Prérequis de Microsoft Defender pour Identity

Cet article décrit les conditions requises pour une déploiement réussi de Microsoft Defender pour Identity dans votre environnement.

Notes

Pour plus d’informations sur la planification des ressources et des capacités, consultez Planification des capacités de Defender pour Identity.

Defender pour Identity se compose du service cloud Defender pour Identity, du portail Microsoft 365 Defender et du capteur Defender pour Identity. Pour plus d’informations sur chaque composant de Defender pour Identity, consultez Architecture de Defender pour Identity.

Defender pour Identity protège vos utilisateurs Active Directory locaux et/ou vos utilisateurs synchronisés avec votre annuaire Azure Active Directory (Azure AD). Pour protéger un environnement composé seulement d’utilisateurs Azure AD, consultez Azure AD Identity Protection.

Cet article inclut à la fois les exigences du capteur Defender pour Identity et les exigences du capteur autonome Defender pour Identity. Le capteur autonome Defender pour Identity est installé sur un serveur dédié et nécessite la configuration de la mise en miroir des ports sur le contrôleur de domaine pour recevoir le trafic réseau.

Avant de commencer

Cette section liste les informations que vous devez rassembler ainsi que les comptes et les informations sur les entités réseau dont vous devez disposer avant de procéder à l’installation de Defender pour Identity.

Licence

  • Obtenez une licence pour Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) ou Microsoft 365 E5/A5/G5 Security directement du portail Microsoft 365 ou utilisez le modèle de licence CSP (Cloud Solution Partner). Des licences Defender pour Identity autonomes sont également disponibles. Pour plus d’informations sur les exigences de licence, consultez Licences et confidentialité.

Comptes

Autorisations

  • Pour créer votre instance Defender pour Identity, vous avez besoin d’un locataire Azure AD avec au moins un administrateur général/de la sécurité. Chaque instance Defender pour Identity prend en charge une limite de forêt Active Directory multiple et le niveau fonctionnel de forêt (FFL) de Windows 2003 et ultérieur.

  • Pour pouvoir accéder à la section Identity sur le portail Microsoft 365 Defender et créer l’espace de travail, vous devez être administrateur général ou administrateur de la sécurité sur le locataire.

Exigences du portail Microsoft 365 Defender

Accédez à Defender pour Identity dans le portail Microsoft 365 Defender en utilisant Microsoft Edge, Internet Explorer 11 ou un navigateur web compatible HTML 5.

Exigences du pare-feu Defender pour Identity

Notes

Les exigences réseau pour les offres US Government se trouvent dans Microsoft Defender pour Identity pour les offres US Government.

  • Vérifiez que les serveurs sur lesquels vous avez l’intention d’installer les capteurs Defender pour Identity peuvent atteindre le service cloud Defender pour Identity. Ils doivent être en mesure d’accéder à https://nom-de-votre-instancesensorapi.atp.azure.com (port 443). Par exemple, https://contoso-corpsensorapi.atp.azure.com.

    Pour obtenir le nom de votre instance, consultez la page À propos dans la section des paramètres des identités à l’adresse https://security.microsoft.com/settings/identities. Le capteur Defender pour Identity prend en charge l’utilisation d’un proxy. Pour plus d’informations sur la configuration du proxy, consultez Configuration d’un proxy pour Defender pour Identity.

    Notes

    Vous pouvez également utiliser notre étiquette de service Azure (AzureAdvancedThreatProtection) pour permettre l’accès à Defender pour Identity. Pour plus d’informations sur les balises de service, consultez les fichiers sur les balises de service de réseau virtuel ou sur le téléchargement des balises de service.

    Diagramme de l’architecture de Defender pour Identity

Ports

Le tableau suivant liste les ports qui sont nécessaires au minimum pour le capteur Defender pour Identity :

Protocole Transport Port Du À
Ports Internet
SSL (*.atp.azure.com) TCP 443 Capteur Defender pour Identity Service cloud Defender pour Identity
Ports internes
DNS TCP et UDP 53 Capteur Defender pour Identity Serveurs DNS
Netlogon (SMB, CIFS, SAM-R) TCP/UDP 445 Capteur Defender pour Identity Tous les appareils sur le réseau
RADIUS UDP 1813 RADIUS Capteur Defender pour Identity
Ports localhost* Requis pour la mise à jour du service de capteur
SSL (localhost) TCP 444 Service de capteur Service de mise à jour du capteur
Ports NNR**
NTLM sur RPC TCP Port 135 Capteur Defender pour Identity Tous les appareils sur le réseau
NetBIOS UDP 137 Capteur Defender pour Identity Tous les appareils sur le réseau
RDP TCP 3389, seulement le premier paquet de Client hello Capteur Defender pour Identity Tous les appareils sur le réseau

* Par défaut, le trafic localhost vers localhost est autorisé, sauf s’il est bloqué par une stratégie de pare-feu personnalisée.
** Un de ces ports est obligatoire, mais nous vous recommandons de les ouvrir tous.

Conditions requises de la résolution de noms réseau (NNR) Defender pour Identity

La résolution de noms de réseau (NNR) est un composant principal des fonctionnalités de Defender pour Identity. Pour résoudre les adresses IP en noms d’ordinateur, les capteurs Defender pour Identity recherchent les adresses IP en utilisant les méthodes suivantes :

  • NTLM sur RPC (port TCP 135)
  • NetBIOS (port UDP 137)
  • RDP (port TCP 3389), seulement le premier paquet de Client hello
  • Interroge le serveur DNS par recherche DNS inversée de l’adresse IP (UDP 53)

Pour que les trois premières méthodes fonctionnent, les ports appropriés doivent être ouverts au trafic entrant provenant des capteurs Defender pour Identity vers les appareils du réseau. Pour plus d’informations sur Defender pour Identity et NNR, consultez Stratégie NNR de Defender pour Identity.

Pour obtenir les meilleurs résultats, nous vous recommandons d’utiliser toutes les méthodes. Si ce n’est pas possible, vous devez utiliser la méthode de recherche DNS et au moins l’une des autres méthodes.

Configuration requise du capteur Defender pour Identity

Cette section liste les exigences pour le capteur Defender pour Identity.

Notes

À compter du 15 juin 2022, Microsoft ne prend plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2008 R2. Nous vous recommandons d’identifier les contrôleurs de domaine ou les serveurs (AD FS) restants qui exécutent toujours le système d’exploitation Windows Server 2008 R2 et de prévoir leur mise à jour vers un système d’exploitation pris en charge.

Général

Le capteur Defender pour Identity prend en charge l’installation sur les contrôleurs de domaine ou sur les serveurs des services de fédération Active Directory (AD FS), comme indiqué dans le tableau suivant.

Version du système d'exploitation Server avec Expérience utilisateur Server Core Nano Server Installations prises en charge
Windows Server 2012 Non applicable Contrôleur de domaine
Windows Server 2012 R2 Non applicable Contrôleur de domaine
Windows Server 2016 Contrôleur de domaine, AD FS
Windows Server 2019* Contrôleur de domaine, AD FS
Windows Server 2022 Contrôleur de domaine, AD FS

* Nécessite KB4487044 ou une mise à jour cumulative plus récente. Les capteurs installés sur Server 2019 sans cette mise à jour seront automatiquement arrêtés si la version de fichier du fichier ntdsai.dll dans le répertoire système est antérieure à 10.0.17763.316.

Le contrôleur de domaine peut être un contrôleur de domaine en lecture seule (RODC).

Si vous effectuez l’installation sur une batterie de serveurs AD FS, nous vous recommandons d’installer le capteur sur chaque serveur AD FS ou au moins sur le nœud principal.

Pendant l’installation, si .NET Framework 4.7 (ou version ultérieure) n’est pas installé, .NET Framework 4.7 est installé et peut nécessiter un redémarrage du serveur. Un redémarrage peut également être nécessaire si un redémarrage est déjà en attente. Par conséquent, lors de l’installation des capteurs, envisagez de planifier une fenêtre de maintenance pour les contrôleurs de domaine.

Notes

6 Go d’espace disque sont nécessaires au minimum. Il est recommandé de disposer de 10 Go. Cela comprend l’espace nécessaire pour les fichiers binaires de Defender pour Identity, les journaux Defender pour Identity et les journaux de performances.

Spécifications du serveur

Le capteur Defender pour Identity nécessite au minimum 2 cœurs et 6 Go de RAM sur le contrôleur de domaine.

Pour des performances optimales, choisissez Hautes performances comme Option d’alimentation de la machine exécutant le capteur Defender pour Identity.

Les capteurs Defender pour Identity peuvent être déployés sur un contrôleur de domaine ou sur des serveurs AD FS de différentes charges et tailles, en fonction de la quantité de trafic réseau vers et depuis les serveurs, et de la quantité de ressources installées.

Pour Windows Server 2012, le capteur Defender pour Identity n’est pas pris en charge en mode Groupe multiprocesseur. Pour plus d’informations sur le mode Groupe multiprocesseur, consultez la résolution des problèmes.

Notes

En cas d’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.

Pour plus d’informations sur la configuration matérielle requise pour le capteur Defender pour Identity, consultez Planification de la capacité de Defender pour Identity.

Synchronisation de l’heure

L’heure des serveurs et contrôleurs de domaine sur lesquels le capteur est installé doit être synchronisée pour que tout écart entre eux ne dépasse pas cinq minutes.

Cartes réseau

Le capteur Defender pour Identity supervise le trafic local sur toutes les cartes réseau du contrôleur de domaine.
Après le déploiement, utilisez le portail Microsoft 365 Defender pour changer les cartes réseau qui font l’objet d’une supervision.

Si vous essayez d’installer le capteur Defender pour Identity sur une machine configurée avec une carte d’association de cartes réseau, vous recevrez une erreur d’installation. Si vous voulez d’installer le capteur Defender pour Identity sur une machine configurée avec une association de cartes réseau, consultez Problème d’association de cartes réseau du capteur Defender pour Identity.

Journaux d'événements Windows

La détection Defender pour Identity s’appuie sur des journaux d’événements Windows spécifiques que le capteur analyse à partir de vos contrôleurs de domaine. Pour auditer les bons événements et les inclure dans le journal des événements Windows, la stratégie d’audit avancée de vos contrôleurs de domaine doit être correctement configurée. Pour plus d’informations sur la configuration des stratégies appropriées, consultez Stratégie d'audit avancée. Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, vérifiez vos paramètres d’audit NTLM.

Pour les capteurs exécutés sur des serveurs AD FS, configurez le niveau d’audit sur Verbose. Pour plus d’informations sur la configuration du niveau d’audit, consultez Informations d’audit d’événements pour AD FS.

Notes

À l’aide du compte d’utilisateur du service d’annuaire, le capteur interroge les points de terminaison de votre organisation à la recherche des administrateurs locaux en utilisant SAM-R (ouverture de session réseau) pour générer le graphe des chemins de mouvement latéral. Pour plus d’informations, consultez Configurer les autorisations requises SAM-R.

Conditions requises du capteur autonome Defender pour Identity

Cette section liste les exigences pour le capteur autonome Defender pour Identity.

Notes

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity sur tous vos contrôleurs de domaine.

Quand vous déployez le capteur autonome, vous devez transférer les événements Windows à Defender pour Identity afin d’améliorer les détections basées sur l’authentification, les ajouts aux groupes sensibles et les détections de création de services suspects de Defender pour Identity. Le capteur Defender pour Identity reçoit ces événements automatiquement. Dans le capteur autonome Defender pour Identity, ces événements peuvent être reçus de votre serveur SIEM ou en définissant des transferts d’événements Windows depuis votre contrôleur de domaine. Les événements collectés fournissent à Defender pour Identity des informations supplémentaires qui ne sont pas accessibles via trafic réseau du contrôleur de domaine.

Exigences générales pour le capteur autonome

L’installation du capteur autonome Defender pour Identity est prise en charge sur les serveurs Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 et Windows Server 2022 (y compris Server Core). Le capteur autonome Defender pour Identity peut être installé sur un serveur membre d’un domaine ou d’un groupe de travail. Le capteur autonome Defender pour Identity peut être utilisé pour superviser les contrôleurs de domaine avec le niveau fonctionnel de domaine de Windows 2003 et ultérieur.

Pour que votre capteur autonome communique avec le service cloud, vous devez ouvrir le port 443 dans vos pare-feux et vos proxys sur your-instance-namesensorapi.atp.azure.com. Pour plus d’informations, consultez la section Exigences pour le pare-feu Defender pour Identity.

Pour plus d’informations sur l’utilisation de machines virtuelles avec le capteur autonome Defender pour Identity, consultez Configurer la mise en miroir des ports.

Notes

Un minimum de 5 Go d’espace disque sont nécessaires et 10 Go sont recommandés. Cela comprend l’espace nécessaire pour les fichiers binaires de Defender pour Identity, les journaux Defender pour Identity et les journaux de performances.

Spécifications du serveur pour les capteurs autonomes

Pour des performances optimales, choisissez Hautes performances comme Option d’alimentation de la machine exécutant le capteur autonome Defender pour Identity.

Les capteurs autonomes Defender pour Identity peuvent prendre en charge la supervision de plusieurs contrôleurs de domaine, en fonction du volume du trafic réseau à destination et en provenance des contrôleurs de domaine.

Notes

En cas d’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.

Pour plus d’informations sur la configuration matérielle requise pour le capteur autonome Defender pour Identity, consultez Planification de la capacité de Defender pour Identity.

Synchronisation temporelle pour les capteurs autonomes

L’heure des serveurs et contrôleurs de domaine sur lesquels le capteur est installé doit être synchronisée pour que tout écart entre eux ne dépasse pas cinq minutes.

Cartes réseau pour les capteurs autonomes

Le capteur autonome Defender pour Identity nécessite au moins une carte de gestion et au moins une carte de capture :

  • Carte de gestion : cette carte est utilisée pour les communications sur votre réseau d’entreprise. Le capteur utilise cette carte pour interroger le contrôleur de domaine qu’il protège et procéder à la résolution des comptes d’ordinateur.

    Elle doit être configurée avec les paramètres suivants :

    • Adresse IP statique (passerelle par défaut incluse)

    • Serveurs DNS préféré et auxiliaire

    • Le Suffixe DNS pour cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.

      Configurez le suffixe DNS dans les paramètres TCP/IP avancés.

      Notes

      Si le capteur autonome Defender pour Identity est membre du domaine, ceci peut être configuré automatiquement.

  • Carte de capture : cette carte est utilisée pour capturer le trafic à destination et en provenance des contrôleurs de domaine.

    Important

    • Configurez la mise en miroir des ports de la carte de capture comme la destination du trafic réseau des contrôleurs de domaine. Pour plus d’informations, consultez Configurer la mise en miroir des ports. En règle générale, vous devez collaborer avec l’équipe de virtualisation ou de mise en réseau pour configurer la mise en miroir des ports.
    • Configurez une adresse IP statique non routable (avec masque /32) pour votre environnement, sans passerelle de capteur par défaut ni adresse de serveur DNS, par exemple, 10.10.0.10/32. Cela permet de garantir que la carte réseau de capture peut capturer le volume maximum de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau demandé.

Notes

Si vous exécutez Wireshark sur le capteur autonome Defender pour Identity, redémarrez le service du capteur Defender pour Identity une fois que vous avez arrêté la capture Wireshark. Si vous ne redémarrez pas le service de capteur, le capteur arrête la capture du trafic.

Si vous essayez d’installer le capteur Defender pour Identity sur une machine configurée avec une carte d’association de cartes réseau, vous recevrez une erreur d’installation. Si vous voulez d’installer le capteur Defender pour Identity sur une machine configurée avec une association de cartes réseau, consultez Problème d’association de cartes réseau du capteur Defender pour Identity.

Ports pour les capteurs autonomes

Le tableau suivant liste les ports qui doivent au minimum être configurés sur la carte de gestion pour répondre aux conditions requises du capteur autonome Defender pour Identity :

Protocole Transport Port Du À
Ports Internet
SSL (*.atp.azure.com) TCP 443 Capteur Defender pour Identity Service cloud Defender pour Identity
Ports internes
LDAP TCP et UDP 389 Capteur Defender pour Identity Contrôleurs de domaine
LDAP sécurisé (LDAPS) TCP 636 Capteur Defender pour Identity Contrôleurs de domaine
LDAP vers le catalogue global TCP 3268 Capteur Defender pour Identity Contrôleurs de domaine
LDAPS vers le catalogue global TCP 3269 Capteur Defender pour Identity Contrôleurs de domaine
Kerberos TCP et UDP 88 Capteur Defender pour Identity Contrôleurs de domaine
Netlogon (SMB, CIFS, SAM-R) TCP et UDP 445 Capteur Defender pour Identity Tous les appareils sur le réseau
Horloge Windows UDP 123 Capteur Defender pour Identity Contrôleurs de domaine
DNS TCP et UDP 53 Capteur Defender pour Identity Serveurs DNS
Syslog (facultatif) TCP/UDP 514, selon la configuration Serveur SIEM Capteur Defender pour Identity
RADIUS UDP 1813 RADIUS Capteur Defender pour Identity
Ports localhost* Requis pour la mise à jour du service de capteur
SSL (localhost) TCP 444 Service de capteur Service de mise à jour du capteur
Ports NNR**
NTLM sur RPC TCP 135 Capteur Defender pour Identity Tous les appareils sur le réseau
NetBIOS UDP 137 Capteur Defender pour Identity Tous les appareils sur le réseau
RDP TCP 3389, seulement le premier paquet de Client hello Capteur Defender pour Identity Tous les appareils sur le réseau

* Par défaut, le trafic localhost vers localhost est autorisé, sauf s’il est bloqué par une stratégie de pare-feu personnalisée.
** Un de ces ports est obligatoire, mais nous vous recommandons de les ouvrir tous.

Notes

Étapes suivantes