Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie den Defender for Identity-Sensor v3.x auf unterstützten Domänencontrollern bereit. Führen Sie die Voraussetzungsprüfungen vor der Aktivierung aus, und konfigurieren Sie anschließend die Überwachungs- und Identitätseinstellungen.
Vor der Aktivierung
Führen Sie diese Überprüfungen aus, bevor Sie den Sensor aktivieren.
Einschränkungen der Sensorversion
Bevor Sie den Defender for Identity-Sensor v3.x aktivieren, beachten Sie, dass v3.x:
- Unterstützt keine VPN-Integration.
- Unterstützt keine Syslog-Benachrichtigungen.
- Hat Einschränkungen beim Arbeiten mit Azure ExpressRoute. Weitere Informationen finden Sie unter Azure ExpressRoute für Microsoft 365.
Serveranforderungen
Stellen Sie sicher, dass der Server, auf dem Sie den Sensor aktivieren:
- Hat Defender für Endpunkt auf dem Server bereitgestellt. Die komponente Microsoft Defender Antivirus kann sich entweder im aktiven oder passiven Modus befinden. Defender für Endpunkt muss auf dem Server integriert werden, auf dem der Sensor ausgeführt wird. Die reine Endpunktbereitstellung ist nicht ausreichend.
- Es wurde noch kein Defender for Identity-Sensor v2.x bereitgestellt.
- Wird Windows Server 2019 oder höher ausgeführt.
- Enthält das kumulative Update märz 2026 oder höher .
Unterstützte Servertypen
Der v3.x-Sensor unterstützt Domänencontroller, einschließlich Domänencontrollern mit den folgenden Identitätsrollen:
- Active Directory-Verbunddienste (AD FS)
- Active Directory-Zertifikatdienste (AD CS, Active Directory Certificate Services)
- Microsoft Entra Connect
Verwenden Sie den Defender for Identity-Sensor v2.x für Server, die keine Domänencontroller sind, und führen Sie AD FS, AD CS oder Microsoft Entra Connect aus.
Lizenzierungsanforderungen
Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicherheit
- Microsoft 365 F5 Security + Compliance*
Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3. Erwerben Sie Lizenzen im Microsoft 365-Portal oder über CSP-Lizenzierung (Cloud Solution Partner). Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Lizenzierung und Datenschutz.
Rollen und Berechtigungen
Zum Erstellen Ihres Defender for Identity-Arbeitsbereichs benötigen Sie einen Microsoft Entra ID Mandanten.
Sie müssen entweder Sicherheitsadministrator sein oder über die folgenden einheitlichen RBAC-Berechtigungen verfügen:
System settings (Read and manage)Security settings (All permissions)
Netzwerkanforderungen
Der Defender for Identity-Sensor verwendet dieselben URIs wie Microsoft Defender for Endpoint. Lesen Sie die folgenden Dokumente für Defender für Endpunkt basierend auf der Konnektivität Ihres Systems, um die vollständige Liste der erforderlichen Dienstendpunkte zu finden.
Speicheranforderungen
In der folgenden Tabelle werden die Arbeitsspeicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art der Virtualisierung Sie verwenden:
| VIRTUELLER Computer, der auf ausgeführt wird | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| Vmware | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie in den VM-Einstellungen die Option Alle Gastspeicher reservieren (Alle gesperrt) aus. |
| Anderer Virtualisierungshost | In der vom Hersteller bereitgestellten Dokumentation erfahren Sie, wie Sie sicherstellen können, dass arbeitsspeicher immer vollständig den VMs zugeordnet ist. |
Wichtig
Wenn Sie als virtueller Computer ausgeführt werden, weisen Sie dem virtuellen Computer immer den gesamten Arbeitsspeicher zu.
Version 3 des Sensors verhindert, dass der Sensor CPU oder Arbeitsspeicher überlasten kann, indem die CPU-Auslastung auf 30 % und die Arbeitsspeicherauslastung auf 1,5 GB begrenzt wird. Wenn jedoch ein anderer Dienst erhebliche Systemressourcen verwendet, kann die Leistung des Domänencontrollers weiterhin beeinträchtigt werden.
Informationen dazu, ob Ihre Domänencontrollerserver über genügend Ressourcen für einen Microsoft Defender for Identity Sensor verfügen, finden Sie in der Dokumentation zur Kapazitätsplanung von Defender for Identity.
Dienstkontoanforderungen
Der v3.x-Sensor verwendet die lokale Systemidentität des Servers für Active Directory- und Antwortaktionen. Verzeichnisdienstkonten (Directory Service Accounts, DSA) oder gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA) werden nicht unterstützt. LocalSystem ist die einzige unterstützte Identität für v3.x.
Wenn Sie von Sensor v2.x migrieren und zuvor ein gMSA für Aktionskonten konfiguriert haben, müssen Sie ihn entfernen. Wenn gMSA aktiviert bleibt, funktionieren Reaktionsaktionen, einschließlich Angriffsunterbrechungen, nicht.
Wichtig
Verwenden Sie in Umgebungen, in denen sowohl v2- als auch v3-Sensoren verwendet werden, lokale Systemkonten für alle Ihre Sensoren.
Testen Der Voraussetzungen
Führen Sie das Test-MdiReadiness.ps1-Skript aus, um zu testen, ob Ihre Umgebung über die erforderlichen Voraussetzungen verfügt.
Das Test-MdiReadiness.ps1-Skript ist auch auf Microsoft Defender XDR auf der Seite Identitätstools > (Vorschau) verfügbar.
Aktivieren des Sensors
Nachdem Sie alle Voraussetzungen bestätigt haben, aktivieren Sie den Sensor über das Microsoft Defender-Portal.
Nach der Aktivierung
Führen Sie diese Konfigurationsschritte aus, nachdem der Sensor aktiviert und ausgeführt wurde.
Konfigurieren der Windows-Ereignisüberwachung
Defender for Identity basiert auf Windows-Ereignisprotokollen für viele Erkennungen. Aktivieren Sie für v3.x-Sensoren auf Domänencontrollern die automatische Überwachung, die alle Überwachungseinstellungen ohne manuelle Konfiguration verarbeitet.
Wenn die automatische Überwachung nicht verfügbar ist oder Sie sich abgemeldet haben, konfigurieren Sie die Überwachung manuell , oder verwenden Sie PowerShell.
Konfigurieren der RPC-Überwachung
Das Anwenden von RPC-Überwachungstags auf ein Gerät verbessert die Sicherheitssichtbarkeit und entsperrt mehr Identitätserkennungen. Nach der Anwendung wird die Konfiguration auf allen vorhandenen und zukünftigen Geräten erzwungen, die den Regelkriterien entsprechen. Die Tags sind im Gerätebestand für Transparenz- und Überwachungsfunktionen sichtbar.
Die folgenden Tags sind verfügbar:
- Unified Sensor RPC Audit: Ermöglicht die erweiterte RPC-Überwachung für erweiterte Identitätserkennungen.
- Erweiterte Sensorüberwachung (Vorschau): Ermöglicht erweiterte RPC-Überwachungsfunktionen für zusätzliche erweiterte Identitätserkennungen. Erfordert das neueste kumulative Update.
So wenden Sie ein Tag an:
Navigieren Sie im Microsoft Defender-Portal zu Systemeinstellungen >> Microsoft Defender XDR > Verwaltung von Ressourcenregeln.
Wählen Sie Neue Regel erstellen aus.
Im Seitenbereich:
- Geben Sie einen Regelnamen und eine Beschreibung ein.
- Legen Sie Regelbedingungen mit
Device name,DomainoderDevice tagfest, um die gewünschten Computer als Ziel festzulegen. Zieldomänencontroller, auf denen der Sensor v3.x installiert ist. - Stellen Sie sicher, dass der Defender for Identity-Sensor v3.x bereits auf den ausgewählten Geräten bereitgestellt wurde.
Fügen Sie den ausgewählten Geräten das gewünschte Tag (Unified Sensor RPC Audit oder Extended Sensor Audit) hinzu.
Wählen Sie Weiter aus, um die Regel zu überprüfen und fertigzustellen, und wählen Sie dann Übermitteln aus. Es kann bis zu einer Stunde dauern, bis die Regel wirksam wird.
Erfahren Sie mehr über Ressourcenverwaltungsregeln.
Empfohlene Einstellungen
- Legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hohe Leistung fest.
- Synchronisieren Sie die Zeit auf Servern und Domänencontrollern, auf denen Sie den Sensor installieren, innerhalb von fünf Minuten voneinander.