A Microsoft Defender for Identity előfeltételei
Ez a cikk a Microsoft Defender for Identity sikeres üzembe helyezésének követelményeit ismerteti.
Licencelési követelmények
A Defender for Identity üzembe helyezéséhez a következő Microsoft 365-licencek egyikére van szükség:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Biztonság
- Microsoft 365 F5 Biztonság + Megfelelőség*
- Önálló Defender for Identity licenc
* Mindkét F5-licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.
Szerezze be a licenceket közvetlenül a Microsoft 365 portálon , vagy használja a felhőmegoldás-partner (CSP) licencelési modelljét.
További információkért lásd a licenceléssel és az adatvédelemmel kapcsolatos gyakori kérdéseket.
Szükséges engedélyek
A Defender for Identity-munkaterület létrehozásához legalább egy biztonsági rendszergazdával rendelkező Microsoft Entra ID-bérlőre van szüksége.
Legalább biztonsági rendszergazdai hozzáférésre van szüksége a bérlőn a Microsoft Defender XDR-beállítások terület Identitás szakaszának eléréséhez és a munkaterület létrehozásához.
További információ: Microsoft Defender for Identity szerepkörcsoportok.
Javasoljuk, hogy használjon legalább egy Címtárszolgáltatás-fiókot, amely olvasási hozzáféréssel rendelkezik a figyelt tartományok összes objektumához. További információ: Címtárszolgáltatás-fiók konfigurálása a Microsoft Defender for Identityhez.
Csatlakozási követelmények
A Defender for Identity érzékelőnek képesnek kell lennie kommunikálni a Defender for Identity felhőszolgáltatással az alábbi módszerek egyikével:
Metódus | Leírás | Megfontolandó szempontok | További információ |
---|---|---|---|
Proxy beállítása | Az előre telepített proxyval rendelkező ügyfelek kihasználhatják a proxy előnyeit az MDI felhőszolgáltatáshoz való kapcsolódáshoz. Ha ezt a lehetőséget választja, később konfigurálja a proxyt az üzembe helyezési folyamat során. A proxykonfigurációk közé tartozik az érzékelő URL-címére irányuló forgalom engedélyezése, valamint a Defender for Identity URL-címek konfigurálása a proxy vagy a tűzfal által használt explicit engedélyezési listákra. |
Az internethez való hozzáférés engedélyezése egyetlen URL-címhez Az SSL-ellenőrzés nem támogatott |
Végpontproxy és internetkapcsolat beállításainak konfigurálása Csendes telepítés futtatása proxykonfigurációval |
ExpressRoute | Az ExpressRoute konfigurálható úgy, hogy az MDI-érzékelő forgalmát az ügyfél expressz útvonalán keresztül továbbítsa. A Defender for Identity felhőkiszolgálóira irányuló hálózati forgalom átirányításához használja az ExpressRoute Microsoft társviszony-létesítést, és adja hozzá a Microsoft Defender for Identity (12076:5220) szolgáltatás BGP-közösségét az útvonalszűrőhöz. |
ExpressRoute-ra van szükség | Szolgáltatás–BGP közösségi érték |
Tűzfal, a Defender for Identity Azure IP-címeinek használatával | Azok az ügyfelek, akik nem rendelkeznek proxyval vagy ExpressRoute-tal, az MDI felhőszolgáltatáshoz rendelt IP-címekkel konfigurálhatják a tűzfalukat. Ehhez az ügyfélnek figyelnie kell az Azure IP-címlistáját az MDI felhőszolgáltatás által használt IP-címekben bekövetkezett változások esetén. Ha ezt a lehetőséget választotta, javasoljuk, hogy töltse le az Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhőfájlt , és használja az AzureAdvancedThreatProtection szolgáltatáscímkét a megfelelő IP-címek hozzáadásához. |
Az ügyfélnek figyelnie kell az Azure IP-hozzárendeléseit | Virtuális hálózati szolgáltatáscímkék |
További információ: Microsoft Defender for Identity architektúra.
Érzékelőkövetelmények és javaslatok
Az alábbi táblázat összefoglalja a tartományvezérlő, az AD FS, az AD CS és az Entra Connect kiszolgálóra vonatkozó követelményeket és javaslatokat, ahol telepíteni fogja a Defender for Identity érzékelőt.
Előfeltétel/javaslat | Leírás |
---|---|
Előírások | Győződjön meg arról, hogy a Defender for Identity telepítése Windows 2016-os vagy újabb verzióra, legalább a következő tartományvezérlő-kiszolgálón: - 2 mag - 6 GB RAM - 6 GB lemezterület szükséges, 10 GB ajánlott, beleértve a Defender for Identity bináris fájljaihoz és naplóihoz szükséges helyet A Defender for Identity támogatja az írásvédett tartományvezérlőket (RODC). |
Teljesítmény | Az optimális teljesítmény érdekében állítsa a Defender for Identity érzékelőt futtató gép Power Option beállítását nagy teljesítményűre. |
Hálózati adapter konfigurálása | Ha VMware virtuális gépeket használ, győződjön meg arról, hogy a virtuális gép hálózati adapterének konfigurációja le van tiltva a nagy méretű küldési kiszervezés (LSO) funkcióval. További részletekért tekintse meg a VMware virtuálisgép-érzékelővel kapcsolatos problémát . |
Karbantartási időszak | Javasoljuk, hogy ütemezz egy karbantartási időszakot a tartományvezérlők számára, mivel újraindításra lehet szükség, ha a telepítés fut, és az újraindítás már függőben van, vagy ha .NET-keretrendszer kell telepíteni. Ha .NET-keretrendszer 4.7-es vagy újabb verzió még nem található a rendszeren, .NET-keretrendszer 4.7-es verzió van telepítve, és újraindítást igényelhet. |
Az operációs rendszer minimális követelményei
A Defender for Identity érzékelők a következő operációs rendszerekre telepíthetők:
- Windows Server 2016
- Windows Server 2019. KB4487044 vagy újabb kumulatív frissítést igényel. A frissítés nélkül telepített Server 2019-érzékelők automatikusan leállnak, ha a rendszerkönyvtárban található ntdsai.dll fájlverzió régebbi, mint a 10.0.17763.316
- Windows Server 2022
Minden operációs rendszer esetén:
- Az asztali felülettel rendelkező kiszolgálók és a kiszolgálómagok egyaránt támogatottak.
- A Nano-kiszolgálók nem támogatottak.
- A telepítéseket a tartományvezérlők, az AD FS és az AD CS-kiszolgálók támogatják.
Régi operációs rendszerek
A Windows Server 2012 és a Windows Server 2012 R2 2023. október 10-én kiterjesztett támogatást ért el.
Javasoljuk, hogy frissítse ezeket a kiszolgálókat, mivel a Microsoft már nem támogatja a Defender for Identity érzékelőt Windows Server 2012 és Windows Server 2012 R2 rendszerű eszközökön.
Az ezeken az operációs rendszereken futó érzékelők továbbra is jelentést tesznek a Defender for Identitynek, és még az érzékelőfrissítéseket is megkapják, de az új funkciók némelyike nem lesz elérhető, mivel az operációs rendszer képességeire támaszkodhatnak.
Szükséges portok
Protokoll | Szállítás | Port | From | Ide: |
---|---|---|---|---|
Internetes portok | ||||
SSL (*.atp.azure.com) Másik megoldásként konfigurálja a hozzáférést proxyn keresztül. |
TCP | 443 | Defender for Identity sensor | Defender for Identity cloud service |
Belső portok | ||||
DNS | TCP és UDP | 53 | Defender for Identity sensor | DNS-szerverek |
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity sensor | A hálózaton lévő összes eszköz |
ORSÓCSONT | UDP | 1813 | RADIUS | Defender for Identity sensor |
Localhost-portok: Az érzékelőszolgáltatás-frissítőhöz szükséges Alapértelmezés szerint a localhost és a localhost közötti forgalom csak akkor engedélyezett, ha egy egyéni tűzfalszabályzat nem blokkolja azt. |
||||
SSL | TCP | 444 | Érzékelő szolgáltatás | Érzékelőfrissítési szolgáltatás |
Hálózati névfeloldási (NNR) portok Az IP-címek számítógépnevekre való feloldásához javasoljuk, hogy nyissa meg az összes felsorolt portot. Azonban csak egy portra van szükség. |
||||
NTLM RPC-n keresztül | TCP | 135-ös port | Defender for Identity sensor | A hálózaton lévő összes eszköz |
NetBIOS | UDP | 137 | Defender for Identity sensor | A hálózaton lévő összes eszköz |
RDP Csak az ügyfél-hello első csomagja lekérdezést küld a DNS-kiszolgálónak az IP-cím fordított DNS-keresésével (UDP 53) |
TCP | 3389 | Defender for Identity sensor | A hálózaton lévő összes eszköz |
Ha több erdővel dolgozik, győződjön meg arról, hogy a következő portok minden olyan gépen meg vannak nyitva, amelyen telepítve van egy Defender for Identity-érzékelő:
Protokoll | Átvitel | Kikötő | Feladó/feladó | Irány |
---|---|---|---|---|
Internetes portok | ||||
SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity cloud service | Kimenő |
Belső portok | ||||
LDAP | TCP és UDP | 389 | Tartományvezérlők | Kimenő |
Biztonságos LDAP (LDAPS) | TCP | 636 | Tartományvezérlők | Kimenő |
LDAP–globális katalógus | TCP | 3268 | Tartományvezérlők | Kimenő |
LDAPS–globális katalógus | TCP | 3269 | Tartományvezérlők | Kimenő |
Dinamikus memóriakövetelmények
Az alábbi táblázat a Defender for Identity-érzékelőhöz használt kiszolgáló memóriakövetelményét ismerteti a használt virtualizálás típusától függően:
Virtuális gép, amelyen fut | Leírás |
---|---|
Hyper-V | Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gép számára. |
VMware | Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza az Összes vendégmemória lefoglalása (Minden zárolt) lehetőséget a virtuális gép beállításai között. |
Egyéb virtualizálási gazdagép | Tekintse meg a szállító által rendelkezésre bocsátott dokumentációt, amelyből megtudhatja, hogyan biztosítható, hogy a memória mindig teljes mértékben a virtuális géphez legyen lefoglalva. |
Fontos
Virtuális gépként való futtatáskor az összes memóriát mindig a virtuális géphez kell lefoglalni.
Időszinkronizálás
Azoknak a kiszolgálóknak és tartományvezérlőknek, amelyekre az érzékelő telepítve van, öt percen belül szinkronizálva kell lenniük.
Az előfeltételek tesztelése
Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezet rendelkezik-e a szükséges előfeltételekkel.
A Test-MdiReadiness.ps1 szkriptre mutató hivatkozás a Microsoft Defender XDR-ből is elérhető az Identityes > Tools (Előzetes verzió) lapon.
Kapcsolódó tartalom
Ez a cikk az alapszintű telepítéshez szükséges előfeltételeket sorolja fel. További előfeltételekre van szükség az AD FS/AD CS-kiszolgálón vagy az Entra Connecten való telepítéskor, több Active Directory-erdő támogatásához, vagy különálló Defender for Identity-érzékelő telepítésekor.
További információk:
- A Microsoft Defender for Identity üzembe helyezése AD FS- és AD CS-kiszolgálókon
- Microsoft Defender for Identity többerdős támogatás
- A Microsoft Defender for Identity önálló érzékelő előfeltételei
- Defender for Identity architektúra