نشر أداة استشعار Defender for Identity v3.x

انشر مستشعر Defender for Identity v3.x على وحدات التحكم بالمجال المدعومة. أكمل عمليات التحقق من المتطلبات الأساسية قبل التنشيط، ثم قم بتكوين إعدادات التدقيق والهوية بعد ذلك.

قبل التنشيط

أكمل هذه الفحوصات قبل تنشيط أداة الاستشعار.

قيود إصدار المستشعر

قبل تنشيط مستشعر Defender for Identity v3.x، لاحظ أن v3.x:

  • لا يدعم تكامل VPN.
  • لا يدعم إعلامات syslog.
  • لديه قيود تعمل مع Azure ExpressRoute. لمزيد من المعلومات، راجع Azure ExpressRoute ل Microsoft 365.
  • لا يدعم ترحيل وحدات التحكم بالمجال التي تعمل بنظام التشغيل Windows Server 2025 من أداة الاستشعار v2.x إلى أداة الاستشعار v3.x. لمزيد من المعلومات، القيود المعروفة. .

متطلبات الخادم

تأكد من أن الخادم الذي تقوم بتنشيط المستشعر عليه:

  • تم نشر Defender لنقطة النهاية على الخادم. يمكن أن يكون مكون برنامج الحماية من الفيروسات من Microsoft Defender في الوضع النشط أو الخامل. يجب إلحاق Defender لنقطة النهاية على الخادم حيث يتم تشغيل أداة الاستشعار؛ توزيع نقطة النهاية فقط غير كاف.
  • لا يحتوي على مستشعر Defender for Identity v2.x تم نشره بالفعل.
  • يعمل بنظام التشغيل Windows Server 2019 أو إصدار أحدث.
  • يتضمن التحديث التراكمي لشهر مارس 2026 أو أحدث .

أنواع الخوادم المدعومة

يدعم مستشعر v3.x وحدات التحكم بالمجال، بما في ذلك وحدات التحكم بالمجال بأدوار الهوية هذه:

  • خدمات الأمان المشترك لـ Active Directory (AD FS)
  • خدمات شهادات Active Directory (AD CS)
  • Microsoft Entra Connect

استخدم أداة استشعار Defender for Identity v2.x للخوادم التي ليست وحدات تحكم بالمجال وقم بتشغيل AD FS أو AD CS أو Microsoft Entra Connect.

متطلبات الترخيص

يتطلب نشر Defender for Identity أحد تراخيص Microsoft 365 التالية:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • أمان Microsoft 365 E5/A5/G5/F5*
  • Microsoft 365 F5 Security + Compliance*

يتطلب كلا ترخيصي F5 Microsoft 365 F1/F3 أو Office 365 F3 وEnterprise Mobility + Security E3. شراء التراخيص في مدخل Microsoft 365 أو من خلال ترخيص شريك حلول السحابة (CSP). لمزيد من المعلومات، راجع الأسئلة المتداولة حول الترخيص والخصوصية.

الأدوار والأذونات

متطلبات الشبكة

يستخدم مستشعر Defender for Identity نفس معرفات URI مثل Microsoft Defender لنقطة النهاية. راجع المستندات التالية ل Defender لنقطة النهاية، استنادا إلى اتصال النظام الخاص بك، للعثور على القائمة الكاملة لنقاط نهاية الخدمة المطلوبة.

متطلبات الذاكرة

يصف الجدول التالي متطلبات الذاكرة على الخادم المستخدم لمستشعر Defender for Identity، اعتمادا على نوع الظاهرية التي تستخدمها:

الجهاز الظاهري قيد التشغيل الوصف
Hyper-V تأكد من عدم تمكين تمكين الذاكرة الديناميكية للجهاز الظاهري.
ير تأكد من أن مقدار الذاكرة التي تم تكوينها والذاكرة المحجوزة هي نفسها، أو حدد الخيار حجز كل ذاكرة الضيف (جميعها مؤمنة) في إعدادات الجهاز الظاهري.
مضيف ظاهرية آخر راجع الوثائق التي يوفرها المورد حول كيفية التأكد من تخصيص الذاكرة بالكامل دائما للأجهزة الظاهرية.

هام

عند التشغيل كجهة ظاهرية، قم دائما بتخصيص جميع الذاكرة للجهاز الظاهري.

يمنع الإصدار 3 من أداة الاستشعار من الإفراط في استخدام وحدة المعالجة المركزية أو الذاكرة عن طريق الحد من استخدام وحدة المعالجة المركزية عند 30٪، واستخدام الذاكرة إلى 1.5 غيغابايت. ومع ذلك، إذا كانت أي خدمة أخرى تستخدم موارد نظام كبيرة، فقد لا تزال وحدة التحكم بالمجال تواجه إجهادا في الأداء.

راجع وثائق Defender for Identity Capacity Planning لتحديد ما إذا كانت خوادم وحدة التحكم بالمجال لديك تحتوي على موارد كافية لمستشعر Microsoft Defender for Identity.

متطلبات حساب الخدمة

يستخدم مستشعر v3.x هوية النظام المحلي للخادم ل Active Directory وإجراءات الاستجابة. لا يدعم حسابات خدمة الدليل (DSA) أو حسابات الخدمة المدارة للمجموعة (gMSA). LocalSystem هي الهوية الوحيدة المدعومة ل v3.x.

إذا كنت تقوم بالترحيل من أداة الاستشعار v2.x وكان لديك في السابق gMSA تم تكوينه لحسابات الإجراءات، يجب إزالته. إذا ظل gMSA ممكنا، فلن تعمل إجراءات الاستجابة، بما في ذلك تعطيل الهجوم.

هام

في البيئات التي تستخدم كل من مستشعرات v2 وv3، استخدم حسابات النظام المحلي لجميع أدوات الاستشعار الخاصة بك.

اختبار المتطلبات الأساسية الخاصة بك

قم بتشغيل البرنامج النصي Test-MdiReadiness.ps1 لاختبار ما إذا كانت بيئتك تحتوي على المتطلبات الأساسية الضرورية.

يتوفر البرنامج النصي Test-MdiReadiness.ps1 أيضا من Microsoft Defender XDR، في صفحة أدوات الهويات > (معاينة).

تنشيط أداة الاستشعار

بعد تأكيد جميع المتطلبات الأساسية، قم بتنشيط المستشعر من مدخل Microsoft Defender.

بعد التنشيط

أكمل خطوات التكوين هذه بعد تنشيط المستشعر وتشغيله.

تكوين تدقيق أحداث Windows

يعتمد Defender for Identity على سجلات أحداث Windows للعديد من عمليات الكشف. بالنسبة لمستشعرات v3.x على وحدات التحكم بالمجال، قم بتمكين التدقيق التلقائي، والذي يعالج جميع إعدادات التدقيق دون تكوين يدوي.

إذا لم يكن التدقيق التلقائي متوفرا أو قمت بإلغاء الاشتراك، فكون التدقيق يدويا أو استخدم PowerShell.

تكوين تدقيق RPC

لتحسين رؤية الأمان وفتح المزيد من عمليات الكشف عن الهوية، قم بتطبيق علامة تدقيق RPC للمستشعر الموحد على أجهزتك. بمجرد تطبيقه، يتم فرض التكوين على جميع الأجهزة الحالية والمستقبلية التي تطابق معايير القاعدة. العلامة مرئية في مخزون الجهاز للشفافية والتدقيق.

لتطبيق العلامة:

  1. في مدخل Microsoft Defender، انتقل إلى: > System Settings > Microsoft Defender XDR > Asset Rule Management.

  2. حدد إنشاء قاعدة جديدة.

    لقطة شاشة توضح كيفية إضافة قاعدة جديدة.

  3. في اللوحة الجانبية:

    1. أدخل اسم القاعدةوالوصف.
    2. تعيين شروط القاعدة باستخدام Device nameأو Domainأو Device tag لاستهداف الأجهزة المطلوبة. وحدات التحكم بالمجال المستهدفة مع تثبيت أداة الاستشعار v3.x.
    3. تأكد من نشر مستشعر Defender for Identity v3.x بالفعل على الأجهزة المحددة.

  4. أضف علامة تدقيق RPC للمستشعر الموحد إلى الأجهزة المحددة.

    لقطة شاشة تعرض علامة تدقيق RPC للمستشعر الموحد المطبقة على جهاز في إدارة قواعد الأصول.

  5. حدد التالي لمراجعة القاعدة والانتهاء من إنشائها، ثم حدد إرسال. قد تستغرق القاعدة ما يصل إلى ساعة واحدة حتى تسري.

تعرف على المزيد حول قواعد إدارة الأصول.

  • قم بتعيين خيار الطاقة للجهاز الذي يقوم بتشغيل مستشعر Defender for Identity إلى الأداء العالي.
  • مزامنة الوقت على الخوادم ووحدات التحكم بالمجال حيث تقوم بتثبيت أداة الاستشعار في غضون خمس دقائق من بعضها البعض.

الخطوة التالية

تنشيط مستشعر Microsoft Defender for Identity

  • Last updated on