Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wdróż czujnik usługi Defender for Identity w wersji 3.x na obsługiwanych kontrolerach domeny. Przed aktywacją wykonaj testy wymagań wstępnych, a następnie skonfiguruj ustawienia inspekcji i tożsamości.
Przed aktywowaniem
Wykonaj te kontrole przed aktywowaniem czujnika.
Ograniczenia wersji czujnika
Przed aktywowaniem czujnika usługi Defender for Identity w wersji 3.x należy pamiętać, że wersja 3.x:
- Nie obsługuje integracji sieci VPN.
- Nie obsługuje powiadomień dziennika systemowego.
- Ma ograniczenia dotyczące pracy z usługą Azure ExpressRoute. Aby uzyskać więcej informacji, zobacz Azure ExpressRoute for Microsoft 365.
- Nie obsługuje migracji kontrolerów domeny z systemem Windows Server 2025 z czujnika v2.x do czujnika v3.x. Aby uzyskać więcej informacji, zobacz Znane ograniczenia. .
Wymagania dotyczące serwera
Upewnij się, że serwer, na którym aktywujesz czujnik:
- Program Defender for Endpoint został wdrożony na serwerze. Składnik programu antywirusowego Microsoft Defender może być w trybie aktywnym lub pasywnym. Usługa Defender for Endpoint musi być dołączona na serwerze, na którym działa czujnik; Wdrożenie tylko dla punktu końcowego nie jest wystarczające.
- Nie ma już wdrożonego czujnika usługi Defender for Identity w wersji 2.x.
- Działa Windows Server 2019 lub nowszym.
- Obejmuje aktualizację zbiorczą z marca 2026 r. lub nowszą .
Obsługiwane typy serwerów
Czujnik v3.x obsługuje kontrolery domeny, w tym kontrolery domeny z następującymi rolami tożsamości:
- Active Directory Federation Services (AD FS)
- Usługi certyfikatów Active Directory (AD CS)
- Microsoft Entra Connect
Użyj czujnika usługi Defender for Identity w wersji 2.x dla serwerów, które nie są kontrolerami domeny, i uruchom usługi AD FS, AD CS lub Microsoft Entra Connect.
Wymagania dotyczące licencjonowania
Wdrożenie usługi Defender for Identity wymaga jednej z następujących licencji platformy Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- zabezpieczenia Microsoft 365 E5/A5/G5/F5*
- Zabezpieczenia i zgodność platformy Microsoft 365 F5*
Obie licencje F5 wymagają Microsoft 365 F1/F3 lub Office 365 F3 i Enterprise Mobility + Security E3. Kupowanie licencji w portalu platformy Microsoft 365 lub za pośrednictwem licencjonowania partnera rozwiązań w chmurze (CSP). Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące licencjonowania i ochrony prywatności.
Role i uprawnienia
Aby utworzyć obszar roboczy usługi Defender for Identity, potrzebujesz dzierżawy Microsoft Entra ID.
Musisz być administratorem zabezpieczeń lub mieć następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach:
System settings (Read and manage)Security settings (All permissions)
Wymagania dotyczące sieci
Czujnik usługi Defender for Identity używa tych samych identyfikatorów URI co Ochrona punktu końcowego w usłudze Microsoft Defender. Przejrzyj następujące dokumenty dotyczące usługi Defender for Endpoint w oparciu o łączność systemu, aby znaleźć pełną listę wymaganych punktów końcowych usługi.
Ochrona punktu końcowego w usłudze Microsoft Defender uproszczone adresy URL łączności
Ochrona punktu końcowego w usłudze Microsoft Defender standardowych adresów URL łączności
Wymagania dotyczące pamięci
W poniższej tabeli opisano wymagania dotyczące pamięci na serwerze używanym dla czujnika usługi Defender for Identity w zależności od używanego typu wirtualizacji:
| Maszyna wirtualna uruchomiona na | Opis |
|---|---|
| Funkcja Hyper-V | Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej. |
| Vmware | Upewnij się, że ilość skonfigurowanej pamięci i pamięć zarezerwowana są takie same, lub wybierz opcję Zarezerwuj całą pamięć gościa (Wszystkie zablokowane) w ustawieniach maszyny wirtualnej. |
| Inny host wirtualizacji | Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest zawsze w pełni przydzielona do maszyn wirtualnych. |
Ważna
Podczas uruchamiania jako maszyna wirtualna zawsze przydzielaj całą pamięć do maszyny wirtualnej.
Wersja 3 czujnika uniemożliwia czujnikowi nadmierne wykorzystanie procesora CPU lub pamięci przez ograniczenie użycia procesora CPU do 30%, a użycie pamięci do 1,5 GB. Jeśli jednak jakakolwiek inna usługa korzysta ze znacznych zasobów systemowych, kontroler domeny może nadal odczuwać obciążenie wydajności.
Zapoznaj się z dokumentacją planowania pojemności usługi Defender for Identity, aby ustalić, czy serwery kontrolera domeny mają wystarczającą ilość zasobów dla czujnika Microsoft Defender for Identity.
Wymagania dotyczące konta usługi
Czujnik usługi Defender for Identity współdziała z usługą Active Directory na dwa sposoby:
- Odczytywanie danych usługi AD (wykonywanie zapytań o obiekty, śledzenie zmian, rozpoznawanie jednostek). W wersji 2.x jest używane konto usługi katalogowej (DSA). W wersji 3.x system lokalny obsługuje to automatycznie.
- Wykonywanie akcji korygowania (wyłączanie kont, resetowanie haseł). W wersji 2.x używa to konta akcji. W wersji 3.x system lokalny obsługuje to automatycznie.
Czujnik v3.x używa lokalnej tożsamości systemu serwera do obu celów. Nie używa kont usług katalogowych (DSA) ani kont usług zarządzanych przez grupę (gMSA). LocalSystem to jedyna obsługiwana tożsamość dla wersji 3.x.
Jeśli przeprowadzasz migrację z czujnika w wersji 2.x i wcześniej skonfigurowano funkcję gMSA dla kont akcji, wybierz pozycję Automatycznie używaj konta systemu lokalnego czujnika w portalu Microsoft Defender (Ustawienia>tożsamości>Microsoft Defender for Identity>Zarządzanie kontami akcji). Czujniki w wersji 3.x nie używają kont gMSA skonfigurowanych dla czujników w wersji 2.x.
Ważna
Jeśli którykolwiek z czujników jest w wersji 3.x, wybierz pozycję Automatycznie użyj konta systemu lokalnego czujnika dla wszystkich czujników. Czujniki w wersji 3.x używają konta systemu lokalnego niezależnie od konfiguracji gMSA.
Alerty dotyczące kondycji DSA i gMSA w środowiskach z czujnikami w wersji 2 i v3
Jeśli w obszarze roboczym nadal skonfigurowano konto usługi katalogowej (DSA) lub konto usługi zarządzanej grupy (gMSA), ponieważ czujniki w wersji 2 na serwerach usług AD FS, AD CS lub Entra Connect nadal tego wymagają, poświadczenia DSA i gMSA są nadal weryfikowane we wszystkich czujnikach w obszarze roboczym, w tym czujnikach w wersji 3. Jeśli weryfikacja nie powiedzie się, zostaną wyświetlone poświadczenia użytkownika usług katalogowych są niepoprawne . Takie działanie jest celowe. Usługa Defender for Identity weryfikuje poświadczenia DSA i gMSA na poziomie obszaru roboczego dla wszystkich czujników, o ile te konta istnieją, niezależnie od tego, czy poszczególne czujniki używają ich do przeprowadzania inspekcji lub akcji reagowania.
Czujniki w wersji 3 ignorują funkcje DSA i gMSA na potrzeby akcji inspekcji i reagowania, ale nadal są uwzględniane w weryfikacji poświadczeń na poziomie obszaru roboczego. Aby zatrzymać otrzymywanie tego alertu dotyczącego kondycji czujników w wersji 3, usuń analizę DSA na poziomie obszaru roboczego lub gMSA po pełnej migracji wszystkich czujników do wersji 3 i nie wymagają tego żadne czujniki w wersji 2.
Testowanie wymagań wstępnych
Uruchom skrypt Test-MdiReadiness.ps1 , aby sprawdzić, czy środowisko ma wymagane wymagania wstępne.
Skrypt Test-MdiReadiness.ps1 jest również dostępny w Microsoft Defender XDR na stronie Narzędzia tożsamości > (wersja zapoznawcza).
Aktywowanie czujnika
Po potwierdzeniu wszystkich wymagań wstępnych aktywuj czujnik z portalu Microsoft Defender.
Po aktywowaniu
Wykonaj te kroki konfiguracji po aktywowaniu i uruchomieniu czujnika.
Konfigurowanie inspekcji zdarzeń systemu Windows
Usługa Defender for Identity korzysta z dzienników zdarzeń systemu Windows w przypadku wielu wykryć. W przypadku czujników w wersji 3.x na kontrolerach domeny włącz automatyczną inspekcję, która obsługuje wszystkie ustawienia inspekcji bez ręcznej konfiguracji.
Jeśli inspekcja automatyczna nie jest dostępna lub została z niej wycofana, skonfiguruj inspekcję ręcznie lub użyj programu PowerShell.
Konfigurowanie inspekcji RPC
Aby poprawić widoczność zabezpieczeń i włączyć dodatkowe wykrywanie tożsamości, zastosuj tag Inspekcja ujednoliconego czujnika RPC do urządzeń. Po zastosowaniu konfiguracja jest wymuszana na wszystkich istniejących i przyszłych urządzeniach, które spełniają kryteria reguły. Tag jest widoczny w spisie urządzeń na potrzeby inspekcji.
Wymagania wstępne
- Na urządzeniach musi działać czujnik usługi Defender for Identity w wersji 3.0.4 lub nowszej. Urządzenia z wcześniejszymi wersjami nie obsługują tej funkcji i nie generują alertów kondycji inspekcji RPC.
Aby zastosować tag:
W portalu Microsoft Defender przejdź do obszaru: Ustawienia > systemu > Microsoft Defender XDR > zarządzanie regułami zasobów.
Wybierz pozycję Utwórz nową regułę.
W panelu bocznym:
- Wprowadź nazwę reguły i opis.
- Ustawianie warunków reguły przy użyciu
Device namepolecenia ,DomainlubDevice tagdo określania żądanych maszyn. Docelowe kontrolery domeny z zainstalowanym czujnikiem v3.x. - Upewnij się, że czujnik usługi Defender for Identity w wersji 3.x jest już wdrożony na wybranych urządzeniach.
Dodaj tag Inspekcja RPC ujednoliconego czujnika do wybranych urządzeń.
Wybierz pozycję Dalej , aby przejrzeć i zakończyć tworzenie reguły, a następnie wybierz pozycję Prześlij. Zastosowanie reguły może potrwać do jednej godziny.
Dowiedz się więcej o regułach zarządzania zasobami.
Zalecane ustawienia
- Ustaw opcję zasilania maszyny z uruchomionym czujnikiem usługi Defender for Identity na wartość Wysoka wydajność.
- Zsynchronizuj czas na serwerach i kontrolerach domeny, w których jest instalowany czujnik w ciągu pięciu minut od siebie.