使用 Microsoft Defender XDR 部署適用於身分識別的 Microsoft Defender

發行項
03/22/2024

本文提供適用於身分識別的 Microsoft Defender 的完整部署程式概觀，包括準備、部署和特定案例的額外步驟。

適用於身分識別的 Defender 是零信任策略的主要元件，以及具有 Microsoft Defender 全面偵測回應的身分識別威脅偵測和回應（ITDR）或擴充偵測和回應（XDR）部署。適用於身分識別的 Defender 會使用 Active Directory 訊號來偵測突然的帳戶變更，例如許可權提升或高風險橫向移動，以及報告安全性小組修正容易惡意探索的身分識別問題，例如不受限制的 Kerberos 委派。

如需一組快速部署重點，請參閱快速安裝指南。

必要條件

開始之前，請確定您至少可以存取 Microsoft Defender 全面偵測回應為安全性系統管理員，而且您有下列其中一個授權：

Enterprise Mobility + Security E5 （EMS E5/A5）
Microsoft 365 E5 （Microsoft E5/A5/G5）
Microsoft 365 E5/A5/G5/F5* 安全性
Microsoft 365 F5 安全性 + 合規性
適用於身分識別的獨立 Defender 授權

* 這兩個 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和企業行動力 + 安全性 E3。

直接透過 Microsoft 365 入口網站取得授權，或使用雲端解決方案合作夥伴（CSP）授權模型。

如需詳細資訊，請參閱授權和隱私權常見問題和什麼是適用於身分識別角色和許可權的Defender？

開始使用 Microsoft Defender 全面偵測回應

本節說明如何開始上線至適用於身分識別的 Defender。

登入 Microsoft Defender 入口網站。
從導覽功能表中，選取任何專案，例如 事件和警示、搜捕、 控制中心或 威脅分析 ，以起始上線程式。

接著，您可以選擇部署支援的服務，包括適用於身分識別的 Microsoft Defender。當您開啟適用於身分識別的 Defender 設定頁面時，會自動新增適用於身分識別的 Defender 所需的雲端元件。

如需詳細資訊，請參閱

重要

目前，適用於身分識別的Defender資料中心部署在歐洲、英國、北美洲/中美洲/加勒比、澳大利亞東部和亞洲。您的工作區（實例）會自動在最接近 Microsoft Entra 租使用者的地理位置的 Azure 區域中建立。建立之後，適用於身分識別的Defender工作區將無法移動。

規劃和準備

使用下列步驟來準備部署適用於身分識別的Defender：

請確定您具備所有必要的必要條件。
規劃適用於身分識別的Defender容量。

提示

建議您執行 Test-MdiReadiness.ps1 腳本來測試，並查看您的環境是否有必要的必要條件。

Test-MdiReadiness.ps1 腳本的連結也可從 [身分識別工具] 頁面的 [Microsoft Defender 全面偵測回應 > 取得。

部署適用於身分識別的Defender

準備好系統之後，請使用下列步驟來部署適用於身分識別的Defender：

部署後設定

下列程式可協助您完成部署程式：

設定 Windows 事件集合。如需詳細資訊，請參閱事件收集與適用於身分識別的 Microsoft Defender 和設定 Windows 事件記錄的稽核策略。
啟用和設定適用於身分識別的Defender的統一角色型訪問控制（RBAC ）。
設定目錄服務帳戶（DSA）以與適用於身分識別的 Defender 搭配使用。在某些案例中，DSA 是選擇性的，但建議您為適用於身分識別的 Defender 設定 DSA，以取得完整的安全性涵蓋範圍。
視需要設定對SAM 的遠端呼叫。雖然此步驟是選擇性的，但建議您使用適用於身分識別的 Defender 來設定 SAM-R 的遠端呼叫，以進行橫向動作路徑偵測。

重要

在AD FS / AD CS 伺服器上安裝適用於身分識別的Defender感測器需要額外的步驟。如需詳細資訊，請參閱設定AD FS和AD CS的感測器。

後續步驟

適用於身分識別的 Defender 必要條件 »