Stručná instalační příručka
Tento článek popisuje kroky potřebné při instalaci senzorů Microsoft Defenderu for Identity na servery Active Directory, Active Directory Federation Services (AD FS) (AD FS) nebo Active Directory Certification Services (AD CS). Podrobnější pokyny najdete v tématu Nasazení Microsoft Defenderu for Identity pomocí XDR v programu Microsoft Defender.
Podrobné ukázky a další informace najdete v následujícím videu:
- Důležitost instalace senzorů Defenderu for Identity pro ochranu vaší organizace před útoky založenými na identitách
- Stažení a instalace senzoru
- Vyhledání potenciálních problémů se stavem senzoru a konfigurace
- Zobrazení posouzení stavu souvisejícího s identitou ve službě Microsoft Secure Score
Požadavky
V této části jsou uvedeny požadavky potřebné před instalací senzoru identity Defenderu for Identity, včetně následujících:
- Licencování
- Oprávnění
- Systémové požadavky
- Doporučení pro osvědčené postupy
Každý pracovní prostor Defenderu pro identitu podporuje více hranic doménové struktury Active Directory a úroveň funkčnosti doménové struktury (FFL) systému Windows 2003 a vyšší.
Požadavky na licencování
Ujistěte se, že máte jednu z následujících licencí:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpečení Microsoftu 365 E5/A5/G5/F5*
- Microsoft 365 F5 Security + Compliance*
- Samostatná licence defenderu for Identity
* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.
Licence můžete získat přímo prostřednictvím portálu Microsoft 365 nebo použít licenční model CSP (Cloud Solution Partner).
Další informace najdete v tématu Nejčastější dotazy k licencování a ochraně osobních údajů.
Požadována oprávnění
K vytvoření pracovního prostoru Defender for Identity potřebujete tenanta Microsoft Entra ID s alespoň jedním správcem zabezpečení.
Pro přístup k části Identita v oblasti XDR v programu Microsoft Defender Nastavení a vytvoření pracovního prostoru potřebujete alespoň přístup správce zabezpečení ve vašem tenantovi.
Další informace najdete v tématu Skupiny rolí v programu Microsoft Defender for Identity.
Minimální požadavky na systém
Tato část popisuje operační systémy podporované pro instalace senzoru identity v defenderu for Identity. Instalace senzoru Defender for Identity vyžaduje minimálně 2 jádra, 6 GB paměti RAM a 6 GB místa na disku nainstalovaného na řadiči domény.
Při spuštění jako virtuálního počítače je nutné přidělit všechny paměti virtuálnímu počítači za všech okolností. Další informace najdete v tématu Plánování kapacity pro nasazení Microsoft Defenderu for Identity.
Senzory defenderu for Identity je možné nainstalovat do následujících operačních systémů:
- Windows Server 2016
- Windows Server 2019. Vyžaduje KB4487044 nebo novější kumulativní aktualizaci. Senzory nainstalované na Serveru 2019 bez této aktualizace se automaticky zastaví, pokud je verze souboru ntdsai.dll nalezená v systémovém adresáři starší než 10.0.17763.316
- Windows Server 2022
Pro všechny operační systémy:
- Podporují se oba servery s desktopovým prostředím a serverovými jádry.
- Nano servery nejsou podporované.
- Instalace se podporují pro řadiče domény, službu AD FS a servery SLUŽBY AD CS.
Kontrola připojení k síti
Ověřte, že servery, na které chcete nainstalovat senzory Defenderu for Identity, se můžou spojit s cloudovou službou Defender for Identity. Na každém serveru zkuste získat přístup: https://*your-workspace-name*sensorapi.atp.azure.com.
- Název pracovního prostoru získáte na stránce O aplikaci na portálu.
- Informace o konfiguraci proxy serveru najdete v tématu Konfigurace proxy koncového bodu a nastavení připojení k internetu.
Naplánování časového období údržby (volitelné)
Pokud během instalace není nainstalované rozhraní .NET Framework 4.7 nebo novější, nainstaluje se rozhraní .NET Framework 4.7 a může vyžadovat restartování serveru. Restartování se může vyžadovat také v případě, že už čeká na restartování.
Při instalaci senzorů zvažte plánování časového období údržby pro řadiče domény.
Instalace defenderu for Identity
Tento postup popisuje, jak nainstalovat senzor defenderu pro identitu na Windows Server verze 2016 nebo novější. Ujistěte se, že váš server má minimální požadavky na systém.
Poznámka:
Senzory Defender for Identity by měly být nainstalované na všech řadičích domény, včetně řadičů domény jen pro čtení (RODC). Pokud instalujete na farmu nebo cluster služby AD FS / AD CS, doporučujeme nainstalovat senzor na každý server AD FS nebo AD CS.
Stažení a instalace senzoru:
Stáhněte si senzor defenderu pro identitu z portálu Microsoft Defenderu. Vyberte Nastavení ->Identityies ->Sensors ->Add sensor and copy the Access key value, kterou budete potřebovat pro instalaci.
Tip
Instalační program je potřeba stáhnout jenom jednou, protože ho můžete použít pro každý server v tenantovi. Ujistěte se, že stahování neblokuje žádný automaticky otevíraný blok.
Z řadiče domény spusťte instalační program, který jste stáhli z XDR v programu Microsoft Defender, a postupujte podle pokynů na obrazovce.
Další krok
Úplné pokyny k instalaci s dalšími podrobnostmi najdete v tématu Nasazení programu Microsoft Defender for Identity pomocí XDR v programu Microsoft Defender. Pokud například chcete nasadit více řadičů domény, doporučujeme místo toho použít tichou instalaci .
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro