Microsoft Defender for Identity 필수 구성 요소
이 문서에서는 성공적인 Microsoft Defender for Identity 배포에 대한 요구 사항을 설명합니다.
라이선스 요구 사항
Defender for Identity를 배포하려면 다음 Microsoft 365 라이선스 중 하나가 필요합니다.
- Enterprise Mobility + Security E5(EMS E5/A5)
- Microsoft 365 E5(Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* 보안
- Microsoft 365 F5 보안 + 규정 준수*
- 독립 실행형 Defender for Identity 라이선스
* 두 F5 라이선스 모두 Microsoft 365 F1/F3 또는 Office 365 F3 및 Enterprise Mobility + Security E3가 필요합니다.
Microsoft 365 포털을 통해 직접 라이선스를 획득하거나 CSP(클라우드 솔루션 파트너) 라이선스 모델을 사용합니다.
자세한 내용은 라이선스 및 개인 정보 FAQ를 참조 하세요.
필요한 사용 권한
Defender for Identity 작업 영역을 만들려면 보안 관리자가 하나 이상 있는 Microsoft Entra ID 테넌트가 필요합니다.
Microsoft Defender XDR 설정 영역의 ID 섹션에 액세스하고 작업 영역을 만들려면 테넌트에서 보안 관리자 액세스 권한이 필요합니다.
자세한 내용은 Microsoft Defender for Identity 역할 그룹을 참조 하세요.
모니터링되는 도메인의 모든 개체에 대한 읽기 액세스 권한으로 하나 이상의 디렉터리 서비스 계정을 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Defender for Identity에 대한 디렉터리 서비스 계정 구성을 참조하세요.
연결 요구 사항
Defender for Identity 센서는 다음 방법 중 하나를 사용하여 Defender for Identity 클라우드 서비스와 통신할 수 있어야 합니다.
| 메서드 | 설명 | 고려 사항 | 자세한 정보 |
|---|---|---|---|
| 프록시 설정 | 전달 프록시가 배포된 고객은 프록시를 활용하여 MDI 클라우드 서비스에 대한 연결을 제공할 수 있습니다. 이 옵션을 선택하면 배포 프로세스의 뒷부분에서 프록시를 구성합니다. 프록시 구성에는 센서 URL에 대한 트래픽 허용 및 프록시 또는 방화벽에서 사용하는 명시적 허용 목록에 대한 Defender for Identity URL 구성이 포함됩니다. |
단일 URL에 대한 인터넷 액세스를 허용합니다. SSL 검사는 지원되지 않습니다. |
엔드포인트 프록시 및 인터넷 연결 설정 구성 프록시 구성을 사용하여 자동 설치 실행 |
| ExpressRoute | ExpressRoute는 고객의 빠른 경로를 통해 MDI 센서 트래픽을 전달하도록 구성할 수 있습니다. Defender for Identity 클라우드 서버로 향하는 네트워크 트래픽을 라우팅하려면 ExpressRoute Microsoft 피어링을 사용하고 Microsoft Defender for Identity(12076:5220) 서비스 BGP 커뮤니티를 경로 필터에 추가합니다. |
ExpressRoute 필요 | BGP 커뮤니티에 대한 서비스 가치 |
| Defender for Identity Azure IP 주소를 사용하는 방화벽 | 프록시 또는 ExpressRoute가 없는 고객은 MDI 클라우드 서비스에 할당된 IP 주소를 사용하여 방화벽을 구성할 수 있습니다. 이를 위해서는 고객이 MDI 클라우드 서비스에서 사용하는 IP 주소의 변경 내용에 대해 Azure IP 주소 목록을 모니터링해야 합니다. 이 옵션을 선택한 경우 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드 파일을 다운로드하고 AzureAdvancedThreatProtection 서비스 태그를 사용하여 관련 IP 주소를 추가하는 것이 좋습니다. |
고객은 Azure IP 할당을 모니터링해야 합니다. | 가상 네트워크 서비스 태그 |
자세한 내용은 Microsoft Defender for Identity 아키텍처를 참조 하세요.
센서 요구 사항 및 권장 사항
다음 표에는 Defender for Identity 센서를 설치할 도메인 컨트롤러, AD FS, AD CS, Entra Connect 서버에 대한 요구 사항 및 권장 사항이 요약되어 있습니다.
| 필수 구성 요소/권장 사항 | 설명 |
|---|---|
| 사양 | Windows 버전 2016 이상에서 최소 다음의 도메인 컨트롤러 서버에 Defender for Identity를 설치해야 합니다. - 코어 2개 - 6GB RAM - 6GB의 디스크 공간이 필요하고 Defender for Identity 이진 파일 및 로그를 위한 공간을 포함하여 10GB 권장 Defender for Identity는 RODC(읽기 전용 도메인 컨트롤러)를 지원합니다. |
| 성능 | 성능을 최적화하려면 Defender for Identity 센서를 실행하는 머신의 전원 옵션을 고성능으로 설정합니다. |
| 네트워크 인터페이스 구성 | VMware 가상 머신을 사용하는 경우 가상 머신의 NIC 구성에 LSO(대규모 송신 오프로드)가 비활성화되어 있는지 확인합니다. 자세한 내용은 VMware 가상 머신 센서 문제를 참조하세요. |
| 유지 관리 기간 | 설치가 실행되고 다시 시작이 이미 보류 중이거나 .NET Framework를 설치해야 하는 경우 다시 시작이 필요할 수 있으므로 도메인 컨트롤러에 대한 유지 관리 기간을 예약하는 것이 좋습니다. .NET Framework 버전 4.7 이상이 시스템에 아직 없는 경우 .NET Framework 버전 4.7이 설치되고 다시 시작해야 할 수 있습니다. |
최소 운영 체제 요구 사항
Defender for Identity 센서는 다음 운영 체제에 설치할 수 있습니다.
- Windows Server 2016
- Windows Server 2019. KB4487044 또는 최신 누적 업데이트가 필요합니다. 시스템 디렉터리에 있는 ntdsai.dll 파일 버전이 10.0.17763.316보다 오래된 경우 이 업데이트 없이 Server 2019에 설치된 센서가 자동으로 중지됩니다.
- Windows Server 2022
모든 운영 체제의 경우:
- 데스크톱 환경이 있는 서버와 서버 코어가 모두 지원됩니다.
- Nano 서버는 지원되지 않습니다.
- 도메인 컨트롤러, AD FS 및 AD CS 서버에 설치가 지원됩니다.
레거시 운영 체제
Windows Server 2012 및 Windows Server 2012 R2는 2023년 10월 10일에 지원이 연장되었습니다.
Microsoft에서 Windows Server 2012 및 Windows Server 2012 R2를 실행하는 디바이스에서 더 이상 Defender for Identity 센서를 지원하지 않으므로 해당 서버를 업그레이드하는 것이 좋습니다.
이러한 운영 체제에서 실행되는 센서는 계속해서 Defender for Identity에 보고하고 센서 업데이트를 수신하지만 운영 체제 기능에 의존할 수 있으므로 일부 새로운 기능을 사용할 수 없습니다.
필요한 포트
| 프로토콜 | 전송 | 포트 | From | 수행할 작업 |
|---|---|---|---|---|
| 인터넷 포트 | ||||
| SSL (*.atp.azure.com) 또는 프록시를 통해 액세스를 구성합니다. |
TCP | 443 | Defender for Identity 센서 | Defender for Identity 클라우드 서비스 |
| 내부 포트 | ||||
| DNS | TCP 및 UDP | 53 | Defender for Identity 센서 | DNS 서버 |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity 센서 |
| Localhost 포트: 센서 서비스 업데이트 관리자에 필요 기본적으로 localhost 에서 localhost 트래픽은 사용자 지정 방화벽 정책이 차단하지 않는 한 허용됩니다. |
||||
| SSL | TCP | 444 | 센서 서비스 | 센서 업데이트 서비스 |
| NNR(네트워크 이름 확인) 포트 IP 주소를 컴퓨터 이름으로 확인하려면 나열된 모든 포트를 여는 것이 좋습니다. 그러나 하나의 포트만 필요합니다. |
||||
| RPC를 통한 NTLM | TCP | 포트 135 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| NetBIOS | UDP | 137 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| RDP 클라이언트 hello의 첫 번째 패킷만 IP 주소의 역방향 DNS 조회를 사용하여 DNS 서버를 쿼리합니다(UDP 53). |
TCP | 3389 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
여러 포리스트로 작업하는 경우 Defender for Identity 센서가 설치된 컴퓨터에서 다음 포트가 열려 있는지 확인합니다.
| 프로토콜 | 전송 | 포트 | 대상/원본 | Direction |
|---|---|---|---|---|
| 인터넷 포트 | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity 클라우드 서비스 | 아웃바운드 |
| 내부 포트 | ||||
| LDAP | TCP 및 UDP | 389 | 도메인 컨트롤러 | 아웃바운드 |
| LDAPS(보안 LDAP) | TCP | 636 | 도메인 컨트롤러 | 아웃바운드 |
| LDAP에서 글로벌 카탈로그로 | TCP | 3268 | 도메인 컨트롤러 | 아웃바운드 |
| LDAPS에서 글로벌 카탈로그로 | TCP | 3269 | 도메인 컨트롤러 | 아웃바운드 |
동적 메모리 요구 사항
다음 표에서는 사용 중인 가상화 유형에 따라 Defender for Identity 센서에 사용되는 서버의 메모리 요구 사항을 설명합니다.
| VM 실행 중 | 설명 |
|---|---|
| Hyper-V | VM에 대해 동적 메모리 를 사용하도록 설정하지 않았는지 확인합니다. |
| VMware | 구성된 메모리 양과 예약된 메모리가 동일한지 확인하거나 VM 설정에서 모든 게스트 메모리 예약(모든 잠금) 옵션을 선택합니다. |
| 기타 가상화 호스트 | 항상 VM에 메모리가 완전히 할당되도록 하는 방법에 대한 공급업체 제공 설명서를 참조하세요. |
Important
가상 머신으로 실행하는 경우 모든 메모리를 항상 가상 머신에 할당해야 합니다.
시간 동기화
센서가 설치된 서버 및 도메인 컨트롤러는 서로 5분 이내에 동기화된 시간이 있어야 합니다.
필수 구성 요소 테스트
Test-MdiReadiness.ps1 스크립트를 실행하여 테스트하고 환경에 필요한 필수 구성 요소가 있는지 확인하는 것이 좋습니다.
Test-MdiReadiness.ps1 스크립트에 대한 링크는 Microsoft Defender XDR의 ID > 도구 페이지(미리 보기)에서도 사용할 수 있습니다.
관련 콘텐츠
이 문서에서는 기본 설치에 필요한 필수 구성 요소를 나열합니다. AD FS/AD CS 서버 또는 Entra Connect에 설치하거나, 여러 Active Directory 포리스트를 지원하거나, 독립 실행형 Defender for Identity 센서를 설치할 때 추가 필수 구성 요소가 필요합니다.
자세한 내용은 다음을 참조하세요.
- AD FS 및 AD CS 서버에 Microsoft Defender for Identity 배포
- Microsoft Defender for Identity 다중 포리스트 지원
- Microsoft Defender for Identity 독립 실행형 센서 필수 구성 요소
- Defender for Identity 아키텍처