Installer le capteur Microsoft Defender pour Identity

Cet article explique comment installer le capteur Microsoft Defender pour Identity, y compris un capteur autonome. La méthode recommandée consiste à utiliser l’IU. Toutefois :

• Lors de l’installation du capteur sur Windows Server Core ou pour déployer le capteur via un système de déploiement de logiciel, suivez plutôt les étapes d’installation sans assistance.

• Si vous utilisez un proxy, nous vous recommandons d’installer le capteur et de configurer votre proxy ensemble à partir de la ligne de commande. Si vous devez mettre à jour vos paramètres de proxy ultérieurement, utilisez PowerShell ou l’interface CLI. Pour plus d’informations, consultez Configurer les paramètres de connectivité Internet et de proxy du point de terminaison.

Prérequis

Avant de commencer, vérifiez que vous disposez des éléments suivants :

• Une copie téléchargée de votre package d’installation du capteur Defender pour Identity et la clé d’accès.

• Microsoft .NET Framework 4.7 ou ultérieur installé sur la machine virtuelle. Si Microsoft .NET Framework 4.7 ou ultérieur n’est pas installé, le package d’installation du capteur Defender pour Identity l’installe, ce qui peut nécessiter un redémarrage du serveur.

• Spécifications de serveur et exigences réseau pertinentes. Pour plus d’informations, consultez l’article suivant :

  • Prérequis pour Microsoft Defender pour Identity
  • Déploiement de Microsoft Defender pour Identity sur des serveurs AD FS et AD CS
  • Conditions préalables au capteur autonome Microsoft Defender pour Identity

• Certificats racines approuvés sur votre ordinateur. Si vos certificats signés par l’autorité de certification racine approuvés sont manquants, vous pouvez recevoir une erreur de connexion.

Installer le capteur à l’aide de l’interface utilisateur

Effectuez les étapes suivantes sur le contrôleur de domaine ou le serveur AD FS/AD CS.

1. Vérifiez que la machine dispose d’une connectivité au(x) point(s) de terminaison approprié(s) du service cloud Defender pour Identity.

2. Extrayez les fichiers d’installation du fichier zip. L’installation directement à partir du fichier zip échoue.

3. Exécutez Azure ATP sensor setup.exe avec des privilèges élevés (Exécuter en tant qu’administrateur) et suivez l’Assistant Installation.

4. Sur la page de Démarrage, sélectionner votre langue et sélectionner Suivant. Par exemple :

   

   L’Assistant Installation vérifie automatiquement si le serveur est un contrôleur de domaine, un serveur AD FS, un serveur AD CS ou un serveur dédié.

   • S’il s’agit d’un contrôleur de domaine/serveur AD FS/serveur AD CS, le capteur Defender pour Identity est installé.
   • S’il s’agit d’un serveur dédié, le capteur autonome Defender pour Identity est installé.

   Par exemple, pour un capteur Defender pour Identity, l’écran suivant s’affiche pour vous informer qu’un capteur Defender pour Identity est installé sur votre serveur dédié :

   

5. Cliquez sur Suivant.

   Un avertissement est émis si le contrôleur de domaine/serveur AD FS/serveur AD CS ou le serveur dédié ne répond pas à la configuration matérielle minimale requise pour l’installation.

   L’avertissement ne vous empêche pas de sélectionner Suivant et de poursuivre l’installation, ce qui peut toujours être l’option appropriée. Par exemple, vous avez besoin de moins de place pour le stockage des données lors de l’installation d’un petit environnement de test lab.

   Pour les environnements de production, nous vous recommandons fortement de respecter le guide de planification de la capacité de Defender pour Identity pour garantir que vos contrôleurs de domaine ou vos serveurs dédiés répondent aux conditions requises.

6. Dans l’écran Configurer le capteur, entrez le chemin d’installation et la clé d’accès du package d’installation. Par exemple :

   

   Entrez les informations suivantes :

   • Chemin d’installation : emplacement où le capteur Defender pour Identity est installé. Par défaut, le chemin est %programfiles%\Azure Advanced Threat Protection sensor. Conservez la valeur par défaut.
   • Clé d’accès : récupérée auprès du portail Microsoft Defender dans une étape précédente.

7. Sélectionnez Installer. Les composants suivants sont installés et configurés lors de l’installation du capteur Defender pour Identity :

   • Service de capteur Defender pour Identity et service de mise à jour du capteur Defender pour Identity

   • Npcap OEM version 1.0

     Important

     • Npcap OEM version 1.0 est automatiquement installé si aucune autre version de Npcap n’est présente. Si npcap est déjà installé en raison d’autres exigences logicielles ou pour toute autre raison, il est important de s’assurer qu’il s’agit de la version 1.0 ou ultérieure et qu’il a été installé avec les paramètres requis pour Defender pour Identity.

Affichage des versions du capteur

À partir de la version 2.176, quand vous installez le capteur à partir d’un nouveau package, la version indiquée sous Ajout/suppression de programmes s’affiche avec le numéro de version complet (par exemple, 2.176.x.y), contrairement à la version 2.0.0.0 statique précédemment affichée.

La version installée continue de s’afficher même après l’exécution des mises à jour automatiques à partir des services cloud Defender pour Identity.

Affichez la version réelle du capteur dans la page des paramètres du capteur Microsoft Defender XDR, dans le chemin d’accès exécutable ou dans la version du fichier.

Installation sans assistance du capteur Defender pour Identity

La méthode d’installation sans assistance de Defender pour Identity est configurée pour redémarrer automatiquement le serveur à la fin de l’installation, si nécessaire.

Veillez à planifier une installation sans assistance uniquement pendant une fenêtre de maintenance. En raison d’un bogue Windows Installer, l’indicateur norestart ne peut pas être utilisé de manière fiable pour s’assurer que le serveur ne redémarre pas.

Pour suivre la progression de votre déploiement, surveillez les journaux d’installation de Defender pour Identity, qui se trouvent dans %AppData%\Local\Temp.

Installation sans assistance via un système de déploiement

Lors du déploiement sans assistance du capteur Defender pour Identity via System Center Configuration Manager ou un autre système de déploiement de logiciels, nous vous recommandons de créer deux packages de déploiement :

• Net Framework 4.7 ou version ultérieure, qui peut inclure le redémarrage du contrôleur de domaine
• Le capteur Defender pour Identity

Faites en sorte que le package du capteur Defender pour Identity dépende du déploiement du package .NET Framework. Si nécessaire, obtenez le package de déploiement hors connexion .Net Framework 4.7.

Exécuter une installation sans assistance

Utilisez les commandes suivantes pour effectuer une installation sans assistance du capteur Defender pour Identity, à l’aide de la clé d’accès copiée à l’étape précédente.

syntaxe cmd.exe :

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Syntaxe PowerShell :

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Remarque

Lorsque vous utilisez la syntaxe PowerShell, l’omission de la préface .\ entraîne une erreur qui empêche l’installation sans assistance.

Options d’installation :

Nom	Syntaxe	Mandatory for silent installation?	Description
Quiet	/quiet	Oui	Exécute le programme d’installation sans afficher d’interface utilisateur ni d’invites.
Help	/help	Non	Provides help and quick reference. Affiche l’utilisation correcte de la commande d’installation, y compris la liste de tous les comportements et options.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Oui	Spécifie les paramètres de l’installation de .NET Framework. Doit être défini pour appliquer l’installation sans assistance de .NET Framework.

Paramètres d’installation :

Nom	Syntaxe	Mandatory for silent installation?	Description
InstallationPath	InstallationPath=""	Non	Définit le chemin d’accès pour l’installation des binaires du capteur Defender pour Identity. Chemin d’accès par défaut : %programfiles%\Azure Advanced Threat Protection Sensor
AccessKey	AccessKey="\*\*"	Oui	Définit la clé d’accès utilisée pour inscrire le capteur Defender pour Identity auprès de l’espace de travail Defender pour Identity.
AccessKeyFile	AccessKeyFile=""	Non	Définit la clé d’accès de l’espace de travail à partir du chemin d’accès du fichier texte fourni.
DelayedUpdate	DelayedUpdate=true	Non	Définit le mécanisme de mise à jour du capteur pour retarder la mise à jour pendant 72 heures à partir de la version officielle de chaque mise à jour de service. Pour plus d’informations, consultez Mise à jour retardée du capteur.
LogsPath	LogsPath=""	Non	Définit le chemin d’accès des journaux du capteur Defender pour Identity. Chemin d’accès par défaut : %programfiles%\Azure Advanced Threat Protection Sensor

Exemples :

Utilisez les commandes suivantes pour installer sans assistance le capteur Defender pour Identity :

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Exécuter une installation sans assistance avec une configuration de proxy

Utilisez la commande suivante pour configurer votre proxy avec une installation sans assistance :

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Remarque

Si vous avez précédemment configuré votre proxy à l’aide d’options héritées, notamment WiniNet ou une mise à jour de clé de registre, vous devez apporter des modifications à l’aide de la même méthode que vous avez utilisée à l’origine. Pour plus d’informations, consultez Modifier la configuration du proxy à l’aide de méthodes héritées.

Paramètres d’installation :

Nom	Syntaxe	Mandatory for silent installation?	Description
ProxyUrl	ProxyUrl="http://proxy.contoso.com:8080"	Non	Spécifie l’URL du proxy et le numéro de port du capteur Defender pour Identity.
ProxyUserName	ProxyUserName="Contoso\ProxyUser"	Non	Si votre service proxy nécessite une authentification, définissez un nom d’utilisateur au format DOMAIN\user.
ProxyUserPassword	ProxyUserPassword="P@ssw0rd"	Non	Spécifie le mot de passe de votre nom d’utilisateur proxy. Les informations d’identification sont chiffrées et stockées localement par le capteur Defender pour Identity.

Conseil

Si vous devez mettre à jour vos paramètres de proxy ultérieurement, utilisez PowerShell ou l’interface CLI. Pour plus d’informations, consultez Configurer les paramètres de connectivité Internet et de proxy du point de terminaison. Nous vous recommandons de créer et d’utiliser un enregistrement DNS A personnalisé pour le serveur proxy, que vous pouvez utiliser pour modifier l’adresse du serveur proxy si nécessaire et utiliser le fichier hosts pour les tests.

Contenu connexe

Si vous avez installé le capteur sur un serveur AD FS/AD CS ou si vous avez installé un capteur autonome, procédez comme suit :

• Serveurs AD FS/AD CS : étapes post-installation pour les serveurs AD FS/AD CS (facultatif)

• Capteurs autonomes :

  • Écouter les événements de gestion des informations et des événements de sécurité sur votre capteur autonome Defender pour Identity
  • Configurer la mise en miroir des ports
  • Configurer le transfert des événements Windows vers votre capteur autonome Defender pour Identity

Étape suivante

Configurer le capteur Defender pour Identity »