Voraussetzungen für Microsoft Defender for Identity
In diesem Artikel werden die Voraussetzungen für eine erfolgreiche Bereitstellung von Microsoft Defender for Identity in Ihrer Umgebung beschrieben.
Lizenzanforderungen
Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Microsoft 365 F5 Security + Compliance*
- Eine eigenständige Defender for Identity-Lizenzen
* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.
Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal oder verwenden Sie das Cloud Solution Partner (CSP)-Lizenzierungsmodell.
Weitere Informationen finden Sie in den FAQs zu Lizenzierung und Datenschutz.
Erforderliche Berechtigungen
Um Ihren Defender for Identity-Arbeitsbereich zu erstellen, benötigen Sie einen Microsoft Entra ID-Mandanten mit mindestens einem Sicherheitsadministrator.
Sie benötigen mindestens Sicherheitsadministratorzugriff auf Ihren Mandanten, um auf den Identitätsbereich des Microsoft Defender XDR-bereichs Einstellungen zuzugreifen und den Arbeitsbereich zu erstellen.
Weitere Informationen finden Sie unter Microsoft Defender for Identity-Rollengruppen.
Mindestens eines der Verzeichnisdienstkonten mit Lesezugriff auf alle Objekte in den überwachten Domänen. Weitere Informationen finden Sie unter Kontoempfehlungen für den Verzeichnisdienst von Microsoft Defender for Identity.
Konnektivitätsanforderungen
Der Defender for Identity-Sensor muss mithilfe einer der folgenden Methoden mit dem Defender for Identity-Clouddienst kommunizieren können:
| Methode | Beschreibung | Überlegungen | Weitere Informationen |
|---|---|---|---|
| Proxy einrichten | Kunden, die einen Weiterleitungsproxy bereitgestellt haben, können den Proxy nutzen, um eine Verbindung mit dem MDI-Clouddienst bereitzustellen. Wenn Sie diese Option auswählen, konfigurieren Sie Ihren Proxy später im Bereitstellungsprozess. Zu Proxykonfigurationen gehört das Zulassen von Datenverkehr zur Sensor-URL und das Konfigurieren von Defender for Identity-URLs für alle expliziten Positivlisten, die von Ihrem Proxy oder Ihrer Firewall verwendet werden. |
Ermöglicht den Zugriff auf das Internet für eine einzelne URL SSL-Inspektion wird nicht unterstützt |
Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen Ausführen einer automatischen Installation mit einer Proxykonfiguration |
| ExpressRoute | ExpressRoute kann so konfiguriert werden, dass MDI-Sensordatenverkehr über die Expressroute des Kunden weitergeleitet wird. Verwenden Sie ExpressRoute Microsoft-Peering, um den Netzwerkdatenverkehr an die Cloudserver von Defender for Identity weiterzuleiten und die BGP-Community des Microsoft Defender for Identity-Diensts (12076:5220) zu Ihrem Routenfilter hinzuzufügen. |
Erfordert ExpressRoute | Dienst zu BGP-Communitywert |
| Firewall mit den Azure-IP-Adressen von Defender for Identity | Kunden, die keinen Proxy oder ExpressRoute haben, können ihre Firewall mit den IP-Adressen konfigurieren, die dem MDI-Clouddienst zugewiesen sind. Dies erfordert, dass der Kunde die Azure-IP-Adressliste auf Änderungen an den ip-Adressen überwacht, die vom MDI-Clouddienst verwendet werden. Wenn Sie diese Option ausgewählt haben, empfehlen wir, die Azure-IP-Bereiche und -Diensttags – Public Cloud-Datei herunterzuladen und das AzureAdvancedThreatProtection-Diensttag zum Hinzufügen der relevanten IP-Adressen zu verwenden. |
Der Kunde muss Azure IP-Zuweisungen überwachen | Diensttags für virtuelle Netzwerke |
For more information, see Microsoft Defender for Identity architecture.
Serveranforderungen und Empfehlungen
In der folgenden Tabelle sind die Anforderungen und Empfehlungen für den Do Standard-Controller, AD FS, AD CS, Entra Connect-Server zusammengefasst, auf dem Sie den Defender for Identity-Sensor installieren.
| Voraussetzungen / Empfehlungen | Beschreibung |
|---|---|
| Spezifikationen | Stellen Sie sicher, dass Sie Defender for Identity unter Windows, Version 2016 oder höher, auf einem Domänencontrollerserver mit mindestens folgenden Mindestanforderungen installieren: – 2 Kernen - 6 GB RAM - 6 GB Speicherplatz erforderlich, 10 GB empfohlen, einschließlich Speicherplatz für Defender for Identity-Binärdateien und Protokolle Defender for Identity unterstützt schreibgeschützte Domänencontroller (RODC). |
| Leistung | Legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hochleistung fest, um die optimale Leistung zu erzielen. |
| Netzwerkschnittstellenkonfiguration | Wenn Sie virtuelle VMware-Computer verwenden, stellen Sie sicher, dass in der NIC-Konfiguration des virtuellen Computers „Large Send Offload“ (LSO) deaktiviert ist. Weitere Details finden Sie unter Problem beim Sensor des virtuellen VMware-Computers. |
| Wartungsfenster | Es wird empfohlen, ein Standard Fenster für Ihre Domänencontroller zu planen, da ein Neustart möglicherweise erforderlich ist, wenn die Installation ausgeführt wird und ein Neustart bereits aussteht oder .NET Framework installiert werden muss. Wenn .NET Framework, Version 4.7 oder höher, noch nicht im System gefunden wurde, ist .NET Framework, Version 4.7, installiert und erfordert möglicherweise einen Neustart. |
Anforderungen an das Betriebssystem
Defender for Identity-Sensoren können auf den folgenden Servern direkt installiert werden:
- Windows Server 2016
- Windows Server 2019. Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die auf Server 2019 ohne dieses Update installiert sind, werden automatisch gestoppt, wenn die im Systemverzeichnis gefundene Version der Datei ntdsai.dll älter als 10.0.17763.316 ist
- Windows Server 2022
Alle Betriebssysteme:
- Unterstützt für Server Core, Server mit Desktopdarstellung.
- Nano-Server werden nicht unterstützt.
- Installationen werden für Domänencontroller, AD FS- und AD CS-Server unterstützt.
Gerätebetriebssysteme
Windows Server 2012 und Windows Server 2012 R2 haben das Ende des Supports am 10. Oktober 2023 erreicht.
Es wird empfohlen, dass Sie beabsichtigen, diese Server zu aktualisieren, da Microsoft den Defender for Identity-Sensor auf Geräten unter Windows Server 2012 und Windows Server 2012 R2 nicht mehr unterstützt.
Sensoren, die auf diesen Betriebssystemen ausgeführt werden, melden weiterhin Defender for Identity und erhalten sogar die Sensorupdates, aber einige der neuen Funktionen sind nicht verfügbar, da sie möglicherweise auf Betriebssystemfunktionen angewiesen sind.
Erforderliche Ports
| Protokoll | Transport | Port | Von | An |
|---|---|---|---|---|
| Internetports | ||||
| SSL (*.atp.azure.com) Alternativ können Sie den Zugriff über einen Proxy konfigurieren. |
TCP | 443 | Defender for Identity-Sensor | Defender for Identity-Clouddienst |
| Interner Port | ||||
| DNS | TCP und UDP | 53 | Defender for Identity-Sensor | DNS-Server |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity-Sensor |
| Localhost-Ports: Erforderlich für den Sensordienstupdater Standardmäßig ist der Verkehr von localhost zu localhost erlaubt, es sei denn, eine benutzerdefinierte Firewall-Richtlinie blockiert ihn. |
||||
| SSL | TCP | 444 | Sensordienst | Sensoraktualisierungsdienst |
| Ports zur Auflösung von Netzwerknamen (NNR) Um IP-Adressen in Computernamen aufzulösen, empfehlen wir, alle aufgelisteten Ports zu öffnen. Es ist jedoch nur ein Port erforderlich. |
||||
| NTLM über RPC | TCP | Port 135 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
| NetBIOS | UDP | 137 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
| RDP Nur das erste Paket von Client hello fragt den DNS-Server mit umgekehrter DNS-Suche der IP-Adresse ab (UDP 53) |
TCP | 3389 | Defender for Identity-Sensor | Alle Geräte im Netzwerk |
Wenn Sie mit mehreren Gesamtstrukturen arbeiten, stellen Sie sicher, dass die folgenden Ports auf jedem Computer geöffnet werden, auf dem ein Defender for Identity-Sensor installiert ist:
| Protokoll | Transport | Port | Von/In | Direction |
|---|---|---|---|---|
| Internetports | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-Clouddienst | Ausgehend |
| Interner Port | ||||
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Sicheres LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
Anforderungen an dynamischen Arbeitsspeicher
In der folgenden Tabelle werden die Speicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art von Virtualisierung Sie verwenden:
| Virtueller Computer wird ausgeführt auf | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass "Dynamischen Speicher aktivieren" für den virtuellen Computer nicht aktiviert ist. |
| VMware | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie die Option "Alle Gastspeicher reservieren" (Alle gesperrten) einstellungen der VM aus. |
| Anderer Virtualisierungshost | Lesen Sie die vom Hersteller bereitgestellte Dokumentation, um sicherzustellen, dass der virtuelle Computer jederzeit vollständig arbeitsspeichergebunden ist. |
Wichtig
Wenn sie als virtueller Computer ausgeführt wird, müssen alle Arbeitsspeicher jederzeit dem virtuellen Computer zugewiesen werden.
Zeitsynchronisierung
Die Server und Domänencontroller, auf denen der Sensor installiert ist, müssen innerhalb von fünf Minuten nacheinander synchronisiert sein.
Testen Der Voraussetzungen
Es wird empfohlen, das Skript "Test-MdiReadiness.ps1 " auszuführen, um zu testen und festzustellen, ob Ihre Umgebung über die erforderlichen Voraussetzungen verfügt.
Der Link zum Skript Test-MdiReadiness.ps1 ist auch über Microsoft Defender XDR auf der Seite Identitäten > Tools (Vorschau) verfügbar.
Zugehöriger Inhalt
In diesem Artikel werden die erforderlichen Voraussetzungen für eine Grundlegende Installation aufgeführt. Zusätzliche Voraussetzungen sind bei der Installation auf einem AD FS/AD CS, oder Entra Connect-Server erforderlich, um mehrere Active Directory-Gesamtstrukturen zu unterstützen oder wenn Sie einen eigenständigen Defender for Identity-Sensor installieren.
Weitere Informationen finden Sie unter:
- Bereitstellen von Microsoft Defender for Identity auf AD FS- und AD CS-Servern
- Unterstützung von Microsoft Defender for Identity mit mehreren Gesamtstrukturen
- Voraussetzungen für eigenständige Microsoft Defender for Identity-Sensoren
- Defender for Identity Architektur