Krav för Microsoft Defender för identitet
I den här artikeln beskrivs kraven för en lyckad Distribution av Microsoft Defender för identiteter.
Licensieringskrav
För att distribuera Defender för identitet krävs någon av följande Microsoft 365-licenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Microsoft 365 F5 Säkerhet + efterlevnad*
- En fristående Defender for Identity-licens
* Båda F5-licenserna kräver Microsoft 365 F1/F3 eller Office 365 F3 och Enterprise Mobility + Security E3.
Skaffa licenser direkt via Microsoft 365-portalen eller använd csp-licensieringsmodellen (Cloud Solution Partner).
Mer information finns i Vanliga frågor och svar om licensiering och sekretess.
Behörigheter som krävs
Om du vill skapa din Defender for Identity-arbetsyta behöver du en Microsoft Entra ID-klientorganisation med minst en säkerhetsadministratör.
Du behöver minst säkerhetsadministratörsåtkomst på klientorganisationen för att få åtkomst till identitetsavsnittet i området Microsoft Defender XDR-inställningar och skapa arbetsytan.
Mer information finns i Rollgrupper för Microsoft Defender för identitet.
Vi rekommenderar att du använder minst ett Katalogtjänstkonto med läsåtkomst till alla objekt i de övervakade domänerna. Mer information finns i Konfigurera ett katalogtjänstkonto för Microsoft Defender för identitet.
Anslutningskrav
Defender for Identity-sensorn måste kunna kommunicera med molntjänsten Defender för identitet med någon av följande metoder:
| Metod | beskrivning | Överväganden | Läs mer |
|---|---|---|---|
| Konfigurera en proxy | Kunder som har en vidarebefordrad proxy distribuerad kan dra nytta av proxyn för att tillhandahålla anslutning till MDI-molntjänsten. Om du väljer det här alternativet konfigurerar du proxyn senare i distributionsprocessen. Proxykonfigurationer omfattar att tillåta trafik till sensor-URL:en och konfigurera URL:er för Defender för identiteter till alla explicita tillåtna listor som används av proxyn eller brandväggen. |
Tillåter åtkomst till Internet för en enda URL SSL-inspektion stöds inte |
Konfigurera inställningar för slutpunktsproxy och Internetanslutning Kör en tyst installation med en proxykonfiguration |
| ExpressRoute | ExpressRoute kan konfigureras för att vidarebefordra MDI-sensortrafik via kundens expressväg. Om du vill dirigera nätverkstrafik till Defender for Identity-molnservrar använder du ExpressRoute Microsoft-peering och lägger till Microsoft Defender för identitetstjänsten (12076:5220) i ditt vägfilter. |
Kräver ExpressRoute | Service till BGP-communityvärde |
| Brandvägg med Hjälp av Azure IP-adresser för Defender for Identity | Kunder som inte har någon proxy eller ExpressRoute kan konfigurera sin brandvägg med DE IP-adresser som tilldelats till MDI-molntjänsten. Detta kräver att kunden övervakar Azure IP-adresslistan för eventuella ändringar i DE IP-adresser som används av MDI-molntjänsten. Om du väljer det här alternativet rekommenderar vi att du laddar ned filen Azure IP Ranges and Service Tags – Public Cloud och använder tjänsttaggen AzureAdvancedThreatProtection för att lägga till relevanta IP-adresser. |
Kunden måste övervaka Azure IP-tilldelningar | Tjänsttaggar för virtuellt nätverk |
Mer information finns i Microsoft Defender för identitetsarkitektur.
Sensorkrav och rekommendationer
I följande tabell sammanfattas krav och rekommendationer för domänkontrollanten, AD FS, AD CS, Entra Connect-servern där du installerar Defender for Identity-sensorn.
| Krav/rekommendation | beskrivning |
|---|---|
| Specifikationer | Se till att installera Defender for Identity på Windows version 2016 eller senare på en domänkontrollantserver med minst: - 2 kärnor - 6 GB RAM-minne – 6 GB diskutrymme krävs, 10 GB rekommenderas, inklusive utrymme för Defender för identitetsbinärfiler och loggar Defender for Identity stöder skrivskyddade domänkontrollanter (RODC). |
| Prestanda | För optimal prestanda ställer du in Energialternativet för den dator som kör Defender for Identity-sensorn till Hög prestanda. |
| Konfiguration av nätverksgränssnitt | Om du använder virtuella VMware-datorer kontrollerar du att den virtuella datorns NIC-konfiguration har stor avlastning (LSO) inaktiverad. Mer information finns i problem med VMware-sensor för virtuella datorer. |
| Underhållsperiod | Vi rekommenderar att du schemalägger ett underhållsperiod för dina domänkontrollanter, eftersom en omstart kan krävas om installationen körs och en omstart redan väntar eller om .NET Framework måste installeras. Om .NET Framework version 4.7 eller senare inte redan finns i systemet installeras .NET Framework version 4.7 och kan kräva en omstart. |
Minimikrav för operativsystem
Defender for Identity-sensorer kan installeras på följande operativsystem:
- Windows Server 2016
- Windows Server 2019. Kräver KB4487044 eller en nyare kumulativ uppdatering. Sensorer som installeras på Server 2019 utan den här uppdateringen stoppas automatiskt om den ntdsai.dll filversion som finns i systemkatalogen är äldre än 10.0.17763.316
- Windows Server 2022
För alla operativsystem:
- Båda servrarna med skrivbordsmiljö och serverkärnor stöds.
- Nano-servrar stöds inte.
- Installationer stöds för domänkontrollanter, AD FS- och AD CS-servrar.
Äldre operativsystem
Windows Server 2012 och Windows Server 2012 R2 upphörde att gälla den 10 oktober 2023.
Vi rekommenderar att du planerar att uppgradera servrarna eftersom Microsoft inte längre stöder Defender for Identity-sensorn på enheter som kör Windows Server 2012 och Windows Server 2012 R2.
Sensorer som körs på dessa operativsystem fortsätter att rapportera till Defender for Identity och tar även emot sensoruppdateringarna, men vissa av de nya funktionerna kommer inte att vara tillgängliga eftersom de kan förlita sig på operativsystemfunktioner.
Portar som krävs
| Protokoll | Transport | Port | Från | To |
|---|---|---|---|---|
| Internetportar | ||||
| SSL (*.atp.azure.com) Alternativt kan du konfigurera åtkomst via en proxyserver. |
TCP | 443 | Defender för identitetssensor | Defender for Identity-molntjänst |
| Interna portar | ||||
| DNS | TCP och UDP | 53 | Defender för identitetssensor | DNS-servrar |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender för identitetssensor | Alla enheter i nätverket |
| RADIE | UDP | 1813 | RADIUS | Defender för identitetssensor |
| Localhost-portar: Krävs för sensortjänstens uppdatering Som standard tillåts localhost till localhost-trafik om inte en anpassad brandväggsprincip blockerar den. |
||||
| SSL | TCP | 444 | Sensortjänst | Sensoruppdateringstjänst |
| NNR-portar (Network Name Resolution) För att matcha IP-adresser till datornamn rekommenderar vi att du öppnar alla portar i listan. Det krävs dock bara en port. |
||||
| NTLM över RPC | TCP | Port 135 | Defender för identitetssensor | Alla enheter i nätverket |
| Netbios | UDP | 137 | Defender för identitetssensor | Alla enheter i nätverket |
| RDP Endast det första paketet med klienthälsning frågar DNS-servern med omvänd DNS-sökning av IP-adressen (UDP 53) |
TCP | 3389 | Defender för identitetssensor | Alla enheter i nätverket |
Om du arbetar med flera skogar kontrollerar du att följande portar är öppna på alla datorer där en Defender for Identity-sensor är installerad:
| Protokoll | Transport | Lastningsplats | Till/från | Riktning |
|---|---|---|---|---|
| Internetportar | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-molntjänst | Utgående |
| Interna portar | ||||
| LDAP | TCP och UDP | 389 | Domänkontrollanter | Utgående |
| Säker LDAP (LDAPS) | TCP | 636 | Domänkontrollanter | Utgående |
| LDAP till global katalog | TCP | 3268 | Domänkontrollanter | Utgående |
| LDAPS till global katalog | TCP | 3269 | Domänkontrollanter | Utgående |
Krav för dynamiskt minne
I följande tabell beskrivs minneskraven på servern som används för Defender for Identity-sensorn, beroende på vilken typ av virtualisering du använder:
| Virtuell dator som körs på | beskrivning |
|---|---|
| Hyper-V | Kontrollera att Aktivera dynamiskt minne inte är aktiverat för den virtuella datorn. |
| VMware | Kontrollera att mängden minne som konfigurerats och det reserverade minnet är detsamma, eller välj alternativet Reservera allt gästminne (alla låsta) i inställningarna för den virtuella datorn. |
| Annan virtualiseringsvärd | Se dokumentationen från leverantören om hur du alltid ser till att minnet allokeras helt till den virtuella datorn. |
Viktigt!
När du kör som en virtuell dator måste allt minne allokeras till den virtuella datorn hela tiden.
Tidssynkronisering
De servrar och domänkontrollanter som sensorn är installerad på måste ha tid synkroniserad till inom fem minuter från varandra.
Testa dina förutsättningar
Vi rekommenderar att du kör skriptet Test-MdiReadiness.ps1 för att testa och se om din miljö har nödvändiga förutsättningar.
Länken till skriptet Test-MdiReadiness.ps1 är också tillgänglig från Microsoft Defender XDR på sidan Identitetsverktyg > (förhandsversion).
Relaterat innehåll
Den här artikeln innehåller krav som krävs för en grundläggande installation. Ytterligare krav krävs vid installation på en AD FS/AD CS-server eller Entra Connect, för att stödja flera Active Directory-skogar eller när du installerar en fristående Defender for Identity-sensor.
Mer information finns i:
- Distribuera Microsoft Defender för identitet på AD FS- och AD CS-servrar
- Stöd för flera skogar i Microsoft Defender for Identity
- Krav för fristående Microsoft Defender för identitetssensorer
- Defender for Identity-arkitektur