Delen via


Vereisten voor Microsoft Defender for Identity

In dit artikel worden de vereisten beschreven voor een geslaagde implementatie van Microsoft Defender for Identity.

Licentievereisten

Voor het implementeren van Defender for Identity zijn een van de volgende Microsoft 365-licenties vereist:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5-beveiliging*
  • Microsoft 365 F5 Security + Compliance*
  • Een zelfstandige Defender for Identity-licentie

* Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist.

Koop licenties rechtstreeks via de Microsoft 365-portal of gebruik het CSP-licentiemodel (Cloud Solution Partner).

Zie Veelgestelde vragen over licenties en privacy voor meer informatie.

Vereiste machtigingen

Connectiviteitsvereisten

De Defender for Identity-sensor moet kunnen communiceren met de Defender for Identity-cloudservice met behulp van een van de volgende methoden:

Wijze Description Overwegingen Meer informatie
Een proxy instellen Klanten die een doorstuurproxy hebben geïmplementeerd, kunnen profiteren van de proxy om connectiviteit met de MDI-cloudservice te bieden.

Als u deze optie kiest, configureert u de proxy later in het implementatieproces. Proxyconfiguraties omvatten het toestaan van verkeer naar de sensor-URL en het configureren van Defender for Identity-URL's voor expliciete acceptatielijsten die worden gebruikt door uw proxy of firewall.
Hiermee staat u toegang tot internet toe voor één URL

SSL-inspectie wordt niet ondersteund
Instellingen voor eindpuntproxy en internetverbinding configureren

Een installatie op de achtergrond uitvoeren met een proxyconfiguratie
ExpressRoute ExpressRoute kan worden geconfigureerd voor het doorsturen van MDI-sensorverkeer via de expressroute van de klant.

Als u netwerkverkeer wilt routeren dat is bestemd voor de Defender for Identity-cloudservers, gebruikt u ExpressRoute Microsoft-peering en voegt u de BGP-service van Microsoft Defender for Identity (12076:5220) toe aan uw routefilter.
ExpressRoute vereist Service naar BGP-communitywaarde
Firewall, met behulp van de Ip-adressen van Defender for Identity Azure Klanten die geen proxy of ExpressRoute hebben, kunnen hun firewall configureren met de IP-adressen die zijn toegewezen aan de MDI-cloudservice. Hiervoor moet de klant de Azure IP-adreslijst controleren op wijzigingen in de IP-adressen die worden gebruikt door de MDI-cloudservice.

Als u deze optie hebt gekozen, raden we u aan om het Azure IP Ranges and Service Tags - Public Cloud-bestand te downloaden en de servicetag AzureAdvancedThreatProtection te gebruiken om de relevante IP-adressen toe te voegen.
De klant moet Azure IP-toewijzingen bewaken Servicetags voor virtueel netwerk

Zie Microsoft Defender for Identity-architectuur voor meer informatie.

Sensorvereisten en aanbevelingen

De volgende tabel bevat een overzicht van vereisten en aanbevelingen voor de domeincontroller, AD FS, AD CS, Entra Connect-server waar u de Defender for Identity-sensor installeert.

Vereiste/aanbeveling Beschrijving
Specificaties Zorg ervoor dat u Defender for Identity installeert op Windows-versie 2016 of hoger, op een domeincontrollerserver met minimaal:

- 2 kernen
- 6 GB RAM-geheugen
- 6 GB schijfruimte vereist, 10 GB aanbevolen, inclusief ruimte voor binaire bestanden en logboeken van Defender for Identity

Defender for Identity ondersteunt alleen-lezen domeincontrollers (RODC).
Prestaties Voor optimale prestaties stelt u de energieoptie in van de machine waarop de Defender for Identity-sensor wordt uitgevoerd op Hoge prestaties.
Configuratie van netwerkinterface Als u virtuele VMware-machines gebruikt, controleert u of de NIC-configuratie van de virtuele machine Large Send Offload (LSO) is uitgeschakeld. Zie het probleem met de sensor van de virtuele VMware-machine voor meer informatie.
Onderhoudsvenster Het is raadzaam om een onderhoudsvenster voor uw domeincontrollers te plannen, omdat opnieuw opstarten mogelijk vereist is als de installatie wordt uitgevoerd en een herstart al in behandeling is, of als .NET Framework moet worden geïnstalleerd.

Als .NET Framework versie 4.7 of hoger nog niet is gevonden op het systeem, is .NET Framework versie 4.7 geïnstalleerd en is mogelijk opnieuw opstarten vereist.

Minimale vereisten voor het besturingssysteem

Defender for Identity-sensoren kunnen worden geïnstalleerd op de volgende besturingssystemen:

  • Windows Server 2016
  • Windows Server 2019. Vereist KB4487044 of een nieuwere cumulatieve update. Sensoren die zijn geïnstalleerd op Server 2019 zonder deze update, worden automatisch gestopt als de ntdsai.dll bestandsversie in de systeemmap ouder is dan 10.0.17763.316
  • Windows Server 2022

Voor alle besturingssystemen:

  • Beide servers met bureaubladervaring en serverkernen worden ondersteund.
  • Nano-servers worden niet ondersteund.
  • Installaties worden ondersteund voor domeincontrollers, AD FS en AD CS-servers.

Verouderde besturingssystemen

Windows Server 2012 en Windows Server 2012 R2 bereikt het verlengde einde van de ondersteuning op 10 oktober 2023.

U wordt aangeraden deze servers te upgraden omdat Microsoft de Defender for Identity-sensor niet meer ondersteunt op apparaten met Windows Server 2012 en Windows Server 2012 R2.

Sensoren die op deze besturingssystemen worden uitgevoerd, blijven rapporteren aan Defender for Identity en ontvangen zelfs de sensorupdates, maar sommige van de nieuwe functies zijn niet beschikbaar omdat ze mogelijk afhankelijk zijn van de mogelijkheden van het besturingssysteem.

Vereiste poorten

Protocol Transport Poort Vanaf Als u dit wilt doen
Internetpoorten
SSL (*.atp.azure.com)

U kunt ook de toegang configureren via een proxy.
TCP 443 Defender for Identity-sensor Defender for Identity-cloudservice
Interne poorten
DNS TCP en UDP 53 Defender for Identity-sensor DNS-servers
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Defender for Identity-sensor Alle apparaten in het netwerk
RADIUS UDP 1813 RADIUS Defender for Identity-sensor
Localhost-poorten: vereist voor de sensorservice-updater

Localhost naar localhost-verkeer is standaard toegestaan, tenzij een aangepast firewallbeleid dit blokkeert.
SSL TCP 444 Sensorservice Sensor-updaterservice
NNR-poorten (Network Name Resolution)

Als u IP-adressen wilt omzetten in computernamen, raden we u aan alle vermelde poorten te openen. Er is echter slechts één poort vereist.
NTLM via RPC TCP Poort 135 Defender for Identity-sensor Alle apparaten in het netwerk
NetBIOS UDP 137 Defender for Identity-sensor Alle apparaten in het netwerk
RDP

Alleen het eerste pakket client hello voert query's uit op de DNS-server met behulp van omgekeerde DNS-zoekactie van het IP-adres (UDP 53)
TCP 3389 Defender for Identity-sensor Alle apparaten in het netwerk

Als u met meerdere forests werkt, controleert u of de volgende poorten zijn geopend op elke computer waarop een Defender for Identity-sensor is geïnstalleerd:

Protocol Transport Haven Van/naar Richting
Internetpoorten
SSL (*.atp.azure.com) TCP 443 Defender for Identity-cloudservice Uitgaand
Interne poorten
LDAP TCP en UDP 389 Domeincontrollers Uitgaand
Secure LDAP (LDAPS) TCP 636 Domeincontrollers Uitgaand
LDAP naar globale catalogus TCP 3268 Domeincontrollers Uitgaand
LDAPS naar globale catalogus TCP 3269 Domeincontrollers Uitgaand

Vereisten voor dynamisch geheugen

In de volgende tabel worden geheugenvereisten beschreven op de server die wordt gebruikt voor de Defender for Identity-sensor, afhankelijk van het type virtualisatie dat u gebruikt:

VM die wordt uitgevoerd op Beschrijving
Hyper-V Zorg ervoor dat Dynamisch geheugen inschakelen niet is ingeschakeld voor de virtuele machine.
VMware Zorg ervoor dat de hoeveelheid geheugen die is geconfigureerd en het gereserveerde geheugen hetzelfde is, of selecteer de optie Alle gastgeheugen reserveren (alle vergrendelde) in de VM-instellingen.
Andere virtualisatiehost Raadpleeg de door de leverancier verstrekte documentatie over hoe u ervoor kunt zorgen dat het geheugen altijd volledig is toegewezen aan de virtuele machine.

Belangrijk

Wanneer u als een virtuele machine uitvoert, moet alle geheugen altijd worden toegewezen aan de virtuele machine.

Tijdsynchronisatie

De servers en domeincontrollers waarop de sensor is geïnstalleerd, moeten binnen vijf minuten van elkaar zijn gesynchroniseerd.

Uw vereisten testen

U wordt aangeraden het script Test-MdiReadiness.ps1 uit te voeren om te testen en te zien of uw omgeving aan de vereiste vereisten voldoet.

De koppeling naar het script Test-MdiReadiness.ps1 is ook beschikbaar via Microsoft Defender XDR, op de pagina Hulpprogramma's voor identiteiten > (preview).

Dit artikel bevat vereisten die vereist zijn voor een basisinstallatie. Aanvullende vereisten zijn vereist bij de installatie op een AD FS-/AD CS-server of Entra Connect, om meerdere Active Directory-forests te ondersteunen of wanneer u een zelfstandige Defender for Identity-sensor installeert.

Zie voor meer informatie:

Volgende stap