Vereisten voor Microsoft Defender for Identity
In dit artikel worden de vereisten beschreven voor een geslaagde implementatie van Microsoft Defender for Identity.
Licentievereisten
Voor het implementeren van Defender for Identity zijn een van de volgende Microsoft 365-licenties vereist:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5-beveiliging*
- Microsoft 365 F5 Security + Compliance*
- Een zelfstandige Defender for Identity-licentie
* Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist.
Koop licenties rechtstreeks via de Microsoft 365-portal of gebruik het CSP-licentiemodel (Cloud Solution Partner).
Zie Veelgestelde vragen over licenties en privacy voor meer informatie.
Vereiste machtigingen
Als u uw Defender for Identity-werkruimte wilt maken, hebt u een Microsoft Entra ID-tenant nodig met ten minste één beveiligingsbeheerder.
U hebt ten minste beveiligingsbeheerderstoegang nodig voor uw tenant om toegang te krijgen tot de sectie Identiteit van het gebied Microsoft Defender XDR-instellingen en om de werkruimte te maken.
Zie Microsoft Defender for Identity-rollengroepen voor meer informatie.
U wordt aangeraden ten minste één Directory Service-account te gebruiken, met leestoegang tot alle objecten in de bewaakte domeinen. Zie Een Directory Service-account configureren voor Microsoft Defender for Identity voor meer informatie.
Connectiviteitsvereisten
De Defender for Identity-sensor moet kunnen communiceren met de Defender for Identity-cloudservice met behulp van een van de volgende methoden:
Wijze | Description | Overwegingen | Meer informatie |
---|---|---|---|
Een proxy instellen | Klanten die een doorstuurproxy hebben geïmplementeerd, kunnen profiteren van de proxy om connectiviteit met de MDI-cloudservice te bieden. Als u deze optie kiest, configureert u de proxy later in het implementatieproces. Proxyconfiguraties omvatten het toestaan van verkeer naar de sensor-URL en het configureren van Defender for Identity-URL's voor expliciete acceptatielijsten die worden gebruikt door uw proxy of firewall. |
Hiermee staat u toegang tot internet toe voor één URL SSL-inspectie wordt niet ondersteund |
Instellingen voor eindpuntproxy en internetverbinding configureren Een installatie op de achtergrond uitvoeren met een proxyconfiguratie |
ExpressRoute | ExpressRoute kan worden geconfigureerd voor het doorsturen van MDI-sensorverkeer via de expressroute van de klant. Als u netwerkverkeer wilt routeren dat is bestemd voor de Defender for Identity-cloudservers, gebruikt u ExpressRoute Microsoft-peering en voegt u de BGP-service van Microsoft Defender for Identity (12076:5220) toe aan uw routefilter. |
ExpressRoute vereist | Service naar BGP-communitywaarde |
Firewall, met behulp van de Ip-adressen van Defender for Identity Azure | Klanten die geen proxy of ExpressRoute hebben, kunnen hun firewall configureren met de IP-adressen die zijn toegewezen aan de MDI-cloudservice. Hiervoor moet de klant de Azure IP-adreslijst controleren op wijzigingen in de IP-adressen die worden gebruikt door de MDI-cloudservice. Als u deze optie hebt gekozen, raden we u aan om het Azure IP Ranges and Service Tags - Public Cloud-bestand te downloaden en de servicetag AzureAdvancedThreatProtection te gebruiken om de relevante IP-adressen toe te voegen. |
De klant moet Azure IP-toewijzingen bewaken | Servicetags voor virtueel netwerk |
Zie Microsoft Defender for Identity-architectuur voor meer informatie.
Sensorvereisten en aanbevelingen
De volgende tabel bevat een overzicht van vereisten en aanbevelingen voor de domeincontroller, AD FS, AD CS, Entra Connect-server waar u de Defender for Identity-sensor installeert.
Vereiste/aanbeveling | Beschrijving |
---|---|
Specificaties | Zorg ervoor dat u Defender for Identity installeert op Windows-versie 2016 of hoger, op een domeincontrollerserver met minimaal: - 2 kernen - 6 GB RAM-geheugen - 6 GB schijfruimte vereist, 10 GB aanbevolen, inclusief ruimte voor binaire bestanden en logboeken van Defender for Identity Defender for Identity ondersteunt alleen-lezen domeincontrollers (RODC). |
Prestaties | Voor optimale prestaties stelt u de energieoptie in van de machine waarop de Defender for Identity-sensor wordt uitgevoerd op Hoge prestaties. |
Configuratie van netwerkinterface | Als u virtuele VMware-machines gebruikt, controleert u of de NIC-configuratie van de virtuele machine Large Send Offload (LSO) is uitgeschakeld. Zie het probleem met de sensor van de virtuele VMware-machine voor meer informatie. |
Onderhoudsvenster | Het is raadzaam om een onderhoudsvenster voor uw domeincontrollers te plannen, omdat opnieuw opstarten mogelijk vereist is als de installatie wordt uitgevoerd en een herstart al in behandeling is, of als .NET Framework moet worden geïnstalleerd. Als .NET Framework versie 4.7 of hoger nog niet is gevonden op het systeem, is .NET Framework versie 4.7 geïnstalleerd en is mogelijk opnieuw opstarten vereist. |
Minimale vereisten voor het besturingssysteem
Defender for Identity-sensoren kunnen worden geïnstalleerd op de volgende besturingssystemen:
- Windows Server 2016
- Windows Server 2019. Vereist KB4487044 of een nieuwere cumulatieve update. Sensoren die zijn geïnstalleerd op Server 2019 zonder deze update, worden automatisch gestopt als de ntdsai.dll bestandsversie in de systeemmap ouder is dan 10.0.17763.316
- Windows Server 2022
Voor alle besturingssystemen:
- Beide servers met bureaubladervaring en serverkernen worden ondersteund.
- Nano-servers worden niet ondersteund.
- Installaties worden ondersteund voor domeincontrollers, AD FS en AD CS-servers.
Verouderde besturingssystemen
Windows Server 2012 en Windows Server 2012 R2 bereikt het verlengde einde van de ondersteuning op 10 oktober 2023.
U wordt aangeraden deze servers te upgraden omdat Microsoft de Defender for Identity-sensor niet meer ondersteunt op apparaten met Windows Server 2012 en Windows Server 2012 R2.
Sensoren die op deze besturingssystemen worden uitgevoerd, blijven rapporteren aan Defender for Identity en ontvangen zelfs de sensorupdates, maar sommige van de nieuwe functies zijn niet beschikbaar omdat ze mogelijk afhankelijk zijn van de mogelijkheden van het besturingssysteem.
Vereiste poorten
Protocol | Transport | Poort | Vanaf | Als u dit wilt doen |
---|---|---|---|---|
Internetpoorten | ||||
SSL (*.atp.azure.com) U kunt ook de toegang configureren via een proxy. |
TCP | 443 | Defender for Identity-sensor | Defender for Identity-cloudservice |
Interne poorten | ||||
DNS | TCP en UDP | 53 | Defender for Identity-sensor | DNS-servers |
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-sensor | Alle apparaten in het netwerk |
RADIUS | UDP | 1813 | RADIUS | Defender for Identity-sensor |
Localhost-poorten: vereist voor de sensorservice-updater Localhost naar localhost-verkeer is standaard toegestaan, tenzij een aangepast firewallbeleid dit blokkeert. |
||||
SSL | TCP | 444 | Sensorservice | Sensor-updaterservice |
NNR-poorten (Network Name Resolution) Als u IP-adressen wilt omzetten in computernamen, raden we u aan alle vermelde poorten te openen. Er is echter slechts één poort vereist. |
||||
NTLM via RPC | TCP | Poort 135 | Defender for Identity-sensor | Alle apparaten in het netwerk |
NetBIOS | UDP | 137 | Defender for Identity-sensor | Alle apparaten in het netwerk |
RDP Alleen het eerste pakket client hello voert query's uit op de DNS-server met behulp van omgekeerde DNS-zoekactie van het IP-adres (UDP 53) |
TCP | 3389 | Defender for Identity-sensor | Alle apparaten in het netwerk |
Als u met meerdere forests werkt, controleert u of de volgende poorten zijn geopend op elke computer waarop een Defender for Identity-sensor is geïnstalleerd:
Protocol | Transport | Haven | Van/naar | Richting |
---|---|---|---|---|
Internetpoorten | ||||
SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-cloudservice | Uitgaand |
Interne poorten | ||||
LDAP | TCP en UDP | 389 | Domeincontrollers | Uitgaand |
Secure LDAP (LDAPS) | TCP | 636 | Domeincontrollers | Uitgaand |
LDAP naar globale catalogus | TCP | 3268 | Domeincontrollers | Uitgaand |
LDAPS naar globale catalogus | TCP | 3269 | Domeincontrollers | Uitgaand |
Vereisten voor dynamisch geheugen
In de volgende tabel worden geheugenvereisten beschreven op de server die wordt gebruikt voor de Defender for Identity-sensor, afhankelijk van het type virtualisatie dat u gebruikt:
VM die wordt uitgevoerd op | Beschrijving |
---|---|
Hyper-V | Zorg ervoor dat Dynamisch geheugen inschakelen niet is ingeschakeld voor de virtuele machine. |
VMware | Zorg ervoor dat de hoeveelheid geheugen die is geconfigureerd en het gereserveerde geheugen hetzelfde is, of selecteer de optie Alle gastgeheugen reserveren (alle vergrendelde) in de VM-instellingen. |
Andere virtualisatiehost | Raadpleeg de door de leverancier verstrekte documentatie over hoe u ervoor kunt zorgen dat het geheugen altijd volledig is toegewezen aan de virtuele machine. |
Belangrijk
Wanneer u als een virtuele machine uitvoert, moet alle geheugen altijd worden toegewezen aan de virtuele machine.
Tijdsynchronisatie
De servers en domeincontrollers waarop de sensor is geïnstalleerd, moeten binnen vijf minuten van elkaar zijn gesynchroniseerd.
Uw vereisten testen
U wordt aangeraden het script Test-MdiReadiness.ps1 uit te voeren om te testen en te zien of uw omgeving aan de vereiste vereisten voldoet.
De koppeling naar het script Test-MdiReadiness.ps1 is ook beschikbaar via Microsoft Defender XDR, op de pagina Hulpprogramma's voor identiteiten > (preview).
Gerelateerde inhoud
Dit artikel bevat vereisten die vereist zijn voor een basisinstallatie. Aanvullende vereisten zijn vereist bij de installatie op een AD FS-/AD CS-server of Entra Connect, om meerdere Active Directory-forests te ondersteunen of wanneer u een zelfstandige Defender for Identity-sensor installeert.
Zie voor meer informatie:
- Microsoft Defender for Identity implementeren op AD FS- en AD CS-servers
- Ondersteuning voor meerdere forests voor Microsoft Defender for Identity
- Vereisten voor zelfstandige sensor van Microsoft Defender for Identity
- Defender for Identity-architectuur