Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a Microsoft Defender for Identity érzékelő v2.x telepítésének követelményeit ismerteti.
Licencelési követelmények
A Defender for Identity telepítéséhez a következő Microsoft 365-licencek egyikére van szükség:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Biztonsági
- Microsoft 365 F5 Biztonság + Megfelelőség*
- Önálló Defender for Identity-licenc
* Mindkét F5 licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.
Licenceket közvetlenül a Microsoft 365 portálon szerezhet be, vagy használhatja a felhőszolgáltatói partner (CSP) licencelési modelljét.
További információ: Licencelés és adatvédelem – gyakori kérdések.
Szerepkörök és engedélyek
- A Defender for Identity-munkaterület létrehozásához szüksége lesz egy Microsoft Entra ID bérlőre.
- Rendelkeznie kell egy biztonsági rendszergazdai szerepkörrel rendelkező felhasználóval. További információ: Microsoft Defender for Identity szerepkörcsoportok.
- Javasoljuk, hogy használjon legalább egy címtárszolgáltatás-fiókot, amely olvasási hozzáféréssel rendelkezik a figyelt tartományok összes objektumához. További információ: Címtárszolgáltatás-fiók konfigurálása Microsoft Defender for Identity.
Adatkapcsolati követelmények
A Defender for Identity érzékelőnek képesnek kell lennie kommunikálni a Defender for Identity felhőszolgáltatással az alábbi módszerek egyikével:
| Módszer | Leírás | Megfontolások | További információ |
|---|---|---|---|
| Proxy | Az üzembe helyezett továbbítási proxyval rendelkező ügyfelek kihasználhatják a proxy előnyeit az MDI felhőszolgáltatáshoz való kapcsolódáshoz. Ha ezt a lehetőséget választja, a proxyt az üzembehelyezési folyamat későbbi szakaszában kell konfigurálnia. A proxykonfigurációk közé tartozik a forgalom engedélyezése az érzékelő URL-címére, valamint a Defender for Identity URL-címeinek konfigurálása a proxy vagy a tűzfal által használt bármely explicit engedélyezési listára. |
Engedélyezi az internet-hozzáférést egyetlen URL-címhez Az SSL-ellenőrzés nem támogatott |
Végpontproxy és internetkapcsolat beállításainak konfigurálása Csendes telepítés futtatása proxykonfigurációval |
| ExpressRoute | Az ExpressRoute konfigurálható úgy, hogy az MDI-érzékelő forgalmát az ügyfél expressz útvonalán keresztül továbbítsa. A Defender for Identity felhőkiszolgálóira irányuló hálózati forgalom irányításához használja az ExpressRoute Microsoft társviszony-létesítést, és adja hozzá a Microsoft Defender for Identity (12076:5220) szolgáltatás BGP-közösségét az útvonalszűrőhöz. |
ExpressRoute-ot igényel | A BGP-szolgáltatások közösségi értéke |
| Tűzfal az Identitáshoz készült Defender Azure IP-címekkel | Azok az ügyfelek, akik nem rendelkeznek proxyval vagy ExpressRoute-tal, konfigurálhatják a tűzfalat az MDI felhőszolgáltatáshoz rendelt IP-címekkel. Ehhez az ügyfélnek figyelnie kell a Azure IP-címlistát az MDI felhőszolgáltatás által használt IP-címek változásaira. Ha ezt a lehetőséget választotta, javasoljuk, hogy töltse le a Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő fájlt, és használja az AzureAdvancedThreatProtection szolgáltatáscímkét a megfelelő IP-címek hozzáadásához. |
Az ügyfélnek figyelnie kell Azure IP-hozzárendeléseket | Virtuális hálózati szolgáltatáscímkék |
Érzékelőkövetelmények és javaslatok
Az alábbi táblázat összefoglalja a Defender for Identity érzékelő kiszolgálókövetelményeit és javaslatait.
| Előfeltétel/javaslat | Leírás |
|---|---|
| Előírások | Mindenképpen telepítse a Defender for Identityt a Windows 2016-os vagy újabb verziójára egy tartományvezérlő kiszolgálóra, amely legalább a következőkkel rendelkezik: - két mag - 6 GB RAM – 6 GB lemezterület szükséges, 10 GB ajánlott, beleértve a Defender for Identity bináris fájljainak és naplóinak tárhelyét A Defender for Identity támogatja az írásvédett tartományvezérlőket (RODC). |
| Teljesítmény | Az optimális teljesítmény érdekében állítsa a Defender for Identity érzékelőt futtató gép power kapcsolójátNagy teljesítményű értékre. |
| Hálózati adapter konfigurálása | VMware virtuális gépek használata esetén győződjön meg arról, hogy a virtuális gép hálózati adapterének konfigurációjában le van tiltva a nagy méretű küldési kiszervezés (LSO). További információ: VMware virtuálisgép-érzékelővel kapcsolatos probléma . |
| Karbantartási időszak | Javasoljuk, hogy ütemezjen karbantartási időszakot a tartományvezérlők számára, mivel újraindításra lehet szükség, ha a telepítés fut, és az újraindítás már függőben van, vagy ha .NET-keretrendszer kell telepíteni. Ha .NET-keretrendszer 4.7-es vagy újabb verziója még nem található a rendszeren, .NET-keretrendszer 4.7-es verzió van telepítve, és újraindítást igényelhet. |
| AD FS összevonási kiszolgálók | AD FS-környezetekben a Defender for Identity érzékelői csak az összevonási kiszolgálókon támogatottak. Ezek nem szükségesek a webes alkalmazásproxy (WAP) kiszolgálókon. |
| Microsoft Entra Connect-kiszolgálók | A Microsoft Entra Connect-kiszolgálók esetében az érzékelőket az aktív és az átmeneti kiszolgálókra is telepítenie kell. |
| AD CS-kiszolgálók | Az AD CS-hez készült Defender for Identity érzékelő csak a hitelesítésszolgáltatói szerepkör-szolgáltatással rendelkező AD CS-kiszolgálókat támogatja. Nem kell érzékelőket telepítenie az offline AD CS-kiszolgálókra. |
| Időszinkronizálás | Azoknak a kiszolgálóknak és tartományvezérlőknek, amelyekre az érzékelő telepítve van, egymástól öt percen belül szinkronizálva kell lenniük. |
Az operációs rendszer minimális követelményei
A Defender for Identity érzékelői a következő operációs rendszerekre telepíthetők:
- Windows Server 2016
-
2019 Windows Server.
KB4487044 vagy újabb összegző frissítésre van szükség. A Server 2019-en a frissítés nélkül telepített érzékelők automatikusan leállnak, ha a
ntdsai.dllrendszerkönyvtárban található fájlverzió régebbithan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Minden operációs rendszer esetén:
- Az asztali kezelőfelülettel rendelkező kiszolgálók és a kiszolgálómagok egyaránt támogatottak.
- A Nano-kiszolgálók nem támogatottak.
- A telepítéseket tartományvezérlők, AD FS, AD CS és Entra Connect-kiszolgálók támogatják.
Örökölt operációs rendszerek
Windows Server 2012 és Windows Server 2012 R2 támogatása 2023. október 10-én véget ért. Az ezeken az operációs rendszereken futó érzékelők továbbra is jelentik a Defender for Identitynek, és még az érzékelőfrissítéseket is megkapják, de előfordulhat, hogy az operációs rendszer képességeire támaszkodó funkciók némelyike nem érhető el. Javasoljuk, hogy frissítsen minden kiszolgálót ezekkel az operációs rendszerekkel.
Szükséges portok
Ha engedélyezni szeretné, hogy a Defender for Identity-érzékelő kommunikáljon a felhőszolgáltatással, engedélyezze a munkaterület-érzékelő API URL-címére irányuló kimenő HTTPS-forgalmat a következő formátumban: https://<your-workspace-name>sensorapi.atp.azure.com. Ha például a munkaterület neve "Contoso", engedélyezze a forgalmat a következőre https://contoso-corpsensorapi.atp.azure.com: .
| Protocol (Protokoll) | Közlekedési | Port | Feladó | Címzett | Megjegyzések: |
|---|---|---|---|---|---|
| Internetes portok | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity érzékelő | Defender for Identity felhőszolgáltatás | Másik lehetőségként konfigurálja a hozzáférést proxyn keresztül. |
| Belső portok | |||||
| DNS | TCP és UDP | 53 | Defender for Identity érzékelő | DNS-kiszolgálók | |
| Netlogon (SMB, CIFS) |
TCP/UDP | 445 | Defender for Identity érzékelő | A hálózaton lévő összes eszköz (NIC, ADFS, ADCS és Entra Connect) | |
| SUGÁR | UDP | 1813 | SUGÁR | Defender for Identity érzékelő | |
| Localhost-port | Az érzékelőszolgáltatás-frissítőhöz szükséges. Alapértelmezés szerint a localhost és a localhost közötti forgalom engedélyezve van, kivéve, ha egy egyéni tűzfalszabályzat letiltja azt. | ||||
| SSL | TCP | 444 | Érzékelő szolgáltatás | Érzékelőfrissítő szolgáltatás | |
| Hálózati névfeloldási (NNR) portok | Az IP-címek számítógépnevekre való feloldásához javasoljuk, hogy nyissa meg az összes felsorolt portot. Azonban csak egy portra van szükség. | ||||
| NTLM RPC-n keresztül | TCP | 135-ös port | Defender for Identity érzékelő | Minden hálózati eszköz (DFS, ADCS és Microsoft Entra Connect) | |
| Netbios | UDP | 137 | Defender for Identity érzékelő | Minden hálózati eszköz (DFS, ADCS és Microsoft Entra Connect) | |
| RDP | TCP | 3389 | Defender for Identity érzékelő | Minden hálózati eszköz (DFS, ADCS és Microsoft Entra Connect) | Csak az ügyfél hello első csomagja lekérdezést küld a DNS-kiszolgálónak az IP-cím fordított DNS-keresésével (UDP 53) |
Ha több erdővel dolgozik, győződjön meg arról, hogy a következő portok nyitva vannak minden olyan gépen, amelyen telepítve van egy Defender for Identity-érzékelő:
| Protocol (Protokoll) | Közlekedési | Port | Feladó/feladó | Irány |
|---|---|---|---|---|
| Internetes portok | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity felhőszolgáltatás | Kimenő |
| Belső portok | ||||
| LDAP | TCP és UDP | 389 | Tartományvezérlők | Kimenő |
| Biztonságos LDAP (LDAPS) | TCP | 636 | Tartományvezérlők | Kimenő |
| LDAP–globális katalógus | TCP | 3268 | Tartományvezérlők | Kimenő |
| LDAPS–globális katalógus | TCP | 3269 | Tartományvezérlők | Kimenő |
Tipp
Alapértelmezés szerint a Defender for Identity érzékelői LDAP használatával kérdezik le a címtárat a 389-ben és a 3268-on. Ha a 636-os és a 3269-os porton szeretne LDAPS-re váltani, nyisson meg egy támogatási esetet. További információ: Microsoft Defender for Identity támogatás.
Dinamikus memóriakövetelmények
Az alábbi táblázat a Defender for Identity-érzékelőhöz használt kiszolgáló memóriakövetelményét ismerteti a használt virtualizálás típusától függően:
| Virtuális gép, amelyen fut | Leírás |
|---|---|
| Hyper-V | Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gépen. |
| Vmware | Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza az Összes vendégmemória lefoglalása (Minden zárolt) lehetőséget a virtuális gép beállításaiban. |
| Egyéb virtualizálási gazdagép | Tekintse meg a szállító által biztosított dokumentációt, amelyből megtudhatja, hogyan biztosíthatja, hogy a memória folyamatosan teljes mértékben le legyen foglalva a virtuális gép számára. |
Fontos
Virtuális gépként való futtatáskor a virtuális géphez minden memóriát le kell foglalni.
Windows-eseménynaplózás konfigurálása
Az identitáshoz készült Defender észlelései adott Windows-eseménynapló-bejegyzésekre támaszkodnak az észlelések javítása érdekében, és további információkat nyújtanak az adott műveleteket végrehajtó felhasználókról, például az NTLM-bejelentkezésekről és a biztonsági csoportok módosításáról.
Konfigurálja a Windows eseménynaplózását a tartományvezérlőn a Defender for Identity észlelésének támogatásához a Defender portálon vagy a PowerShell használatával.
Az előfeltételek tesztelése
Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezet rendelkezik-e a szükséges előfeltételekkel.
A Test-MdiReadiness.ps1 szkript a Microsoft Defender XDR Identitáseszközök > lapján (előzetes verzió) is elérhető.