Teilen über


Voraussetzungen für Microsoft Defender for Identity

In diesem Artikel werden die Voraussetzungen für eine erfolgreiche Bereitstellung von Microsoft Defender for Identity in Ihrer Umgebung beschrieben.

Lizenzanforderungen

Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Microsoft 365 F5 Security + Compliance*
  • Eine eigenständige Defender for Identity-Lizenzen

* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.

Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal oder verwenden Sie das Cloud Solution Partner (CSP)-Lizenzierungsmodell.

Weitere Informationen finden Sie in den FAQs zu Lizenzierung und Datenschutz.

Erforderliche Berechtigungen

Konnektivitätsanforderungen

Der Defender for Identity-Sensor muss mithilfe einer der folgenden Methoden mit dem Defender for Identity-Clouddienst kommunizieren können:

Methode Beschreibung Überlegungen Weitere Informationen
Proxy einrichten Kunden, die einen Weiterleitungsproxy bereitgestellt haben, können den Proxy nutzen, um eine Verbindung mit dem MDI-Clouddienst bereitzustellen.

Wenn Sie diese Option auswählen, konfigurieren Sie Ihren Proxy später im Bereitstellungsprozess. Zu Proxykonfigurationen gehört das Zulassen von Datenverkehr zur Sensor-URL und das Konfigurieren von Defender for Identity-URLs für alle expliziten Positivlisten, die von Ihrem Proxy oder Ihrer Firewall verwendet werden.
Ermöglicht den Zugriff auf das Internet für eine einzelne URL

SSL-Inspektion wird nicht unterstützt
Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen

Ausführen einer automatischen Installation mit einer Proxykonfiguration
ExpressRoute ExpressRoute kann so konfiguriert werden, dass MDI-Sensordatenverkehr über die Expressroute des Kunden weitergeleitet wird.

Verwenden Sie ExpressRoute Microsoft-Peering, um den Netzwerkdatenverkehr an die Cloudserver von Defender for Identity weiterzuleiten und die BGP-Community des Microsoft Defender for Identity-Diensts (12076:5220) zu Ihrem Routenfilter hinzuzufügen.
Erfordert ExpressRoute Dienst zu BGP-Communitywert
Firewall mit den Azure-IP-Adressen von Defender for Identity Kunden, die keinen Proxy oder ExpressRoute haben, können ihre Firewall mit den IP-Adressen konfigurieren, die dem MDI-Clouddienst zugewiesen sind. Dies erfordert, dass der Kunde die Azure-IP-Adressliste auf Änderungen an den ip-Adressen überwacht, die vom MDI-Clouddienst verwendet werden.

Wenn Sie diese Option ausgewählt haben, empfehlen wir, die Azure-IP-Bereiche und -Diensttags – Public Cloud-Datei herunterzuladen und das AzureAdvancedThreatProtection-Diensttag zum Hinzufügen der relevanten IP-Adressen zu verwenden.
Der Kunde muss Azure IP-Zuweisungen überwachen Diensttags für virtuelle Netzwerke

For more information, see Microsoft Defender for Identity architecture.

Serveranforderungen und Empfehlungen

In der folgenden Tabelle sind die Anforderungen und Empfehlungen für den Do Standard-Controller, AD FS, AD CS, Entra Connect-Server zusammengefasst, auf dem Sie den Defender for Identity-Sensor installieren.

Voraussetzungen / Empfehlungen Beschreibung
Spezifikationen Stellen Sie sicher, dass Sie Defender for Identity unter Windows, Version 2016 oder höher, auf einem Domänencontrollerserver mit mindestens folgenden Mindestanforderungen installieren:

– 2 Kernen
- 6 GB RAM
- 6 GB Speicherplatz erforderlich, 10 GB empfohlen, einschließlich Speicherplatz für Defender for Identity-Binärdateien und Protokolle

Defender for Identity unterstützt schreibgeschützte Domänencontroller (RODC).
Leistung Legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hochleistung fest, um die optimale Leistung zu erzielen.
Netzwerkschnittstellenkonfiguration Wenn Sie virtuelle VMware-Computer verwenden, stellen Sie sicher, dass in der NIC-Konfiguration des virtuellen Computers „Large Send Offload“ (LSO) deaktiviert ist. Weitere Details finden Sie unter Problem beim Sensor des virtuellen VMware-Computers.
Wartungsfenster Es wird empfohlen, ein Standard Fenster für Ihre Domänencontroller zu planen, da ein Neustart möglicherweise erforderlich ist, wenn die Installation ausgeführt wird und ein Neustart bereits aussteht oder .NET Framework installiert werden muss.

Wenn .NET Framework, Version 4.7 oder höher, noch nicht im System gefunden wurde, ist .NET Framework, Version 4.7, installiert und erfordert möglicherweise einen Neustart.

Anforderungen an das Betriebssystem

Defender for Identity-Sensoren können auf den folgenden Servern direkt installiert werden:

  • Windows Server 2016
  • Windows Server 2019. Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die auf Server 2019 ohne dieses Update installiert sind, werden automatisch gestoppt, wenn die im Systemverzeichnis gefundene Version der Datei ntdsai.dll älter als 10.0.17763.316 ist
  • Windows Server 2022

Alle Betriebssysteme:

  • Unterstützt für Server Core, Server mit Desktopdarstellung.
  • Nano-Server werden nicht unterstützt.
  • Installationen werden für Domänencontroller, AD FS- und AD CS-Server unterstützt.

Gerätebetriebssysteme

Windows Server 2012 und Windows Server 2012 R2 haben das Ende des Supports am 10. Oktober 2023 erreicht.

Es wird empfohlen, dass Sie beabsichtigen, diese Server zu aktualisieren, da Microsoft den Defender for Identity-Sensor auf Geräten unter Windows Server 2012 und Windows Server 2012 R2 nicht mehr unterstützt.

Sensoren, die auf diesen Betriebssystemen ausgeführt werden, melden weiterhin Defender for Identity und erhalten sogar die Sensorupdates, aber einige der neuen Funktionen sind nicht verfügbar, da sie möglicherweise auf Betriebssystemfunktionen angewiesen sind.

Erforderliche Ports

Protokoll Transport Port Von An
Internetports
SSL (*.atp.azure.com)

Alternativ können Sie den Zugriff über einen Proxy konfigurieren.
TCP 443 Defender for Identity-Sensor Defender for Identity-Clouddienst
Interner Port
DNS TCP und UDP 53 Defender for Identity-Sensor DNS-Server
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Defender for Identity-Sensor Alle Geräte im Netzwerk
RADIUS UDP 1813 RADIUS Defender for Identity-Sensor
Localhost-Ports: Erforderlich für den Sensordienstupdater

Standardmäßig ist der Verkehr von localhost zu localhost erlaubt, es sei denn, eine benutzerdefinierte Firewall-Richtlinie blockiert ihn.
SSL TCP 444 Sensordienst Sensoraktualisierungsdienst
Ports zur Auflösung von Netzwerknamen (NNR)

Um IP-Adressen in Computernamen aufzulösen, empfehlen wir, alle aufgelisteten Ports zu öffnen. Es ist jedoch nur ein Port erforderlich.
NTLM über RPC TCP Port 135 Defender for Identity-Sensor Alle Geräte im Netzwerk
NetBIOS UDP 137 Defender for Identity-Sensor Alle Geräte im Netzwerk
RDP

Nur das erste Paket von Client hello fragt den DNS-Server mit umgekehrter DNS-Suche der IP-Adresse ab (UDP 53)
TCP 3389 Defender for Identity-Sensor Alle Geräte im Netzwerk

Wenn Sie mit mehreren Gesamtstrukturen arbeiten, stellen Sie sicher, dass die folgenden Ports auf jedem Computer geöffnet werden, auf dem ein Defender for Identity-Sensor installiert ist:

Protokoll Transport Port Von/In Direction
Internetports
SSL (*.atp.azure.com) TCP 443 Defender for Identity-Clouddienst Ausgehend
Interner Port
LDAP TCP und UDP 389 Domänencontroller Ausgehend
Sicheres LDAP (LDAPS) TCP 636 Domänencontroller Ausgehend
LDAP zum globalen Katalog TCP 3268 Domänencontroller Ausgehend
LDAPS zum globalen Katalog TCP 3269 Domänencontroller Ausgehend

Anforderungen an dynamischen Arbeitsspeicher

In der folgenden Tabelle werden die Speicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art von Virtualisierung Sie verwenden:

Virtueller Computer wird ausgeführt auf Beschreibung
Hyper-V Stellen Sie sicher, dass "Dynamischen Speicher aktivieren" für den virtuellen Computer nicht aktiviert ist.
VMware Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie die Option "Alle Gastspeicher reservieren" (Alle gesperrten) einstellungen der VM aus.
Anderer Virtualisierungshost Lesen Sie die vom Hersteller bereitgestellte Dokumentation, um sicherzustellen, dass der virtuelle Computer jederzeit vollständig arbeitsspeichergebunden ist.

Wichtig

Wenn sie als virtueller Computer ausgeführt wird, müssen alle Arbeitsspeicher jederzeit dem virtuellen Computer zugewiesen werden.

Zeitsynchronisierung

Die Server und Domänencontroller, auf denen der Sensor installiert ist, müssen innerhalb von fünf Minuten nacheinander synchronisiert sein.

Testen Der Voraussetzungen

Es wird empfohlen, das Skript "Test-MdiReadiness.ps1 " auszuführen, um zu testen und festzustellen, ob Ihre Umgebung über die erforderlichen Voraussetzungen verfügt.

Der Link zum Skript Test-MdiReadiness.ps1 ist auch über Microsoft Defender XDR auf der Seite Identitäten > Tools (Vorschau) verfügbar.

In diesem Artikel werden die erforderlichen Voraussetzungen für eine Grundlegende Installation aufgeführt. Zusätzliche Voraussetzungen sind bei der Installation auf einem AD FS/AD CS, oder Entra Connect-Server erforderlich, um mehrere Active Directory-Gesamtstrukturen zu unterstützen oder wenn Sie einen eigenständigen Defender for Identity-Sensor installieren.

Weitere Informationen finden Sie unter:

Nächster Schritt