in Energialternativet för den dator som kör Defender for Identity-sensorn på Höga prestanda. |
| Konfiguration av nätverksgränssnitt | Om du använder virtuella VMware-datorer kontrollerar du att den virtuella datorns NIC-konfiguration har stor avlastning (LSO) inaktiverad. Mer information finns i sensorproblem med virtuella VMware-datorer . |
| Underhållsperiod | Vi rekommenderar att du schemalägger en underhållsperiod för domänkontrollanterna eftersom en omstart kan krävas om installationen körs och en omstart redan väntar eller om .NET Framework måste installeras. Om .NET Framework version 4.7 eller senare inte redan finns i systemet installeras .NET Framework version 4.7 och kan kräva en omstart. |
Lägsta operativsystemkrav
Defender for Identity-sensorer kan installeras på följande operativsystem:
- Windows Server 2016
-
Windows Server 2019. Kräver KB4487044 eller en nyare kumulativ uppdatering. Sensorer som installeras på Server 2019 utan den här uppdateringen stoppas automatiskt om
ntdsai.dllfilversionen som finns i systemkatalogen är äldrethan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
För alla operativsystem:
- Båda servrarna med skrivbordsmiljö och serverkärnor stöds.
- Nano-servrar stöds inte.
- Installationer stöds för domänkontrollanter, AD FS- och AD CS-servrar.
Äldre operativsystem
Windows Server 2012 och Windows Server 2012 R2 nådde förlängd support upphörde den 10 oktober 2023.
Vi rekommenderar att du planerar att uppgradera servrarna eftersom Microsoft inte längre stöder Defender for Identity-sensorn på enheter som kör Windows Server 2012 och Windows Server 2012 R2.
Sensorer som körs på dessa operativsystem fortsätter att rapportera till Defender for Identity och tar till och med emot sensoruppdateringarna, men vissa av de nya funktionerna kommer inte att vara tillgängliga eftersom de kan förlita sig på operativsystemfunktioner.
Nödvändiga portar
| Protokoll | Transport | Port | Från | Till |
|---|---|---|---|---|
| Internetportar | ||||
|
SSL (*.atp.azure.com) Alternativt kan du konfigurera åtkomst via en proxy. |
TCP | 443 | Defender for Identity-sensor | Molntjänst för Defender for Identity |
| Interna portar | ||||
| DNS | TCP och UDP | 53 | Defender for Identity-sensor | DNS-servrar |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-sensor | Alla enheter i nätverket |
| RADIE | UDP | 1813 | RADIE | Defender for Identity-sensor |
|
Localhost-portar: Krävs för sensortjänstuppdateringen Som standard tillåts localhost till localhost-trafik om inte en anpassad brandväggsprincip blockerar den. |
||||
| SSL | TCP | 444 | Sensortjänst | Sensoruppdateringstjänst |
|
NNR-portar (Network Name Resolution) För att matcha IP-adresser med datornamn rekommenderar vi att du öppnar alla portar i listan. Det krävs dock bara en port. |
||||
| NTLM över RPC | TCP | Port 135 | Defender for Identity-sensor | Alla enheter i nätverket |
| Netbios | UDP | 137 | Defender for Identity-sensor | Alla enheter i nätverket |
|
RDP Endast det första paketet med klienthälsning frågar DNS-servern med omvänd DNS-sökning av IP-adressen (UDP 53) |
TCP | 3389 | Defender for Identity-sensor | Alla enheter i nätverket |
Om du arbetar med flera skogar kontrollerar du att följande portar är öppna på alla datorer där en Defender for Identity-sensor är installerad:
| Protokoll | Transport | Port | Till/från | Riktning |
|---|---|---|---|---|
| Internetportar | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Molntjänst för Defender for Identity | Utgående |
| Interna portar | ||||
| LDAP | TCP och UDP | 389 | Domänkontrollanter | Utgående |
| Säker LDAP (LDAPS) | TCP | 636 | Domänkontrollanter | Utgående |
| LDAP till global katalog | TCP | 3268 | Domänkontrollanter | Utgående |
| LDAPS till global katalog | TCP | 3269 | Domänkontrollanter | Utgående |
Krav för dynamiskt minne
I följande tabell beskrivs minneskraven på den server som används för Defender for Identity-sensorn, beroende på vilken typ av virtualisering du använder:
| Virtuell dator som körs på | Beskrivning |
|---|---|
| Hyper-V | Kontrollera att Aktivera dynamiskt minne inte är aktiverat för den virtuella datorn. |
| VMware | Kontrollera att mängden minne som konfigurerats och det reserverade minnet är detsamma, eller välj alternativet Reservera allt gästminne (alla låsta) i inställningarna för den virtuella datorn. |
| Annan virtualiseringsvärd | Läs dokumentationen från leverantören om hur du alltid ser till att minnet allokeras till den virtuella datorn. |
Viktigt
När du kör som en virtuell dator måste allt minne allokeras till den virtuella datorn hela tiden.
Tidssynkronisering
De servrar och domänkontrollanter som sensorn är installerad på måste ha tid synkroniserad till inom fem minuter från varandra.
Testa dina förutsättningar
Vi rekommenderar att du körTest-MdiReadiness.ps1 skriptet för att testa och se om din miljö har de nödvändiga förutsättningarna.
Länken till Test-MdiReadiness.ps1-skriptet är också tillgänglig från Microsoft Defender XDR på sidan Identitetsverktyg > (förhandsversion).
Relaterat innehåll
Den här artikeln innehåller krav som krävs för en grundläggande installation. Ytterligare krav krävs när du installerar på en AD FS/AD CS-server eller Entra Connect, för att stödja flera Active Directory-skogar eller när du installerar en fristående Defender for Identity-sensor.
Mer information finns i:
- Distribuera Microsoft Defender for Identity på AD FS- och AD CS-servrar
- Microsoft Defender for Identity stöd för flera skogar
- Microsoft Defender for Identity fristående sensorkrav
- Defender for Identity-arkitektur