Deploy the Defender for Identity sensor v3.x

פרוס את גירסה 3.x של חיישן Defender for Identity בבקרי תחום נתמכים. השלם את ההבדקות המהוות דרישה מוקדמת לפני ההפעלה ולאחר מכן קבע תצורה של הגדרות ביקורת וזהות.

לפני שתפעיל

השלם את ההבדקות האלה לפני הפעלת החיישן.

מגבלות של גירסת חיישן

לפני שתפעיל את v3.x של חיישן הזהות של Defender for Identity, שים לב ש- v3.x:

• אינו תומך בשילוב VPN.
• אינו תומך בהודעות syslog.
• כולל מגבלות עבודה עם Azure ExpressRoute. לקבלת מידע נוסף, ראה Azure ExpressRoute for Microsoft 365.
• אינו תומך בהעברה של בקרי תחום שפועלים בגירסה 2025 Windows Server חיישן v2.x ל- sensor v3.x. לקבלת מידע נוסף, מגבלות ידועות. .

דרישות שרת

ודא שהשרת שבו אתה מפעיל את החיישן:

• יש Defender עבור נקודת קצה שנפרס בשרת. רכיב Microsoft Defender האנטי-וירוס יכול להיות במצב פעיל או פאסיבי. יש להקלוט את Defender for Endpoint בשרת שבו פועל החיישן; פריסה של נקודת קצה בלבד אינה מספיקה.
• אין לו V2.x של חיישן Defender for Identity שכבר פרוס.
• פועל ב Windows Server 2019 ואילך.
• כולל את העדכון המצטבר של מרץ 2026 או מאוחר יותר.

סוגי שרתים נתמכים

חיישן v3.x תומך בבקרי תחום, כולל בקרי תחום בעלי תפקידי זהות אלה:

• Active Directory Federation Services (AD FS)
• Active Directory Certificate Services (AD CS)
• Microsoft Entra קשר

השתמש ב- v2.x של חיישן Defender for Identity עבור שרתים שאינם בקרי תחום ופועלים עם AD FS, AD CS או Microsoft Entra Connect.

דרישות רישוי

פריסת Defender for Identity דורשת אחד מהרשיונות הבאים של Microsoft 365:

• Enterprise Mobility + Security E5 (EMS E5/A5)
• Microsoft 365 E5 (Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* אבטחה
• Microsoft 365 F5 Security + Compliance*

שני הרשיונות F5 דורשים Microsoft 365 F1/F3 או Office 365 F3 Enterprise Mobility + Security E3. רכוש רשיונות בפורטל Microsoft 365 או באמצעות רישוי שותף פתרונות ענן (CSP). לקבלת מידע נוסף, ראה שאלות נפוצות בנושא רישוי ופרטיות.

תפקידים והרשאות

• כדי ליצור את סביבת העבודה של Defender for Identity, דרוש לך דייר Microsoft Entra ID חדש.

• עליך להיות מנהל אבטחה או להחזיק בהרשאות RBAC המאוחדות הבאות:

  • System settings (Read and manage)
  • Security settings (All permissions)

דרישות רשת

חיישן Defender for Identity משתמש באותם URI כמו Microsoft Defender עבור נקודת קצה. עיין במסמכים הבאים עבור Defender for Endpoint, בהתבסס על קישוריות המערכת שלך, כדי למצוא את הרשימה המלאה של נקודות הקצה הנדרשות של השירות.

• Microsoft Defender עבור נקודת קצה URL יעילות יותר של קישוריות

• Microsoft Defender עבור נקודת קצה URL סטנדרטיות של קישוריות

דרישות זיכרון

הטבלה הבאה מתארת את דרישות הזיכרון בשרת המשמש עבור חיישן Defender for Identity, בהתאם לסוג הווירטואליזציה שבה אתה משתמש:

מחשב וירטואלי פועל	תיאור
Hyper-V	ודא שהאפשרות הפוך זיכרון דינאמי לזמין אינה זמינה עבור המחשב הווירטואלי.
Vmware	ודא שכמות הזיכרון שתצורתה נקבעה והזיכרון השמור זהים, או בחר באפשרות שמור את כל זיכרון האורח (הכל נעול ) בהגדרות ה- VM.
מארח וירטואליזציה אחר	עיין בתיעוד שסופק על-ידי הספק כדי לוודא שהזיכרון מוקצה תמיד באופן מלא למחשבים הווירטואליים.

חשוב

בעת הפעלה כמחשבים וירטואליים, הקצה תמיד את כל הזיכרון למחשב הווירטואלי.

גירסה 3 של החיישן מונעת מהחיישן להשתמש יותר מדי ב- CPU או בזיכרון על-ידי הגבלת ניצול ה- CPU ב- 30%, ושימוש בזיכרון ל- 1.5 GB. עם זאת, אם שירות אחר משתמש במשאבי מערכת משמעותיים, בקר התחום עשוי עדיין להיתקל בלחץ על הביצועים.

עיין בתיעוד תכנון קיבולת הזהויות של Defender for Identity כדי לקבוע אם לשרתי בקר התחום שלך יש מספיק משאבים עבור חיישן Microsoft Defender עבור זהות.

דרישות חשבון שירות

חיישן v3.x משתמש לזהות המערכת המקומית של השרת עבור Active Directory ופעולות תגובה. הוא אינו תומך בחשבונות שירות מדריך כתובות (DSA) או בחשבונות שירות מנוהלים (gMSA) של קבוצה. LocalSystem הוא הזהות הנתמכת היחידה עבור v3.x.

אם אתה מבצע העברה מ- v2.x של חיישן ובעבר הוגדר gMSA עבור חשבונות פעולה, עליך להסיר אותו. אם gMSA נשאר מופעל, פעולות תגובה, כולל הפרעה בתקיפה, לא יפעלו.

חשוב

בסביבות המשתמשות הן בחיישנים של v2 והן ב- v3, השתמש בחשבונות מערכת מקומיים עבור כל החיישנים שלך.

בדיקת הדרישות המוקדמות שלך

הפעל את Test-MdiReadiness.ps1 ה- Script הבא כדי לבדוק אם הסביבה שלך כוללת את הדרישות המוקדמות הנחוצות.

קובץ Test-MdiReadiness.ps1 קובץ ה- Script של Microsoft Defender XDR, בדף כלי זהויות > (תצוגה מקדימה).

הפעל את החיישן

לאחר אישור כל הדרישות המוקדמות, הפעל את החיישן Microsoft Defender הפורטל.

לאחר ההפעלה

השלם שלבי תצורה אלה לאחר שהחיישן מופעל ותפעיל אותו.

קביעת תצורה של ביקורת אירועים ב- Windows

Defender for Identity מסתמך על יומני אירועים של Windows לאיתורים רבים. עבור חיישני v3.x בבקרי תחום, הפוך ביקורת אוטומטית לזמינה, שמטפלת בכל הגדרות הביקורת ללא קביעת תצורה ידנית.

אם ביקורת אוטומטית אינה זמינה או אם ביטלת את הצטרפותך, קבע את תצורת הביקורת באופן ידני אוהשתמש ב- PowerShell.

קביעת תצורה של ביקורת RPC

החלת תגיות ביקורת של RPC על מכשיר משפרת את ניראות האבטחה ומשחררת יותר זיהויי זהויות. לאחר החלת התצורה, התצורה נאכפת בכל המכשירים הקיימים והעתידים התואמים לקריטריוני הכלל. התגיות גלויות ב'מלאי המכשירים' לקבלת יכולות שקיפות וביקורת.

התגיות הבאות זמינות:

• ביקורת RPC של חיישן מאוחד: מאפשרת ביקורת RPC משופרת לזיהוי זהויות מתקדם.
• ביקורת חיישנים מורחבת (תצוגה מקדימה): מאפשרת יכולות מורחבות של ביקורת RPC לזיהויים מתקדמים נוספים של זהויות. דורש את העדכון המצטבר האחרון.

כדי להחיל תגית:

1. בפורטל Microsoft Defender, נווט אל: הגדרות מערכת > Microsoft Defender XDR >> ניהול כללים של נכסים.

2. בחר צור כלל חדש.

   

3. בלוח הצידי:

   1. הזן שם כלל ותיאור.
   2. הגדר תנאי כלל באמצעות Device name, Domainאו כדי Device tag לייעד את המחשבים הרצויים. Target domain controllers with the sensor v3.x installed.
   3. ודא כי v3.x של חיישן Defender for Identity כבר פרוס במכשירים שנבחרו.

4. הוסף את התגית הרצויה (ביקורת RPC של חיישן מאוחד או ביקורת חיישנים מורחבת) למכשירים שנבחרו.

   

5. בחר הבא כדי לסקור ולסיים את יצירת הכלל ולאחר מכן בחר שלח. ייתכן שיחלפו עד שעה עד שהכלל נכנס לתוקף.

קבל מידע נוסף על כללי ניהול נכסים.

הגדרות מומלצות

• הגדר את אפשרות צריכת החשמל של המחשב שבו פועל חיישן Defender for Identity לביצועים גבוהים.
• סנכרן את הזמן בשרתים ובבקרי התחום שבהם מתקינים את החיישן תוך חמש דקות זה לזה.

השלב הבא

הפעלת חיישן Microsoft Defender עבור זהות שלך