Bagikan melalui


prasyarat Microsoft Defender untuk Identitas

Artikel ini menjelaskan persyaratan untuk penyebaran Microsoft Defender untuk Identitas yang berhasil.

Persyaratan lisensi

Menyebarkan Defender untuk Identitas memerlukan salah satu lisensi Microsoft 365 berikut:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Keamanan Microsoft 365 E5/A5/G5/F5*
  • Keamanan + Kepatuhan Microsoft 365 F5*
  • Lisensi Defender for Identity mandiri

* Kedua lisensi F5 memerlukan Microsoft 365 F1/F3 atau Office 365 F3 dan Enterprise Mobility + Security E3.

Dapatkan lisensi langsung melalui portal Microsoft 365 atau gunakan model lisensi Mitra Solusi Cloud (CSP).

Untuk informasi selengkapnya, lihat Tanya Jawab Umum lisensi dan privasi.

Izin yang diperlukan

Persyaratan konektivitas

Sensor Defender for Identity harus dapat berkomunikasi dengan layanan cloud Defender for Identity, menggunakan salah satu metode berikut:

Metode Deskripsi Pertimbangan Pelajari lebih lanjut
Menyiapkan proksi Pelanggan yang memiliki proksi maju yang disebarkan dapat memanfaatkan proksi untuk menyediakan konektivitas ke layanan cloud MDI.

Jika Anda memilih opsi ini, Anda akan mengonfigurasi proksi nanti dalam proses penyebaran. Konfigurasi proksi termasuk mengizinkan lalu lintas ke URL sensor, dan mengonfigurasi URL Defender for Identity ke daftar izin eksplisit yang digunakan oleh proksi atau firewall Anda.
Memungkinkan akses ke internet untuk satu URL

Inspeksi SSL tidak didukung
Mengonfigurasi proksi titik akhir dan pengaturan konektivitas internet

Menjalankan penginstalan senyap dengan konfigurasi proksi
ExpressRoute ExpressRoute dapat dikonfigurasi untuk meneruskan lalu lintas sensor MDI melalui rute ekspres pelanggan.

Untuk merutekan lalu lintas jaringan yang ditujukan ke server cloud Defender for Identity menggunakan peering Microsoft ExpressRoute dan menambahkan komunitas BGP layanan Microsoft Defender untuk Identitas (12076:5220) ke filter rute Anda.
Memerlukan ExpressRoute Layanan untuk nilai komunitas BGP
Firewall, menggunakan alamat IP Azure Defender for Identity Pelanggan yang tidak memiliki proksi atau ExpressRoute dapat mengonfigurasi firewall mereka dengan alamat IP yang ditetapkan ke layanan cloud MDI. Ini mengharuskan pelanggan memantau daftar alamat IP Azure untuk setiap perubahan alamat IP yang digunakan oleh layanan cloud MDI.

Jika Anda memilih opsi ini, kami sarankan Anda mengunduh Rentang IP Azure dan Tag Layanan – File Cloud Publik dan menggunakan tag layanan AzureAdvancedThreatProtection untuk menambahkan alamat IP yang relevan.
Pelanggan harus memantau penetapan IP Azure Tag layanan jaringan virtual

Untuk informasi selengkapnya, lihat arsitektur Microsoft Defender untuk Identitas.

Persyaratan dan rekomendasi sensor

Tabel berikut ini meringkas persyaratan dan rekomendasi untuk pengontrol domain, AD FS, AD CS, server Entra Connect tempat Anda akan menginstal sensor Defender for Identity.

Prasyarat / Rekomendasi Deskripsi
Spesifikasi Pastikan untuk menginstal Defender for Identity pada Windows versi 2016 atau yang lebih tinggi, pada server pengendali domain dengan minimal:

- 2 core
- RAM 6 GB
- Ruang disk 6 GB diperlukan, direkomendasikan 10 GB, termasuk ruang untuk biner dan log Defender untuk Identitas

Defender for Identity mendukung pengontrol domain baca-saja (RODC).
Performa Untuk performa optimal, atur Opsi Daya komputer yang menjalankan sensor Defender for Identity ke Performa Tinggi.
Konfigurasi antarmuka jaringan Jika Anda menggunakan komputer virtual VMware, pastikan konfigurasi NIC komputer virtual menonaktifkan Large Send Offload (LSO). Lihat Masalah sensor komputer virtual VMware untuk detail selengkapnya.
Jendela pemeliharaan Sebaiknya penjadwalan jendela pemeliharaan untuk pengontrol domain Anda, karena mulai ulang mungkin diperlukan jika penginstalan berjalan dan mulai ulang sudah tertunda, atau jika .NET Framework perlu diinstal.

Jika .NET Framework versi 4.7 atau yang lebih baru belum ditemukan pada sistem, .NET Framework versi 4.7 diinstal, dan mungkin memerlukan mulai ulang.

Persyaratan sistem operasi minimum

Sensor Defender for Identity dapat diinstal pada sistem operasi berikut:

  • Windows Server 2016
  • Windows Server 2019. Memerlukan KB4487044 atau pembaruan kumulatif yang lebih baru. Sensor yang diinstal pada Server 2019 tanpa pembaruan ini akan secara otomatis dihentikan jika versi file ntdsai.dll yang ditemukan di direktori sistem lebih lama dari 10.0.17763.316
  • Windows Server 2022

Untuk semua sistem operasi:

  • Kedua server dengan pengalaman desktop dan inti server didukung.
  • Server nano tidak didukung.
  • Penginstalan didukung untuk pengontrol domain, LAYANAN Federasi Direktori Aktif, dan server AD CS.

Sistem operasi warisan

Windows Server 2012 dan Windows Server 2012 R2 mencapai akhir dukungan yang diperpanjang pada 10 Oktober 2023.

Kami menyarankan agar Anda berencana untuk meningkatkan server tersebut karena Microsoft tidak lagi mendukung sensor Pertahanan untuk Identitas pada perangkat yang menjalankan Windows Server 2012 dan Windows Server 2012 R2.

Sensor yang berjalan pada sistem operasi ini akan terus melapor ke Defender for Identity dan bahkan menerima pembaruan sensor, tetapi beberapa fungsionalitas baru tidak akan tersedia karena mungkin mengandalkan kemampuan sistem operasi.

Port yang diperlukan

Protokol Transportasi Port Dari Untuk
Port Internet
SSL (*.atp.azure.com)

Secara bergantian, konfigurasikan akses melalui proksi.
TCP 443 Sensor Pertahanan untuk Identitas Layanan cloud Defender for Identity
Port internal
DNS TCP dan UDP 53 Sensor Pertahanan untuk Identitas Server DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Sensor Pertahanan untuk Identitas Semua perangkat di jaringan
RADIUS UDP 1813 RADIUS Sensor Pertahanan untuk Identitas
Port localhost: Diperlukan untuk pembaruan layanan sensor

Secara default, lalu lintas localhost ke localhost diizinkan kecuali kebijakan firewall kustom memblokirnya.
SSL TCP 444 Layanan sensor Layanan pembaruan sensor
Port Resolusi Nama Jaringan (NNR)

Untuk mengatasi alamat IP ke nama komputer, sebaiknya buka semua port yang tercantum. Namun, hanya satu port yang diperlukan.
NTLM melalui RPC TCP Port 135 Sensor Pertahanan untuk Identitas Semua perangkat di jaringan
Netbios UDP 137 Sensor Pertahanan untuk Identitas Semua perangkat di jaringan
RDP

Hanya paket pertama hello Klien yang mengkueri server DNS menggunakan pencarian DNS terbalik dari alamat IP (UDP 53)
TCP 3389 Sensor Pertahanan untuk Identitas Semua perangkat di jaringan

Jika Anda bekerja dengan beberapa forest, pastikan port berikut dibuka di komputer mana pun tempat sensor Defender for Identity diinstal:

Protokol Transportasi Port Ke/Dari Arah
Port Internet
SSL (*.atp.azure.com) TCP 443 Layanan cloud Defender for Identity Keluar
Port internal
LDAP TCP dan UDP 389 Pengendali domain Keluar
LDAP Aman (LDAPS) TCP 636 Pengendali domain Keluar
LDAP ke Katalog Global TCP 3268 Pengendali domain Keluar
LDAPS ke Katalog Global TCP 3269 Pengendali domain Keluar

Persyaratan memori dinamis

Tabel berikut menjelaskan persyaratan memori pada server yang digunakan untuk sensor Defender for Identity, tergantung pada jenis virtualisasi yang Anda gunakan:

VM berjalan pada Deskripsi
Hyper-V Pastikan bahwa Aktifkan Memori Dinamis tidak diaktifkan untuk VM.
VMware Pastikan bahwa jumlah memori yang dikonfigurasi dan memori yang dipesan sama, atau pilih opsi Pesan semua memori tamu (Semua terkunci) di pengaturan VM.
Host virtualisasi lainnya Lihat dokumentasi yang disediakan vendor tentang cara memastikan bahwa memori sepenuhnya dialokasikan ke VM setiap saat.

Penting

Saat berjalan sebagai komputer virtual, semua memori harus dialokasikan ke komputer virtual setiap saat.

Sinkronisasi waktu

Server dan pengontrol domain tempat sensor diinstal harus memiliki waktu yang disinkronkan dalam waktu lima menit satu sama lain.

Menguji prasyarat Anda

Sebaiknya jalankan skrip Test-MdiReadiness.ps1 untuk menguji dan melihat apakah lingkungan Anda memiliki prasyarat yang diperlukan.

Tautan ke skrip Test-MdiReadiness.ps1 juga tersedia dari Microsoft Defender XDR, pada halaman Alat Identitas > (Pratinjau).

Artikel ini mencantumkan prasyarat yang diperlukan untuk penginstalan dasar. Prasyarat tambahan diperlukan saat menginstal di server AD FS / AD CS atau Entra Connect, untuk mendukung beberapa forest Direktori Aktif, atau saat Anda menginstal sensor Defender for Identity mandiri.

Untuk informasi selengkapnya, lihat:

Langkah selanjutnya