適用於身分識別的 Microsoft Defender 必要條件

本文說明成功部署 適用於身分識別的 Microsoft Defender 的需求。

授權需求

部署適用於身分識別的 Defender 需要下列其中一個 Microsoft 365 授權:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* 安全性
  • Microsoft 365 F5 安全性 + 合規性
  • 適用於身分識別的獨立 Defender 授權

* 這兩個 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企業行動力 + 安全性 E3。

直接透過 Microsoft 365 入口網站 取得授權,或使用雲端解決方案合作夥伴 (CSP) 授權模型。

如需詳細資訊,請參閱 授權和隱私權常見問題

所需的權限

連線需求

適用於身分識別的 Defender 感測器必須使用下列其中一種方法,與適用於身分識別的 Defender 雲端服務通訊:

方法 描述 考量 深入了解
設定 Proxy 已部署轉寄 Proxy 的客戶可以利用 Proxy 來提供 MDI 雲端服務的連線能力。

如果您選擇此選項,稍後將在部署程序中設定 Proxy。 Proxy 設定包括允許流量傳送至感測器 URL,以及將適用於身分識別的 Defender URL 設定為 Proxy 或防火牆所使用的任何明確允許清單。
允許存取單一 URL 的因特網

不支援 SSL 檢查
設定端點 Proxy 和因特網連線設定

使用 Proxy 設定執行無訊息安裝
ExpressRoute ExpressRoute 可以設定為透過客戶的快速路由轉送 MDI 感測器流量。

若要路由傳送目的地為適用於身分識別的 Defender 雲端伺服器的網路流量,請使用 ExpressRoute Microsoft 對等互連,並將 適用於身分識別的 Microsoft Defender (12076:5220) 服務 BGP 社群新增至您的路由篩選器。
需要 ExpressRoute 服務對 BGP 社群值
防火牆,使用適用於身分識別的Defender Azure IP位址 沒有 Proxy 或 ExpressRoute 的客戶可以使用指派給 MDI 雲端服務的 IP 位址來設定其防火牆。 這需要客戶監視 Azure IP 位址清單,以取得 MDI 雲端服務所使用 IP 位址中的任何變更。

如果您選擇此選項,建議您下載 Azure IP 範圍和服務標籤 – 公用雲端 檔案,並使用 AzureAdvancedThreatProtection 服務標籤來新增相關的 IP 位址。
客戶必須監視 Azure IP 指派 虛擬網路服務標籤

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 架構

感測器需求和建議

下表摘要說明您要安裝適用於身分識別的Defender感測器之域控制器、AD FS或AD CS伺服器的需求和建議。

必要條件/建議 描述
規格 請務必在域控制器伺服器上,在 Windows 2016 版或更高版本上安裝適用於身分識別的 Defender,至少:

- 2 個核心
- 6 GB 的 RAM
- 需要 6 GB 的磁碟空間,建議使用 10 GB,包括適用於身分識別的 Defender 二進位檔和記錄檔的空間

適用於身分識別的 Defender 支援唯讀域控制器 (RODC)。
效能 為了達到最佳效能,請將執行適用於身分識別的 Defender 感測器的機器的 [電源選項] 設定[高效能]。
維護時間範圍 建議您排程域控制器的維護時段,因為如果安裝執行且重新啟動已擱置中,或需要安裝 .NET Framework,可能需要重新啟動。

如果系統上找不到 .NET Framework 4.7 版或更新版本,則會安裝 .NET Framework 4.7 版,而且可能需要重新啟動。

最低作業系統需求

適用於身分識別的 Defender 感測器可以安裝在下列作業系統上:

  • Windows Server 2016
  • Windows Server 2019需要KB4487044或更新的累積更新。 如果 系統目錄中找到的ntdsai.dll 檔案版本早於 10.0.17763.316,就會自動停止安裝在 Server 2019 上且沒有此更新的感測器
  • Windows Server 2022

針對所有作業系統:

  • 支援具有桌面體驗和伺服器核心的伺服器。
  • 不支援 Nano 伺服器。
  • 域控制器、AD FS 和 AD CS 伺服器支援安裝。

舊版操作系統

Windows Server 2012 和 Windows Server 2012 R2 已於 2023 年 10 月 10 日終止支援。

建議您規劃將這些伺服器升級為 Microsoft 不再支援執行 Windows Server 2012 和 Windows Server 2012 R2 之裝置上的適用於身分識別的 Defender 感測器。

在這些操作系統上執行的感測器會繼續向適用於身分識別的 Defender 報告,甚至收到感測器更新,但某些新功能將無法使用,因為它們可能依賴操作系統功能。

必要的連接埠

通訊協定 傳輸 通訊埠 目標
因特網埠
SSL (*.atp.azure.com)

或者, 透過 Proxy 設定存取。
TCP 443 適用於身分識別的Defender感測器 適用於身分識別的Defender雲端服務
內部埠
DNS TCP 和 UDP 53 適用於身分識別的Defender感測器 DNS 伺服器
Netlogon
(SMB、CIFS、SAM-R)
TCP/UDP 445 適用於身分識別的Defender感測器 網路上的所有裝置
RADIUS UDP 1813 RADIUS 適用於身分識別的Defender感測器
Localhost 埠:感測器服務更新程式的必要埠

根據預設, 除非自定義防火牆原則封鎖本機主機流量,否則會允許localhostlocalhost 流量。
SSL TCP 444 感測器服務 感測器更新程序服務
網路名稱解析 (NNR) 埠

若要將IP位址解析為計算機名稱,建議您開啟列出的所有埠。 不過,只需要一個埠。
透過 RPC 的 NTLM TCP 埠 135 適用於身分識別的Defender感測器 網路上的所有裝置
NetBIOS UDP 137 適用於身分識別的Defender感測器 網路上的所有裝置
RDP

只有 Client hello 的第一個封包會使用 IP 位址的反向 DNS 查閱來查詢 DNS 伺服器 (UDP 53)
TCP 3389 適用於身分識別的Defender感測器 網路上的所有裝置

如果您使用 多個樹系,請確定在安裝適用於身分識別的 Defender 感測器的任何電腦上開啟下列埠:

通訊協定 傳輸 連接埠 To/From 方向
因特網埠
SSL (*.atp.azure.com) TCP 443 適用於身分識別的Defender雲端服務 輸出
內部埠
Ldap TCP 和 UDP 389 網域控制站 輸出
安全 LDAP (LDAPS) TCP 636 網域控制站 輸出
LDAP 至全域編錄 TCP 3268 網域控制站 輸出
LDAPS 至全域編錄 TCP 3269 網域控制站 輸出

易失記憶體需求

下表說明針對適用於身分識別的 Defender 感測器所使用的伺服器記憶體需求,視您使用的虛擬化類型而定:

執行於的 VM 描述
Hyper-V 確定 未為 VM 啟用易失記憶體
VMware 確定已設定的記憶體數量和保留的記憶體都相同,或選取 VM 設定中的 [保留所有客體內存 ][全部鎖定] 選項。
其他虛擬化主機 請參閱廠商提供的文件,瞭解如何確保記憶體隨時完全配置給 VM。

重要

以虛擬機身分執行時,所有記憶體都必須隨時配置給虛擬機。

時間同步處理

安裝感測器的伺服器和域控制器必須有時間同步到彼此五分鐘內。

測試您的必要條件

建議您執行 Test-MdiReadiness.ps1 腳本來測試,並查看您的環境是否有必要的必要條件。

Test-MdiReadiness.ps1 腳本的連結也可從 [身分識別>工具] 頁面的 [Microsoft Defender 全面偵測回應 取得。

本文列出基本安裝所需的必要條件。 在AD FS / AD CS 伺服器上安裝時,需要額外的必要條件,以支援多個 Active Directory 樹系,或當您安裝獨立適用於身分識別的 Defender 感測器時。

如需詳細資訊,請參閱

後續步驟