Microsoft Defender for Identity 先决条件

  • 项目

本文介绍成功部署 Microsoft Defender for Identity 所要满足的要求。

许可要求

部署 Defender for Identity 需要以下 Microsoft 365 许可证之一:

  • 企业移动性 + 安全性 E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* 安全性
  • Microsoft 365 F5 安全与合规*
  • 独立 Defender for Identity 许可证

* 两个 F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和企业移动性 + 安全性 E3。

直接通过 Microsoft 365 门户获取许可证,或使用云解决方案合作伙伴 (CSP) 许可模型。

有关详细信息,请参阅许可和隐私常见问题解答

所需的权限

连接要求

Defender for Identity 传感器必须能够使用以下方法之一与 Defender for Identity 云服务进行通信:

方法 说明 注意事项 了解详细信息
安装代理 部署了转发代理的客户可以利用该代理提供与 MDI 云服务的连接。

如果选择此选项,则稍后将在部署流程中配置代理。 代理配置包括允许发送到传感器 URL 的流量,并将 Defender for Identity URL 配置为代理或防火墙使用的任何明确允许列表。		 允许单个 URL 访问互联网

不支持 SSL 检查		 配置端点代理和互联网连接设置

使用代理配置运行无提示安装
ExpressRoute ExpressRoute 可以配置为通过客户的快速路线转发 MDI 传感器流量。

要将网络流量路由到 Defender for Identity 云服务器,请使用 ExpressRoute Microsoft 对等互连,并将 Microsoft Defender for Identity (12076:5220) 服务 BGP 社区添加到路由筛选器中。		 需要 ExpressRoute 服务到 BGP 社区值
防火墙,使用 Defender for Identity Azure IP 地址 没有代理或 ExpressRoute 的客户可以使用分配给 MDI 云服务的 IP 地址配置防火墙。 这要求客户监视 Azure IP 地址列表,以了解 MDI 云服务使用的 IP 地址的任何更改。

如果你选择了此选项,我们建议你下载 Azure IP 范围和服务标记 – 公有云文件,并使用 AzureAdvancedThreatProtection 服务标记添加相关的 IP 地址。		 客户必须监视 Azure IP 分配 虚拟网络服务标记

有关详细信息,请参阅 Microsoft Defender for Identity 体系结构

传感器要求和建议

下表汇总了将在其中安装 Defender for Identity 传感器的域控制器、AD FS 或 AD CS 服务器的要求和建议。

先决条件/建议 说明
规范 请确保在 Windows 版本 2016 或更高版本上,在域控制器服务器上安装 Defender for Identity,最低配置为:

- 2 个核心
- 6 GB RAM
- 要求 6 GB 磁盘空间,建议 10 GB,包含 Defender for Identity 二进制文件和日志空间

Defender for Identity 支持只读域控制器 (RODC)。
“性能” 为优化性能,请将运行 Defender for Identity 传感器的计算机的“电源选项”设置为“高性能”
维护时段 我们建议为你的域控制器安排一个维护时段,因为如果正在运行安装并且重启已经挂起,或者如果需要安装 .NET Framework,则可能需要重启。

如果系统上尚未找到 .NET Framework 4.7 或更高版本,则会安装 .NET Framework 4.7 版本,可能需要重启。

最低操作系统要求

Defender for Identity 传感器可以安装在以下操作系统上:

  • Windows Server 2016
  • Windows Server 2019。 需要 KB4487044 或更新的累积更新。 如果在系统目录中找到的 ntdsai.dll 文件版本早于 10.0.17763.316,则在没有此更新的 Server 2019 上安装的传感器将自动停止
  • Windows Server 2022

对于所有操作系统:

  • 同时支持带桌面体验的服务器和服务器核心。
  • 不支持 Nano 服务器。
  • 支持安装域控制器、AD FS 和 AD CS 服务器。

旧的操作系统

对 Windows Server 2012 和 Windows Server 2012 R2 的延长支持已于 2023 年 10 月 10 日终止。

我们建议你计划升级这些服务器,因为 Microsoft 不再支持运行 Windows Server 2012 和 Windows Server 2012 R2 的设备上的 Defender for Identity 传感器。

在这些操作系统上运行的传感器将继续向 Defender for Identity 报告,甚至接收传感器更新,但一些新功能将不可用,因为它们可能依赖于操作系统功能。

所需端口

协议 Transport 端口 操作
互联网端口
SSL (*.atp.azure.com)

或者,通过代理配置访问权限		 TCP 443 Defender for Identity 传感器 Defender for Identity 云服务
内部端口
DNS TCP 和 UDP 53 Defender for Identity 传感器 DNS 服务器
Netlogon
(SMB、CIFS、SAM-R)		 TCP/UDP 445 Defender for Identity 传感器 网络上的所有设备
RADIUS UDP 1813 RADIUS Defender for Identity 传感器
Localhost 端口:传感器服务更新程序为必需

默认情况下,允许 localhostlocalhost 的流量,除非受到自定义防火墙策略阻止。
SSL TCP 444 传感器服务 传感器更新程序服务
网络名解析 (NNR) 端口

要将 IP 地址解析为计算机名称,建议打开列出的所有端口。 但是,只需要用到一个其中端口。
基于 RPC 的 NTLM TCP 端口 135 Defender for Identity 传感器 网络上的所有设备
NetBIOS UDP 137 Defender for Identity 传感器 网络上的所有设备
RDP

只有客户端 hello 的第一个数据包会使用 IP 地址的反向 DNS 查找来查询 DNS 服务器 (UDP 53)		 TCP 3389 Defender for Identity 传感器 网络上的所有设备

如果使用多个林,请确保在安装了 Defender for Identity 传感器的任何计算机上打开以下端口:

协议 运输 端口 到/从 方向
互联网端口
SSL (*.atp.azure.com) TCP 443 Defender for Identity 云服务 Outbound
内部端口
LDAP TCP 和 UDP 389 域控制器 Outbound
安全 LDAP (LDAPS) TCP 636 域控制器 Outbound
LDAP 至全局编录 TCP 3268 域控制器 Outbound
LDAPS 至全局编录 TCP 3269 域控制器 Outbound

动态内存要求

下表描述了用于 Defender for Identity 传感器的服务器上的内存要求,具体取决于你使用的虚拟化类型:

VM 运行位置 说明
Hyper-V 确保 VM 未启用启用动态内存
VMware 确保配置的内存量和保留的内存量相同,或在 VM 设置中选择保留所有来宾内存(全部锁定)选项。
其他虚拟化主机 请参阅供应商提供的文档,了解如何确保始终将内存完全分配给虚拟机。

重要

作为虚拟机运行时,必须始终将所有内存分配给虚拟机。

时间同步

安装传感器的服务器和域控制器的时间必须同步到彼此相差五分钟之内。

测试你的先决条件

我们建议运行 Test-MdiReadiness.ps1 脚本进行测试,看看你的环境是否具备必要的先决条件。

Microsoft Defender XDR 的标识 > 工具页面(预览版)上也提供了 Test-MdiReadiness.ps1 脚本的链接。

相关内容

本文章列出了基本安装要求的先决条件。 在 AD FS/AD CS 服务器上安装以支持多个 Active Directory 林时,或者在安装独立的 Defender for Identity 传感器时,需要其他先决条件。

有关详细信息,请参阅:

下一步

计划 Microsoft Defender for Identity 的容量 »