Udostępnij za pośrednictwem


Wymagania wstępne dotyczące usługi Microsoft Defender for Identity

W tym artykule opisano wymagania dotyczące pomyślnego wdrożenia usługi Microsoft Defender for Identity.

Wymagania dotyczące licencji

Wdrożenie usługi Defender for Identity wymaga jednej z następujących licencji platformy Microsoft 365:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Zabezpieczenia platformy Microsoft 365 E5/A5/G5/F5*
  • Zabezpieczenia i zgodność platformy Microsoft 365 F5*
  • Autonomiczna licencja usługi Defender for Identity

* Obie licencje F5 wymagają platformy Microsoft 365 F1/F3 lub Office 365 F3 i pakietu Enterprise Mobility + Security E3.

Uzyskiwanie licencji bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub korzystanie z modelu licencjonowania Cloud Solution Partner (CSP).

Aby uzyskać więcej informacji, zobacz Licencjonowanie i prywatność — często zadawane pytania.

Wymagane uprawnienia

  • Aby utworzyć obszar roboczy usługi Defender for Identity, potrzebujesz dzierżawy identyfikatora Entra firmy Microsoft z co najmniej jednym administratorem zabezpieczeń.

    Aby uzyskać dostęp do sekcji Tożsamość obszaru Ustawienia XDR usługi Microsoft Defender i utworzyć obszar roboczy, musisz mieć co najmniej dostęp administratora zabezpieczeń w dzierżawie.

    Aby uzyskać więcej informacji, zobacz Grupy ról usługi Microsoft Defender for Identity.

  • Zalecamy użycie co najmniej jednego konta usługi katalogowej z dostępem do odczytu do wszystkich obiektów w monitorowanych domenach. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi katalogowej dla usługi Microsoft Defender for Identity.

Wymagania dotyczące łączności

Czujnik usługi Defender for Identity musi mieć możliwość komunikowania się z usługą Defender for Identity w chmurze przy użyciu jednej z następujących metod:

Metoda opis Zagadnienia do rozważenia Dowiedz się więcej
Konfigurowanie serwera proxy Klienci, którzy mają wdrożony serwer proxy do przodu, mogą korzystać z serwera proxy w celu zapewnienia łączności z usługą MDI w chmurze.

Jeśli wybierzesz tę opcję, skonfigurujesz serwer proxy w dalszej części procesu wdrażania. Konfiguracje serwera proxy obejmują zezwalanie na ruch do adresu URL czujnika i konfigurowanie adresów URL usługi Defender for Identity do wszystkich jawnych list dozwolonych używanych przez serwer proxy lub zaporę.
Umożliwia dostęp do Internetu dla pojedynczego adresu URL

Inspekcja protokołu SSL nie jest obsługiwana
Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem

Uruchamianie instalacji dyskretnej z konfiguracją serwera proxy
ExpressRoute Usługę ExpressRoute można skonfigurować do przekazywania ruchu czujnika MDI przez trasę ekspresową klienta.

Aby kierować ruch sieciowy kierowany do serwerów usługi Defender for Identity w chmurze, użyj komunikacji równorzędnej firmy Microsoft usługi ExpressRoute i dodaj do filtru protokołu BGP usługi Microsoft Defender for Identity (12076:5220).
Wymaga usługi ExpressRoute Wartość społeczności usługi do protokołu BGP
Zapora korzystająca z adresów IP platformy Azure usługi Defender for Identity Klienci, którzy nie mają serwera proxy lub usługi ExpressRoute, mogą skonfigurować zaporę przy użyciu adresów IP przypisanych do usługi MDI w chmurze. Wymaga to, aby klient monitorował listę adresów IP platformy Azure pod kątem wszelkich zmian w adresach IP używanych przez usługę MDI w chmurze.

W przypadku wybrania tej opcji zalecamy pobranie pliku Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna i użycie tagu usługi AzureAdvancedThreatProtection w celu dodania odpowiednich adresów IP.
Klient musi monitorować przypisania adresów IP platformy Azure Tagi usługi sieci wirtualnej

Aby uzyskać więcej informacji, zobacz Architektura usługi Microsoft Defender for Identity.

Wymagania i zalecenia dotyczące czujników

W poniższej tabeli przedstawiono podsumowanie wymagań i zaleceń dotyczących kontrolera domeny, usług AD FS, usług AD CS, serwera Entra Connect, na którym zostanie zainstalowany czujnik usługi Defender for Identity.

Wymagania wstępne/zalecenie opis
Specyfikacje Pamiętaj, aby zainstalować usługę Defender for Identity w systemie Windows w wersji 2016 lub nowszej na serwerze kontrolera domeny z co najmniej:

- 2 rdzenie
- 6 GB pamięci RAM
- Wymagane 6 GB miejsca na dysku, zalecane 10 GB, w tym miejsce na pliki binarne i dzienniki usługi Defender for Identity

Usługa Defender for Identity obsługuje kontrolery domeny tylko do odczytu (RODC).
Wydajność Aby uzyskać optymalną wydajność, ustaw opcję zasilania maszyny z czujnikiem usługi Defender for Identity na wartość Wysoka wydajność.
Konfiguracja interfejsu sieciowego Jeśli używasz maszyn wirtualnych VMware, upewnij się, że konfiguracja karty sieciowej maszyny wirtualnej ma wyłączone duże odciążanie wysyłania (LSO). Aby uzyskać więcej informacji, zobacz problem z czujnikiem maszyny wirtualnej VMware.
Okno obsługi Zalecamy zaplanowanie okna obsługi dla kontrolerów domeny, ponieważ może być wymagane ponowne uruchomienie, jeśli instalacja zostanie uruchomiona, a ponowne uruchomienie jest już oczekujące lub jeśli program .NET Framework musi być zainstalowany.

Jeśli program .NET Framework w wersji 4.7 lub nowszej nie został jeszcze znaleziony w systemie, jest zainstalowany program .NET Framework w wersji 4.7 i może wymagać ponownego uruchomienia.

Minimalne wymagania dotyczące systemu operacyjnego

Czujniki usługi Defender for Identity można zainstalować w następujących systemach operacyjnych:

  • Windows Server 2016
  • Windows Server 2019. Wymaga KB4487044 lub nowszej aktualizacji zbiorczej. Czujniki zainstalowane na serwerze 2019 bez tej aktualizacji zostaną automatycznie zatrzymane, jeśli wersja pliku ntdsai.dll znaleziona w katalogu systemowym jest starsza niż 10.0.17763.316
  • Windows Server 2022

Dla wszystkich systemów operacyjnych:

  • Obsługiwane są oba serwery ze środowiskiem pulpitu i rdzeniami serwera.
  • Serwery Nano Server nie są obsługiwane.
  • Instalacje są obsługiwane w przypadku kontrolerów domeny, usług AD FS i serwerów usług AD CS.

Starsze systemy operacyjne

Systemy Windows Server 2012 i Windows Server 2012 R2 osiągnęły przedłużony koniec wsparcia 10 października 2023 r.

Zalecamy uaktualnienie tych serwerów, ponieważ firma Microsoft nie obsługuje już czujnika usługi Defender for Identity na urządzeniach z systemami Windows Server 2012 i Windows Server 2012 R2.

Czujniki działające w tych systemach operacyjnych będą nadal raportować do usługi Defender for Identity, a nawet otrzymywać aktualizacje czujników, ale niektóre nowe funkcje nie będą dostępne, ponieważ mogą polegać na możliwościach systemu operacyjnego.

Wymagane porty

Protokół Transport Port Od Do
Porty internetowe
SSL (*.atp.azure.com)

Alternatywnie skonfiguruj dostęp za pośrednictwem serwera proxy.
TCP 443 Czujnik usługi Defender for Identity Usługa Defender for Identity w chmurze
Porty wewnętrzne
DNS TCP i UDP 53 Czujnik usługi Defender for Identity Serwery DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Czujnik usługi Defender for Identity Wszystkie urządzenia w sieci
PROMIEŃ UDP 1813 RADIUS Czujnik usługi Defender for Identity
Porty localhost: wymagane dla aktualizatora usługi czujnika

Domyślnie host lokalny do ruchu localhost jest dozwolony, chyba że niestandardowe zasady zapory go blokują.
Protokół SSL TCP 444 Usługa czujnika Usługa aktualizatora czujników
Porty rozpoznawania nazw sieciowych (NNR)

Aby rozpoznać adresy IP nazw komputerów, zalecamy otwarcie wszystkich portów wymienionych na liście. Wymagany jest jednak tylko jeden port.
NTLM przez RPC TCP Port 135 Czujnik usługi Defender for Identity Wszystkie urządzenia w sieci
Netbios UDP 137 Czujnik usługi Defender for Identity Wszystkie urządzenia w sieci
RDP

Tylko pierwszy pakiet powitania klienta wysyła zapytanie do serwera DNS przy użyciu wstecznego wyszukiwania DNS adresu IP (UDP 53)
TCP 3389 Czujnik usługi Defender for Identity Wszystkie urządzenia w sieci

Jeśli pracujesz z wieloma lasami, upewnij się, że na dowolnym komputerze, na którym zainstalowano czujnik usługi Defender for Identity, upewnij się, że następujące porty są otwarte:

Protokół Transport Port Do/z Kierunek
Porty internetowe
SSL (*.atp.azure.com) TCP 443 Usługa Defender for Identity w chmurze Wychodzący
Porty wewnętrzne
LDAP TCP i UDP 389 Kontrolery domeny Wychodzący
Protokół Secure LDAP (LDAPS ) TCP 636 Kontrolery domeny Wychodzący
Ldap do wykazu globalnego TCP 3268 Kontrolery domeny Wychodzący
LdapS do wykazu globalnego TCP 3269 Kontrolery domeny Wychodzący

Wymagania dotyczące pamięci dynamicznej

W poniższej tabeli opisano wymagania dotyczące pamięci na serwerze używanym dla czujnika usługi Defender for Identity w zależności od typu używanej wirtualizacji:

Maszyna wirtualna uruchomiona na opis
Funkcja Hyper-V Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej.
VMware Upewnij się, że ilość pamięci skonfigurowanej i zarezerwowanej pamięci są takie same, lub wybierz opcję Rezerwuj całą pamięć gościa (wszystkie zablokowane) w ustawieniach maszyny wirtualnej.
Inny host wirtualizacji Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest w pełni przydzielona do maszyny wirtualnej przez cały czas.

Ważne

W przypadku uruchamiania jako maszyny wirtualnej wszystkie pamięci muszą być przydzielane do maszyny wirtualnej przez cały czas.

Synchronizacja czasu

Serwery i kontrolery domeny, na których zainstalowano czujnik, muszą mieć czas zsynchronizowany z upływem pięciu minut od siebie.

Testowanie wymagań wstępnych

Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma niezbędne wymagania wstępne.

Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w usłudze > Microsoft Defender XDR na stronie Narzędzia tożsamości (wersja zapoznawcza).

W tym artykule wymieniono wymagania wstępne wymagane do instalacji podstawowej. Dodatkowe wymagania wstępne są wymagane podczas instalowania na serwerze usług AD FS / AD CS lub Entra Connect, aby obsługiwać wiele lasów usługi Active Directory lub podczas instalowania autonomicznego czujnika usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz:

Następny krok