A Microsoft Defender for Identity előfeltételei

Ez a cikk a Microsoft Defender for Identity sikeres üzembe helyezésének követelményeit ismerteti.

Licencelési követelmények

A Defender for Identity üzembe helyezéséhez a következő Microsoft 365-licencek egyikére van szükség:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Biztonság
  • Microsoft 365 F5 Biztonság + Megfelelőség*
  • Önálló Defender for Identity licenc

* Mindkét F5-licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.

Szerezze be a licenceket közvetlenül a Microsoft 365 portálon , vagy használja a felhőmegoldás-partner (CSP) licencelési modelljét.

További információkért lásd a licenceléssel és az adatvédelemmel kapcsolatos gyakori kérdéseket.

Szükséges engedélyek

Csatlakozás tivitási követelmények

A Defender for Identity érzékelőnek képesnek kell lennie kommunikálni a Defender for Identity felhőszolgáltatással az alábbi módszerek egyikével:

Metódus Leírás Megfontolandó szempontok További információ
Proxy beállítása Az előre telepített proxyval rendelkező ügyfelek kihasználhatják a proxy előnyeit az MDI felhőszolgáltatáshoz való kapcsolódáshoz.

Ha ezt a lehetőséget választja, később konfigurálja a proxyt az üzembe helyezési folyamat során. A proxykonfigurációk közé tartozik az érzékelő URL-címére irányuló forgalom engedélyezése, valamint a Defender for Identity URL-címek konfigurálása a proxy vagy a tűzfal által használt explicit engedélyezési listákra.
Az internethez való hozzáférés engedélyezése egyetlen URL-címhez

Az SSL-ellenőrzés nem támogatott
Végpontproxy és internetkapcsolat beállításainak konfigurálása

Csendes telepítés futtatása proxykonfigurációval
ExpressRoute Az ExpressRoute konfigurálható úgy, hogy az MDI-érzékelő forgalmát az ügyfél expressz útvonalán keresztül továbbítsa.

A Defender for Identity felhőkiszolgálóira irányuló hálózati forgalom átirányításához használja az ExpressRoute Microsoft társviszony-létesítést, és adja hozzá a Microsoft Defender for Identity (12076:5220) szolgáltatás BGP-közösségét az útvonalszűrőhöz.
ExpressRoute-ra van szükség Szolgáltatás–BGP közösségi érték
Tűzfal, a Defender for Identity Azure IP-címeinek használatával Azok az ügyfelek, akik nem rendelkeznek proxyval vagy ExpressRoute-tal, az MDI felhőszolgáltatáshoz rendelt IP-címekkel konfigurálhatják a tűzfalukat. Ehhez az ügyfélnek figyelnie kell az Azure IP-címlistáját az MDI felhőszolgáltatás által használt IP-címekben bekövetkezett változások esetén.

Ha ezt a lehetőséget választotta, javasoljuk, hogy töltse le az Azure IP-tartományok és szolgáltatáscímkék – nyilvános felhőfájlt , és használja az AzureAdvancedThreatProtection szolgáltatáscímkét a megfelelő IP-címek hozzáadásához.
Az ügyfélnek figyelnie kell az Azure IP-hozzárendeléseit Virtuális hálózati szolgáltatáscímkék

További információ: Microsoft Defender for Identity architektúra.

Érzékelőkövetelmények és javaslatok

Az alábbi táblázat a tartományvezérlő, az AD FS vagy az AD CS-kiszolgáló követelményeit és javaslatait foglalja össze, ahol telepíteni fogja a Defender for Identity érzékelőt.

Előfeltétel/javaslat Leírás
Előírások Győződjön meg arról, hogy a Defender for Identity telepítése Windows 2016-os vagy újabb verzióra, legalább a következő tartományvezérlő-kiszolgálón:

- 2 mag
- 6 GB RAM
- 6 GB lemezterület szükséges, 10 GB ajánlott, beleértve a Defender for Identity bináris fájljaihoz és naplóihoz szükséges helyet

A Defender for Identity támogatja az írásvédett tartományvezérlőket (RODC).
Teljesítmény Az optimális teljesítmény érdekében állítsa a Defender for Identity érzékelőt futtató gép Power Option beállítását nagy teljesítményűre.
Karbantartási időszak Javasoljuk, hogy ütemezz egy karbantartási időszakot a tartományvezérlők számára, mivel újraindításra lehet szükség, ha a telepítés fut, és az újraindítás már függőben van, vagy ha .NET-keretrendszer kell telepíteni.

Ha .NET-keretrendszer 4.7-es vagy újabb verzió még nem található a rendszeren, .NET-keretrendszer 4.7-es verzió van telepítve, és újraindítást igényelhet.

Az operációs rendszer minimális követelményei

A Defender for Identity érzékelők a következő operációs rendszerekre telepíthetők:

  • Windows Server 2016
  • Windows Server 2019. KB4487044 vagy újabb kumulatív frissítést igényel. A frissítés nélkül telepített Server 2019-érzékelők automatikusan leállnak, ha a rendszerkönyvtárban található ntdsai.dll fájlverzió régebbi, mint a 10.0.17763.316
  • Windows Server 2022

Minden operációs rendszer esetén:

  • Az asztali felülettel rendelkező kiszolgálók és a kiszolgálómagok egyaránt támogatottak.
  • A Nano-kiszolgálók nem támogatottak.
  • A telepítéseket a tartományvezérlők, az AD FS és az AD CS-kiszolgálók támogatják.

Régi operációs rendszerek

A Windows Server 2012 és a Windows Server 2012 R2 2023. október 10-én kiterjesztett támogatást ért el.

Javasoljuk, hogy frissítse ezeket a kiszolgálókat, mivel a Microsoft már nem támogatja a Defender for Identity érzékelőt Windows Server 2012 és Windows Server 2012 R2 rendszerű eszközökön.

Az ezeken az operációs rendszereken futó érzékelők továbbra is jelentést tesznek a Defender for Identitynek, és még az érzékelőfrissítéseket is megkapják, de az új funkciók némelyike nem lesz elérhető, mivel az operációs rendszer képességeire támaszkodhatnak.

Szükséges portok

Protokoll Közlekedési Port From Ide:
Internetes portok
SSL (*.atp.azure.com)

Másik megoldásként konfigurálja a hozzáférést proxyn keresztül.
TCP 443 Defender for Identity sensor Defender for Identity cloud service
Belső portok
DNS TCP és UDP 53 Defender for Identity sensor DNS-szerverek
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Defender for Identity sensor A hálózaton lévő összes eszköz
SUGÁR UDP 1813 RADIUS Defender for Identity sensor
Localhost-portok: Az érzékelőszolgáltatás-frissítőhöz szükséges

Alapértelmezés szerint a localhost és a localhost közötti forgalom csak akkor engedélyezett, ha egy egyéni tűzfalszabályzat nem blokkolja azt.
SSL TCP 444 Érzékelő szolgáltatás Érzékelőfrissítési szolgáltatás
Hálózati névfeloldási (NNR) portok

Az IP-címek számítógépnevekre való feloldásához javasoljuk, hogy nyissa meg az összes felsorolt portot. Azonban csak egy portra van szükség.
NTLM RPC-n keresztül TCP 135-ös port Defender for Identity sensor A hálózaton lévő összes eszköz
Netbios UDP 137 Defender for Identity sensor A hálózaton lévő összes eszköz
RDP

Csak az ügyfél-hello első csomagja lekérdezést küld a DNS-kiszolgálónak az IP-cím fordított DNS-keresésével (UDP 53)
TCP 3389 Defender for Identity sensor A hálózaton lévő összes eszköz

Ha több erdővel dolgozik, győződjön meg arról, hogy a következő portok minden olyan gépen meg vannak nyitva, amelyen telepítve van egy Defender for Identity-érzékelő:

Protokoll Átvitel Kikötő Feladó/feladó Irány
Internetes portok
SSL (*.atp.azure.com) TCP 443 Defender for Identity cloud service Kimenő
Belső portok
LDAP TCP és UDP 389 Tartományvezérlők Kimenő
Biztonságos LDAP (LDAPS) TCP 636 Tartományvezérlők Kimenő
LDAP–globális katalógus TCP 3268 Tartományvezérlők Kimenő
LDAPS–globális katalógus TCP 3269 Tartományvezérlők Kimenő

Dinamikus memóriakövetelmények

Az alábbi táblázat a Defender for Identity-érzékelőhöz használt kiszolgáló memóriakövetelményét ismerteti a használt virtualizálás típusától függően:

Virtuális gép, amelyen fut Leírás
Hyper-V Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gép számára.
VMware Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza az Összes vendégmemória lefoglalása (Minden zárolt) lehetőséget a virtuális gép beállításai között.
Egyéb virtualizálási gazdagép Tekintse meg a szállító által rendelkezésre bocsátott dokumentációt, amelyből megtudhatja, hogyan biztosítható, hogy a memória mindig teljes mértékben a virtuális géphez legyen lefoglalva.

Fontos

Virtuális gépként való futtatáskor az összes memóriát mindig a virtuális géphez kell lefoglalni.

Időszinkronizálás

Azoknak a kiszolgálóknak és tartományvezérlőknek, amelyekre az érzékelő telepítve van, öt percen belül szinkronizálva kell lenniük.

Az előfeltételek tesztelése

Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezet rendelkezik-e a szükséges előfeltételekkel.

A Test-MdiReadiness.ps1 szkriptre mutató hivatkozás a Microsoft Defender XDR-ből is elérhető az Identityes > Tools (Előzetes verzió) lapon.

Ez a cikk az alapszintű telepítéshez szükséges előfeltételeket sorolja fel. További előfeltételekre van szükség az AD FS/AD CS-kiszolgálón való telepítéskor, több Active Directory-erdő támogatásához, vagy különálló Defender for Identity-érzékelő telepítésekor.

További információkért lásd:

Következő lépés