prasyarat Microsoft Defender untuk Identitas
Artikel ini menjelaskan persyaratan untuk penyebaran Microsoft Defender untuk Identitas yang berhasil.
Persyaratan lisensi
Menyebarkan Defender untuk Identitas memerlukan salah satu lisensi Microsoft 365 berikut:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Keamanan Microsoft 365 E5/A5/G5/F5*
- Keamanan + Kepatuhan Microsoft 365 F5*
- Lisensi Defender for Identity mandiri
* Kedua lisensi F5 memerlukan Microsoft 365 F1/F3 atau Office 365 F3 dan Enterprise Mobility + Security E3.
Dapatkan lisensi langsung melalui portal Microsoft 365 atau gunakan model lisensi Mitra Solusi Cloud (CSP).
Untuk informasi selengkapnya, lihat Tanya Jawab Umum lisensi dan privasi.
Izin yang diperlukan
Untuk membuat ruang kerja Defender for Identity, Anda memerlukan penyewa ID Microsoft Entra dengan setidaknya satu administrator Keamanan.
Anda memerlukan setidaknya akses administrator Keamanan pada penyewa Anda untuk mengakses bagian Identitas di area Pengaturan XDR Pertahanan Microsoft dan membuat ruang kerja.
Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas grup peran.
Sebaiknya gunakan setidaknya satu akun Layanan Direktori, dengan akses baca ke semua objek di domain yang dipantau. Untuk informasi selengkapnya, lihat Mengonfigurasi akun Layanan Direktori untuk Microsoft Defender untuk Identitas.
Persyaratan konektivitas
Sensor Defender for Identity harus dapat berkomunikasi dengan layanan cloud Defender for Identity, menggunakan salah satu metode berikut:
| Metode | Deskripsi | Pertimbangan | Pelajari lebih lanjut |
|---|---|---|---|
| Menyiapkan proksi | Pelanggan yang memiliki proksi maju yang disebarkan dapat memanfaatkan proksi untuk menyediakan konektivitas ke layanan cloud MDI. Jika Anda memilih opsi ini, Anda akan mengonfigurasi proksi nanti dalam proses penyebaran. Konfigurasi proksi termasuk mengizinkan lalu lintas ke URL sensor, dan mengonfigurasi URL Defender for Identity ke daftar izin eksplisit yang digunakan oleh proksi atau firewall Anda. |
Memungkinkan akses ke internet untuk satu URL Inspeksi SSL tidak didukung |
Mengonfigurasi proksi titik akhir dan pengaturan konektivitas internet Menjalankan penginstalan senyap dengan konfigurasi proksi |
| ExpressRoute | ExpressRoute dapat dikonfigurasi untuk meneruskan lalu lintas sensor MDI melalui rute ekspres pelanggan. Untuk merutekan lalu lintas jaringan yang ditujukan ke server cloud Defender for Identity menggunakan peering Microsoft ExpressRoute dan menambahkan komunitas BGP layanan Microsoft Defender untuk Identitas (12076:5220) ke filter rute Anda. |
Memerlukan ExpressRoute | Layanan untuk nilai komunitas BGP |
| Firewall, menggunakan alamat IP Azure Defender for Identity | Pelanggan yang tidak memiliki proksi atau ExpressRoute dapat mengonfigurasi firewall mereka dengan alamat IP yang ditetapkan ke layanan cloud MDI. Ini mengharuskan pelanggan memantau daftar alamat IP Azure untuk setiap perubahan alamat IP yang digunakan oleh layanan cloud MDI. Jika Anda memilih opsi ini, kami sarankan Anda mengunduh Rentang IP Azure dan Tag Layanan – File Cloud Publik dan menggunakan tag layanan AzureAdvancedThreatProtection untuk menambahkan alamat IP yang relevan. |
Pelanggan harus memantau penetapan IP Azure | Tag layanan jaringan virtual |
Untuk informasi selengkapnya, lihat arsitektur Microsoft Defender untuk Identitas.
Persyaratan dan rekomendasi sensor
Tabel berikut ini meringkas persyaratan dan rekomendasi untuk pengontrol domain, AD FS, AD CS, server Entra Connect tempat Anda akan menginstal sensor Defender for Identity.
| Prasyarat / Rekomendasi | Deskripsi |
|---|---|
| Spesifikasi | Pastikan untuk menginstal Defender for Identity pada Windows versi 2016 atau yang lebih tinggi, pada server pengendali domain dengan minimal: - 2 core - RAM 6 GB - Ruang disk 6 GB diperlukan, direkomendasikan 10 GB, termasuk ruang untuk biner dan log Defender untuk Identitas Defender for Identity mendukung pengontrol domain baca-saja (RODC). |
| Performa | Untuk performa optimal, atur Opsi Daya komputer yang menjalankan sensor Defender for Identity ke Performa Tinggi. |
| Konfigurasi antarmuka jaringan | Jika Anda menggunakan komputer virtual VMware, pastikan konfigurasi NIC komputer virtual menonaktifkan Large Send Offload (LSO). Lihat Masalah sensor komputer virtual VMware untuk detail selengkapnya. |
| Jendela pemeliharaan | Sebaiknya penjadwalan jendela pemeliharaan untuk pengontrol domain Anda, karena mulai ulang mungkin diperlukan jika penginstalan berjalan dan mulai ulang sudah tertunda, atau jika .NET Framework perlu diinstal. Jika .NET Framework versi 4.7 atau yang lebih baru belum ditemukan pada sistem, .NET Framework versi 4.7 diinstal, dan mungkin memerlukan mulai ulang. |
Persyaratan sistem operasi minimum
Sensor Defender for Identity dapat diinstal pada sistem operasi berikut:
- Windows Server 2016
- Windows Server 2019. Memerlukan KB4487044 atau pembaruan kumulatif yang lebih baru. Sensor yang diinstal pada Server 2019 tanpa pembaruan ini akan secara otomatis dihentikan jika versi file ntdsai.dll yang ditemukan di direktori sistem lebih lama dari 10.0.17763.316
- Windows Server 2022
Untuk semua sistem operasi:
- Kedua server dengan pengalaman desktop dan inti server didukung.
- Server nano tidak didukung.
- Penginstalan didukung untuk pengontrol domain, LAYANAN Federasi Direktori Aktif, dan server AD CS.
Sistem operasi warisan
Windows Server 2012 dan Windows Server 2012 R2 mencapai akhir dukungan yang diperpanjang pada 10 Oktober 2023.
Kami menyarankan agar Anda berencana untuk meningkatkan server tersebut karena Microsoft tidak lagi mendukung sensor Pertahanan untuk Identitas pada perangkat yang menjalankan Windows Server 2012 dan Windows Server 2012 R2.
Sensor yang berjalan pada sistem operasi ini akan terus melapor ke Defender for Identity dan bahkan menerima pembaruan sensor, tetapi beberapa fungsionalitas baru tidak akan tersedia karena mungkin mengandalkan kemampuan sistem operasi.
Port yang diperlukan
| Protokol | Transportasi | Port | Dari | Untuk |
|---|---|---|---|---|
| Port Internet | ||||
| SSL (*.atp.azure.com) Secara bergantian, konfigurasikan akses melalui proksi. |
TCP | 443 | Sensor Pertahanan untuk Identitas | Layanan cloud Defender for Identity |
| Port internal | ||||
| DNS | TCP dan UDP | 53 | Sensor Pertahanan untuk Identitas | Server DNS |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor Pertahanan untuk Identitas | Semua perangkat di jaringan |
| RADIUS | UDP | 1813 | RADIUS | Sensor Pertahanan untuk Identitas |
| Port localhost: Diperlukan untuk pembaruan layanan sensor Secara default, lalu lintas localhost ke localhost diizinkan kecuali kebijakan firewall kustom memblokirnya. |
||||
| SSL | TCP | 444 | Layanan sensor | Layanan pembaruan sensor |
| Port Resolusi Nama Jaringan (NNR) Untuk mengatasi alamat IP ke nama komputer, sebaiknya buka semua port yang tercantum. Namun, hanya satu port yang diperlukan. |
||||
| NTLM melalui RPC | TCP | Port 135 | Sensor Pertahanan untuk Identitas | Semua perangkat di jaringan |
| Netbios | UDP | 137 | Sensor Pertahanan untuk Identitas | Semua perangkat di jaringan |
| RDP Hanya paket pertama hello Klien yang mengkueri server DNS menggunakan pencarian DNS terbalik dari alamat IP (UDP 53) |
TCP | 3389 | Sensor Pertahanan untuk Identitas | Semua perangkat di jaringan |
Jika Anda bekerja dengan beberapa forest, pastikan port berikut dibuka di komputer mana pun tempat sensor Defender for Identity diinstal:
| Protokol | Transportasi | Port | Ke/Dari | Arah |
|---|---|---|---|---|
| Port Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Layanan cloud Defender for Identity | Keluar |
| Port internal | ||||
| LDAP | TCP dan UDP | 389 | Pengendali domain | Keluar |
| LDAP Aman (LDAPS) | TCP | 636 | Pengendali domain | Keluar |
| LDAP ke Katalog Global | TCP | 3268 | Pengendali domain | Keluar |
| LDAPS ke Katalog Global | TCP | 3269 | Pengendali domain | Keluar |
Persyaratan memori dinamis
Tabel berikut menjelaskan persyaratan memori pada server yang digunakan untuk sensor Defender for Identity, tergantung pada jenis virtualisasi yang Anda gunakan:
| VM berjalan pada | Deskripsi |
|---|---|
| Hyper-V | Pastikan bahwa Aktifkan Memori Dinamis tidak diaktifkan untuk VM. |
| VMware | Pastikan bahwa jumlah memori yang dikonfigurasi dan memori yang dipesan sama, atau pilih opsi Pesan semua memori tamu (Semua terkunci) di pengaturan VM. |
| Host virtualisasi lainnya | Lihat dokumentasi yang disediakan vendor tentang cara memastikan bahwa memori sepenuhnya dialokasikan ke VM setiap saat. |
Penting
Saat berjalan sebagai komputer virtual, semua memori harus dialokasikan ke komputer virtual setiap saat.
Sinkronisasi waktu
Server dan pengontrol domain tempat sensor diinstal harus memiliki waktu yang disinkronkan dalam waktu lima menit satu sama lain.
Menguji prasyarat Anda
Sebaiknya jalankan skrip Test-MdiReadiness.ps1 untuk menguji dan melihat apakah lingkungan Anda memiliki prasyarat yang diperlukan.
Tautan ke skrip Test-MdiReadiness.ps1 juga tersedia dari Microsoft Defender XDR, pada halaman Alat Identitas > (Pratinjau).
Konten terkait
Artikel ini mencantumkan prasyarat yang diperlukan untuk penginstalan dasar. Prasyarat tambahan diperlukan saat menginstal di server AD FS / AD CS atau Entra Connect, untuk mendukung beberapa forest Direktori Aktif, atau saat Anda menginstal sensor Defender for Identity mandiri.
Untuk informasi selengkapnya, lihat:
- Menyebarkan Microsoft Defender untuk Identitas di server AD FS dan AD CS
- Microsoft Defender untuk Identitas dukungan multi-forest
- Microsoft Defender untuk Identitas prasyarat sensor mandiri
- Arsitektur Defender for Identity