Požadavky na Microsoft Defender for Identity
Tento článek popisuje požadavky na úspěšné nasazení Microsoft Defenderu for Identity.
Požadavky na licencování
Nasazení defenderu for Identity vyžaduje jednu z následujících licencí Microsoftu 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpečení Microsoftu 365 E5/A5/G5/F5*
- Microsoft 365 F5 Security + Compliance*
- Samostatná licence defenderu for Identity
* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.
Licence můžete získat přímo prostřednictvím portálu Microsoft 365 nebo použít licenční model CSP (Cloud Solution Partner).
Další informace najdete v tématu Nejčastější dotazy k licencování a ochraně osobních údajů.
Požadována oprávnění
K vytvoření pracovního prostoru Defender for Identity potřebujete tenanta Microsoft Entra ID s alespoň jedním správcem zabezpečení.
Abyste mohli získat přístup k části Identita v oblasti Nastavení XDR v programu Microsoft Defender a vytvořit pracovní prostor, potřebujete alespoň přístup správce zabezpečení ve vašem tenantovi.
Další informace najdete v tématu Skupiny rolí v programu Microsoft Defender for Identity.
Doporučujeme použít alespoň jeden účet adresářové služby s přístupem pro čtení ke všem objektům v monitorovaných doménách. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Microsoft Defender for Identity.
Požadavky na připojení
Senzor defenderu pro identitu musí být schopný komunikovat s cloudovou službou Defender for Identity pomocí jedné z následujících metod:
| metoda | Popis | Požadavky | Další informace |
|---|---|---|---|
| Nastavení proxy serveru | Zákazníci, kteří mají nasazený předávací proxy server, můžou využít výhod proxy serveru k zajištění připojení ke cloudové službě MDI. Pokud zvolíte tuto možnost, nakonfigurujete proxy server později v procesu nasazení. Konfigurace proxy serveru zahrnují povolení provozu na adresu URL senzoru a konfiguraci adres URL služby Defender for Identity na všechny explicitní seznamy povolených, které používá váš proxy server nebo brána firewall. |
Umožňuje přístup k internetu pro jednu adresu URL. Kontrola SSL se nepodporuje. |
Konfigurace proxy koncového bodu a nastavení připojení k internetu Spuštění bezobslužné instalace s konfigurací proxy serveru |
| ExpressRoute | ExpressRoute je možné nakonfigurovat tak, aby přesměrovávat přenosy snímačů MDI přes expresní trasu zákazníka. Pokud chcete směrovat síťový provoz směřující do cloudových serverů Defenderu for Identity, použijte partnerský vztah ExpressRoute Microsoftu a přidejte do filtru tras komunitu protokolu BGP služby Microsoft Defender for Identity (12076:5220). |
Vyžaduje ExpressRoute. | Hodnota komunity protokolu BGP |
| Brána firewall s využitím IP adres Azure služby Defender for Identity | Zákazníci, kteří nemají proxy server nebo ExpressRoute, můžou nakonfigurovat bránu firewall s IP adresami přiřazenými ke cloudové službě MDI. To vyžaduje, aby zákazník monitoruje seznam IP adres Azure pro všechny změny IP adres používaných cloudovou službou MDI. Pokud jste zvolili tuto možnost, doporučujeme stáhnout rozsahy IP adres a značky služeb Azure – soubor veřejného cloudu a přidat relevantní IP adresy pomocí značky služby AzureAdvancedThreatProtection . |
Zákazník musí monitorovat přiřazení IP adres Azure. | Značky služeb virtuální sítě |
Další informace najdete v tématu Architektura Microsoft Defenderu for Identity.
Požadavky na senzory a doporučení
Následující tabulka shrnuje požadavky a doporučení pro řadič domény, SLUŽBU AD FS, AD CS, server Entra Connect, kde nainstalujete senzor služby Defender for Identity.
| Předpoklad / doporučení | Popis |
|---|---|
| Specifikace | Nezapomeňte nainstalovat Defender for Identity ve Windows verze 2016 nebo novější na server řadiče domény s minimálním počtem: - 2 jádra – 6 GB paměti RAM – 6 GB požadovaného místa na disku, doporučeno 10 GB, včetně místa pro binární soubory a protokoly Defenderu pro identity Defender for Identity podporuje řadiče domény jen pro čtení (RODC). |
| Výkon | Pokud chcete dosáhnout optimálního výkonu , nastavte možnost napájení počítače, na kterém běží senzor Defenderu for Identity, na vysoký výkon. |
| Konfigurace síťového rozhraní | Pokud používáte virtuální počítače VMware, ujistěte se, že konfigurace síťové karty virtuálního počítače má zakázanou funkci LSO (Large Send Offload). Další podrobnosti najdete v tématu Problém se senzorem virtuálního počítače VMware. |
| Časové období údržby | Doporučujeme naplánovat časové období údržby pro řadiče domény, protože pokud se instalace spustí a restartování už čeká, nebo pokud je potřeba nainstalovat rozhraní .NET Framework, může být vyžadováno restartování. Pokud rozhraní .NET Framework verze 4.7 nebo novější není v systému nalezeno, nainstaluje se rozhraní .NET Framework verze 4.7 a může vyžadovat restartování. |
Minimální požadavky na operační systém
Senzory defenderu for Identity je možné nainstalovat do následujících operačních systémů:
- Windows Server 2016
- Windows Server 2019. Vyžaduje KB4487044 nebo novější kumulativní aktualizaci. Senzory nainstalované na Serveru 2019 bez této aktualizace se automaticky zastaví, pokud je verze souboru ntdsai.dll nalezená v systémovém adresáři starší než 10.0.17763.316
- Windows Server 2022
Pro všechny operační systémy:
- Podporují se oba servery s desktopovým prostředím a serverovými jádry.
- Nano servery nejsou podporované.
- Instalace se podporují pro řadiče domény, službu AD FS a servery SLUŽBY AD CS.
Starší operační systémy
Windows Server 2012 a Windows Server 2012 R2 dosáhli rozšířeného konce podpory 10. října 2023.
Doporučujeme tyto servery upgradovat, protože Microsoft už na zařízeních s Windows Serverem 2012 a Windows Serverem 2012 R2 nepodporuje senzor defenderu pro identitu.
Senzory spuštěné v těchto operačních systémech budou dál hlásit Defenderu for Identity a dokonce dostávat aktualizace senzorů, ale některé nové funkce nebudou dostupné, protože můžou spoléhat na možnosti operačního systému.
Požadované porty
| Protokol | Přeprava | Port | Od | Na |
|---|---|---|---|---|
| Internetové porty | ||||
| SSL (*.atp.azure.com) Případně nakonfigurujte přístup prostřednictvím proxy serveru. |
TCP | 443 | Senzor služby Defender for Identity | Cloudová služba Defender for Identity |
| Interní porty | ||||
| DNS | TCP a UDP | 53 | Senzor služby Defender for Identity | Servery DNS |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Senzor služby Defender for Identity | Všechna zařízení v síti |
| POLOMĚR | UDP | 1813 | Protokol RADIUS | Senzor služby Defender for Identity |
| Porty localhost: Požadováno pro aktualizátor služby senzoru Ve výchozím nastavení je místní hostitel pro provoz místního hostitele povolený, pokud je vlastní zásada brány firewall nezablokuje. |
||||
| SSL | TCP | 444 | Senzorová služba | Služba aktualizátoru senzorů |
| Porty NNR (Network Name Resolution) Pokud chcete přeložit IP adresy na názvy počítačů, doporučujeme otevřít všechny uvedené porty. Vyžaduje se ale jenom jeden port. |
||||
| NTLM přes RPC | TCP | Port 135 | Senzor služby Defender for Identity | Všechna zařízení v síti |
| Rozhraní netbios | UDP | 137 | Senzor služby Defender for Identity | Všechna zařízení v síti |
| RDP Pouze první paket klienta hello dotazuje server DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53). |
TCP | 3389 | Senzor služby Defender for Identity | Všechna zařízení v síti |
Pokud pracujete s více doménovými strukturami, ujistěte se, že jsou na jakémkoli počítači, na kterém je nainstalovaný senzor Defenderu pro identitu, otevřené následující porty:
| Protokol | Přeprava | Přístav | Do/From | Směr |
|---|---|---|---|---|
| Internetové porty | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Cloudová služba Defender for Identity | Odchozí |
| Interní porty | ||||
| LDAP | TCP a UDP | 389 | Řadiče domény | Odchozí |
| Secure LDAP (LDAPS) | TCP | 636 | Řadiče domény | Odchozí |
| LDAP do globálního katalogu | TCP | 3 268 | Řadiče domény | Odchozí |
| LDAPS do globálního katalogu | TCP | 3269 | Řadiče domény | Odchozí |
Požadavky na dynamickou paměť
Následující tabulka popisuje požadavky na paměť na serveru používaném pro senzor služby Defender for Identity v závislosti na typu virtualizace, kterou používáte:
| Virtuální počítač spuštěný na | Popis |
|---|---|
| Hyper-V | Ujistěte se, že pro virtuální počítač není povolená možnost Povolit dynamickou paměť . |
| VMware | Ujistěte se, že je nakonfigurovaná velikost paměti a vyhrazená paměť stejná, nebo v nastavení virtuálního počítače vyberte možnost Rezervovat veškerou paměť hosta (vše uzamčeno ). |
| Jiný hostitel virtualizace | Informace o tom, jak zajistit, aby byla paměť plně přidělená virtuálnímu počítači, najdete v dokumentaci od dodavatele. |
Důležité
Při spuštění jako virtuálního počítače musí být vždy přidělena veškerá paměť virtuálnímu počítači.
Čas synchronizace
Servery a řadiče domény, na které je senzor nainstalovaný, musí být synchronizované do pěti minut od sebe.
Testování požadavků
Doporučujeme spustit skript Test-MdiReadiness.ps1 k otestování a zjistit, jestli vaše prostředí splňuje nezbytné požadavky.
Odkaz na skript Test-MdiReadiness.ps1 je k dispozici také v programu Microsoft Defender XDR na stránce Nástroje identit > (Preview).
Související obsah
Tento článek uvádí požadavky potřebné pro základní instalaci. Při instalaci na server AD FS / AD CS nebo entra Connect se vyžadují další požadavky, které podporují více doménových struktur služby Active Directory nebo když instalujete samostatný senzor služby Defender for Identity.
Další informace naleznete v tématu:
- Nasazení Microsoft Defenderu for Identity na serverech AD FS a AD CS
- Podpora více doménových struktur v programu Microsoft Defender for Identity
- Požadavky na samostatný senzor v programu Microsoft Defender for Identity
- Architektura Defenderu for Identity