共用方式為

快速安裝指南

  • 發行項

本文概述在 Active Directory、Active Directory 同盟服務 (AD FS) 或 Active Directory 認證服務 (AD CS) 伺服器上安裝 適用於身分識別的 Microsoft Defender 感測器時所需的步驟。 如需更詳細的指示,請參閱使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender

觀看下列影片以取得逐步示範,並瞭解:

  • 安裝適用於身分識別的 Defender 感測器來保護貴組織免受身分識別型攻擊的重要性
  • 下載並安裝感測器
  • 尋找潛在的感測器和設定健全狀況問題
  • 在安全分數中檢視Microsoft身分識別相關狀態評估

必要條件

本節列出安裝適用於身分識別的 Defender 感測器之前所需的必要條件,包括:

  • 授權
  • 權限
  • 系統需求
  • 最佳做法的建議

每個適用於身分識別的Defender工作區都支援 Windows 2003 和更新版本的多個 Active Directory 樹系界限和樹系功能等級(FFL)。

授權需求

請確定您有下列其中一個授權:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* 安全性
  • Microsoft 365 F5 安全性 + 合規性
  • 適用於身分識別的獨立 Defender 授權

* 這兩個 F5 授權都需要Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。

直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。

如需詳細資訊,請參閱 授權和隱私權常見問題

所需的權限

若要建立適用於身分識別的Defender工作區,您需要具有至少一個安全性系統管理員的 Microsoft Entra ID 租使用者。

您至少需要租使用者的安全性系統管理員存取權,才能存取 [Microsoft Defender 全面偵測回應 設定] 區域的 [身分識別] 區段,並建立工作區。

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組

最低系統需求

本節說明適用於身分識別的 Defender 感測器安裝的作業系統。 安裝適用於身分識別的 Defender 感測器至少需要 2 個核心、6 GB 的 RAM,以及安裝在域控制器上的 6 GB 磁碟空間。

以虛擬機身分執行時,所有記憶體都必須隨時配置給虛擬機。 如需詳細資訊,請參閱規劃 適用於身分識別的 Microsoft Defender 部署的容量。

適用於身分識別的 Defender 感測器可以安裝在下列作業系統上:

  • Windows Server 2016
  • Windows Server 2019需要KB4487044或更新的累積更新。 如果 系統目錄中找到的ntdsai.dll 檔案版本早於 10.0.17763.316,就會自動停止安裝在 Server 2019 上且沒有此更新的感測器
  • Windows Server 2022

針對所有作業系統:

  • 支援具有桌面體驗和伺服器核心的伺服器。
  • 不支援 Nano 伺服器。
  • 域控制器、AD FS 和 AD CS 伺服器支援安裝。

檢查網路連線能力

確認您想要在 上安裝適用於身分識別的Defender感測器的伺服器可以連線到適用於身分識別的Defender雲端服務。 從每部伺服器嘗試存取: https://*your-workspace-name*sensorapi.atp.azure.com

排程維護期間(選擇性)

安裝期間,如果未安裝 .NET Framework 4.7 或更新版本,則會安裝 .NET Framework 4.7,而且可能需要重新啟動伺服器。 如果重新啟動已擱置中,可能也需要重新啟動。

安裝感測器時,請考慮排程域控制器的維護期間。

安裝適用於身分識別的Defender

此程式描述如何在 Windows Server 2016 版或更高版本上安裝適用於身分識別的 Defender 感測器。 請確定您的伺服器具有 最低系統需求

注意

適用於身分識別的 Defender 感測器應該安裝在所有域控制器上,包括唯讀域控制器 (RODC)。 如果您要在 AD FS/AD CS 伺服器陣列或叢集上安裝,建議您在每個 AD FS / AD CS 伺服器上安裝感測器。

若要下載並安裝感測器

  1. 從 Microsoft Defender 入口網站下載適用於身分識別的 Defender 感測器。

  2. 瀏覽至 [系統>設定>身分>識別感測器>] [新增感測器]

  3. 選取 [ 下載安裝程式 ],並將檔案儲存在您可以從域控制器存取的位置。

  4. 複製安裝所需的 Access 金鑰值。

    提示

    您只需要下載安裝程式一次,因為它可用於租使用者中的每個伺服器。 請確定沒有快顯封鎖程序封鎖下載。

  5. 從域控制器執行您從 Microsoft Defender 全面偵測回應 下載的安裝程式,並遵循畫面上的指示。

後續步驟

如需其他詳細數據的完整安裝指示,請參閱使用 Microsoft Defender 全面偵測回應 部署 適用於身分識別的 Microsoft Defender。 例如,若要部署在多個域控制器上,建議您改用 無訊息安裝