Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Installer Defender for Identity-sensor v3.x på understøttede domænecontrollere. Fuldfør de nødvendige kontroller før aktiveringen, og konfigurer derefter overvågning og identitetsindstillinger bagefter.
Før du aktiverer
Udfør disse kontroller, før du aktiverer sensoren.
Begrænsninger for sensorversion
Før du aktiverer Defender for Identity-sensor v3.x, skal du være opmærksom på, at v3.x:
- Understøtter ikke VPN-integration.
- Understøtter ikke syslog-meddelelser.
- Har begrænsninger, der fungerer med Azure ExpressRoute. Du kan få flere oplysninger under Azure ExpressRoute til Microsoft 365.
Serverkrav
Sørg for, at den server, du aktiverer sensoren på:
- Har Defender for Endpoint installeret på serveren. Komponenten Microsoft Defender Antivirus kan være i enten aktiv eller passiv tilstand. Defender for Endpoint skal onboardes på den server, hvor sensoren kører. udrulning kun af slutpunkt er ikke tilstrækkelig.
- Der er ikke allerede installeret en Defender for Identity-sensor v2.x.
- Kører Windows Server 2019 eller nyere.
- Inkluderer den kumulative opdatering fra marts 2026 eller nyere .
Understøttede servertyper
V3.x-sensoren understøtter domænecontrollere, herunder domænecontrollere med disse identitetsroller:
- Active Directory Federation Services (AD FS)
- Active Directory Certificate Services (AD CS)
- Microsoft Entra forbindelse
Brug Defender for Identity Sensor v2.x til servere, der ikke er domænecontrollere, og kør AD FS, AD CS eller Microsoft Entra Connect.
Licenskrav
Installation af Defender for Identity kræver en af følgende Microsoft 365-licenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sikkerhed
- Microsoft 365 F5 Security + Compliance*
Begge F5-licenser kræver Microsoft 365 F1/F3 eller Office 365 F3 og Enterprise Mobility + Security E3. Køb licenser på Microsoft 365-portalen eller via CSP-licenser (Cloud Solution Partner). Du kan få flere oplysninger under Ofte stillede spørgsmål om licenser og beskyttelse af personlige oplysninger.
Roller og tilladelser
Hvis du vil oprette arbejdsområdet Defender for Identity, skal du have en Microsoft Entra ID lejer.
Du skal enten være sikkerhedsadministrator eller have følgende Unified RBAC-tilladelser :
System settings (Read and manage)Security settings (All permissions)
Netværkskrav
Defender for Identity-sensoren bruger de samme URI'er som Microsoft Defender for Endpoint. Gennemse følgende dokumenter for Defender for Endpoint baseret på systemets forbindelse for at finde den komplette liste over påkrævede tjenesteslutpunkter.
Microsoft Defender for Endpoint strømlinede URL-adresser til forbindelser
Microsoft Defender for Endpoint URL-adresser til standardforbindelse
Hukommelseskrav
I følgende tabel beskrives hukommelseskravene på den server, der bruges til Defender for Identity-sensoren, afhængigt af den type virtualisering, du bruger:
| VM, der kører på | Beskrivelse |
|---|---|
| Hyper-V | Sørg for, at Aktivér dynamisk hukommelse ikke er aktiveret for vm'en. |
| Vmware | Kontrollér, at mængden af hukommelse, der er konfigureret, og den reserverede hukommelse er den samme, eller vælg indstillingen Reserve all guest memory (All locked) under VM-indstillingerne. |
| Anden virtualiseringsvært | Se dokumentationen fra leverandøren for at få oplysninger om, hvordan du sikrer, at hukommelsen altid er fuldt allokeret til VM'erne. |
Vigtigt!
Når du kører som en virtuel maskine, skal du altid tildele al hukommelse til den virtuelle maskine.
Version 3 af sensoren forhindrer sensoren i at overforbruge CPU eller hukommelse ved at begrænse CPU-forbruget til 30 % og hukommelsesforbrug til 1,5 GB. Men hvis en anden tjeneste bruger betydelige systemressourcer, kan domænecontrolleren stadig opleve belastning af ydeevnen.
Se dokumentationen til Defender for Identity Capacity Planning for at finde ud af, om dine domænecontrollerservere har tilstrækkelige ressourcer til en Microsoft Defender for Identity sensor.
Krav til tjenestekonto
V3.x-sensoren bruger serverens lokale systemidentitet til Active Directory- og svarhandlinger. Den understøtter ikke DSA (Directory Service Accounts) eller gMSA (Group Managed Service Accounts). LocalSystem er den eneste understøttede identitet for v3.x.
Hvis du migrerer fra sensor v2.x og tidligere har haft en gMSA konfigureret til handlingskonti, skal du fjerne den. Hvis gMSA forbliver aktiveret, fungerer svarhandlinger, herunder afbrydelse af angreb, ikke.
Vigtigt!
I miljøer, der bruger både v2- og v3-sensorer, skal du bruge lokale systemkonti for alle dine sensorer.
Test dine forudsætninger
Kør Test-MdiReadiness.ps1 scriptet for at teste, om dit miljø har de nødvendige forudsætninger.
Scriptet Test-MdiReadiness.ps1 er også tilgængeligt fra Microsoft Defender XDR på siden Værktøjer til identiteter > (prøveversion).
Aktivér sensoren
Når du har bekræftet alle forudsætninger, skal du aktivere sensoren fra Microsoft Defender-portalen.
Når du har aktiveret
Fuldfør disse konfigurationstrin, når sensoren er aktiveret og kører.
Konfigurer Windows-hændelsesovervågning
Defender for Identity er afhængig af Windows-hændelseslogge for mange registreringer. For v3.x-sensorer på domænecontrollere skal du aktivere automatisk overvågning, som håndterer alle overvågningsindstillinger uden manuel konfiguration.
Hvis automatisk overvågning ikke er tilgængelig, eller du har fravalgt, kan du konfigurere overvågning manuelt eller bruge PowerShell.
Konfigurer RPC-overvågning
Anvendelse af RPC-overvågningskoder på en enhed forbedrer sikkerhedens synlighed og låser op for flere identitetsregistreringer. Når konfigurationen er anvendt, gennemtvinges den på alle eksisterende og fremtidige enheder, der opfylder regelkriterierne. Mærkerne er synlige i enhedsoversigten for at opnå gennemsigtighed og overvågningsfunktioner.
Følgende mærker er tilgængelige:
- Unified Sensor RPC Audit: Aktiverer forbedret RPC-overvågning for avancerede identitetsregistreringer.
- Udvidet sensorovervågning (prøveversion): Aktiverer udvidede RPC-overvågningsfunktioner til yderligere avancerede identitetsregistreringer. Kræver den seneste kumulative opdatering.
Sådan anvender du et mærke:
I Microsoft Defender-portalen skal du gå til: Systemindstillinger >> Microsoft Defender XDR > Administration af aktivregel.
Vælg Opret en ny regel.
I sidepanelet:
- Angiv et regelnavn og en beskrivelse.
- Angiv regelbetingelser ved hjælp af
Device name,DomainellerDevice tagfor at målrette de ønskede maskiner. Destinationsdomænecontrollere, hvor sensoren v3.x er installeret. - Sørg for, at Defender for Identity-sensoren v3.x allerede er installeret på de valgte enheder.
Føj den ønskede kode (Unified Sensor RPC Audit eller Extended Sensor Audit) til de valgte enheder.
Vælg Næste for at gennemse og afslutte oprettelsen af reglen, og vælg derefter Send. Det kan tage op til én time, før reglen træder i kraft.
Få mere at vide om regler for administration af aktiver.
Anbefalede indstillinger
- Angiv Power Option for den computer, der kører Defender for Identity-sensoren, til Høj ydeevne.
- Synkroniser tiden på servere og domænecontrollere, hvor du installerer sensoren inden for fem minutter fra hinanden.