共用方式為


使用 Microsoft Defender XDR 部署適用於身分識別的 Microsoft Defender

本文提供 適用於身分識別的 Microsoft Defender 的完整部署程式概觀,包括準備、部署和特定案例的額外步驟。

適用於身分識別的 Defender 是 零信任 策略的主要元件,以及您的身分識別威脅偵測和回應 (ITDR) 或具有 Microsoft Defender 全面偵測回應 的擴充偵測和回應 (XDR) 部署。 適用於身分識別的 Defender 會使用來自您身分識別基礎結構伺服器的訊號,例如域控制器、AD FS/AD CS 和 Entra Connect 伺服器來偵測許可權提升或高風險橫向移動等威脅,並報告安全性小組可修正容易惡意探索的身分識別問題,例如不受限制的 Kerberos 委派。

如需一組快速部署重點,請參閱 快速安裝指南

必要條件

開始之前,請確定您至少可以存取 Microsoft Defender 全面偵測回應 為安全性系統管理員,而且您有下列其中一個授權:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* 安全性
  • Microsoft 365 F5 安全性 + 合規性
  • 適用於身分識別的獨立 Defender 授權

* 這兩個 F5 授權都需要Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。

直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。

如需詳細資訊,請參閱 授權和隱私權常見問題什麼是適用於身分識別角色和許可權的Defender?

開始使用 Microsoft Defender 全面偵測回應

本節說明如何開始上線至適用於身分識別的 Defender。

  1. 登入 Microsoft Defender 入口網站
  2. 從導覽功能表中,選取任何專案,例如 事件和警示搜捕控制中心威脅分析 ,以起始上線程式。

接著,您可以選擇部署支援的服務,包括 適用於身分識別的 Microsoft Defender。 當您開啟適用於身分識別的 Defender 設定頁面時,會自動新增適用於身分識別的 Defender 所需的雲端元件。

如需詳細資訊,請參閱

重要

目前,適用於身分識別的 Defender 數據中心部署在歐洲、英國、瑞士、北美洲/中美洲/加勒比、澳大利亞東亞、亞洲和印度。 您的工作區 (實例) 會自動在最接近您 Microsoft Entra 租使用者的地理位置的 Azure 區域中建立。 建立之後,適用於身分識別的Defender工作區將無法移動。

規劃和準備

使用下列步驟來準備部署適用於身分識別的Defender:

  1. 請確定您具備所有必要的 必要條件

  2. 規劃適用於身分識別的Defender容量

提示

建議您執行 Test-MdiReadiness.ps1 腳本來測試,並查看您的環境是否有必要的必要條件。

Test-MdiReadiness.ps1 腳本的連結也可從 [身分識別>工具] 頁面的 [Microsoft Defender 全面偵測回應 取得 。預覽]。

部署適用於身分識別的Defender

準備好系統之後,請使用下列步驟來部署適用於身分識別的Defender:

  1. 確認與適用於身分識別的 Defender 服務的連線。
  2. 下載適用於身分識別的 Defender 感測器
  3. 安裝適用於身分識別的Defender感測器
  4. 設定適用於身分識別的 Defender 感測器 以開始接收數據。

部署後設定

下列程式可協助您完成部署程式:

提示

根據預設,適用於身分識別的 Defender 感測器會使用埠 389 和 3268 上的 LDAP 來查詢目錄。 若要在埠 636 和 3269 上切換至 LDAPS,請開啟支援案例。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 支援

重要

在AD FS/AD CS和 Entra Connect 伺服器上安裝適用於身分識別的Defender感測器需要額外的步驟。 如需詳細資訊,請參閱 設定AD FS、AD CS和 Entra Connect 的感測器。

後續步驟