مشاركة عبر

المتطلبات الأساسية Microsoft Defender for Identity

  • مقالة

توضح هذه المقالة متطلبات التوزيع الناجح Microsoft Defender for Identity.

متطلبات الترخيص

يتطلب نشر Defender for Identity أحد تراخيص Microsoft 365 التالية:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* أمن
  • Microsoft 365 F5 Security + Compliance*
  • ترخيص Defender for Identity مستقل

* يتطلب كلا الترخيصين F5 Microsoft 365 F1/F3 أو Office 365 F3 Enterprise Mobility + Security E3.

احصل على التراخيص مباشرة عبر مدخل Microsoft 365 أو استخدم نموذج ترخيص شريك حلول السحابة (CSP).

لمزيد من المعلومات، راجع الأسئلة المتداولة حول الترخيص والخصوصية.

الأذونات المطلوبة

  • لإنشاء مساحة عمل Defender for Identity، تحتاج إلى مستأجر Microsoft Entra ID مع مسؤول أمان واحد على الأقل.

    تحتاج على الأقل إلى وصول مسؤول الأمان على المستأجر الخاص بك للوصول إلى قسم الهوية في منطقة إعدادات Microsoft Defender XDR وإنشاء مساحة العمل.

    لمزيد من المعلومات، راجع Microsoft Defender for Identity مجموعات الأدوار.

  • نوصي باستخدام حساب خدمة دليل واحد على الأقل، مع حق الوصول للقراءة إلى جميع الكائنات في المجالات المراقبة. لمزيد من المعلومات، راجع تكوين حساب خدمة الدليل Microsoft Defender for Identity.

متطلبات الاتصال

يجب أن يكون مستشعر Defender for Identity قادرا على الاتصال بخدمة Defender for Identity السحابية، باستخدام إحدى الطرق التالية:

أسلوب الوصف الاعتبارات التعرف على المزيد
إعداد وكيل يمكن للعملاء الذين لديهم وكيل إعادة توجيه تم توزيعه الاستفادة من الوكيل لتوفير الاتصال بخدمة سحابة MDI.

إذا اخترت هذا الخيار، فستقوم بتكوين الوكيل الخاص بك لاحقا في عملية التوزيع. تتضمن تكوينات الوكيل السماح بنسبة استخدام الشبكة إلى عنوان URL للمستشعر، وتكوين Defender for Identity URLs إلى أي قوائم السماح الصريحة المستخدمة من قبل الوكيل أو جدار الحماية.		 يسمح بالوصول إلى الإنترنت لعنون URL واحد

فحص SSL غير مدعوم		 تكوين إعدادات وكيل نقطة النهاية والاتصال بالإنترنت

تشغيل تثبيت صامت باستخدام تكوين وكيل
ExpressRoute يمكن تكوين ExpressRoute لإعادة توجيه حركة مرور مستشعر MDI عبر المسار السريع للعميل.

لتوجيه نسبة استخدام الشبكة الموجهة إلى خوادم سحابة Defender for Identity، استخدم نظير ExpressRoute Microsoft وأضف مجتمع BGP لخدمة Microsoft Defender for Identity (12076:5220) إلى عامل تصفية المسار الخاص بك.		 يتطلب ExpressRoute خدمة لقيمة مجتمع BGP
جدار الحماية، باستخدام Defender for Identity Azure IP addresses يمكن للعملاء الذين ليس لديهم وكيل أو ExpressRoute تكوين جدار الحماية الخاص بهم باستخدام عناوين IP المعينة لخدمة سحابة MDI. يتطلب هذا من العميل مراقبة قائمة عناوين IP Azure لأي تغييرات في عناوين IP المستخدمة من قبل خدمة سحابة MDI.

إذا اخترت هذا الخيار، نوصي بتنزيل نطاقات IP Azure وعلامات الخدمة - ملف السحابة العامة واستخدام علامة خدمة AzureAdvancedThreatProtection لإضافة عناوين IP ذات الصلة.		 يجب على العميل مراقبة تعيينات Azure IP علامات خدمة الشبكة الظاهرية

لمزيد من المعلومات، راجع Microsoft Defender for Identity البنية.

متطلبات وتوصيات أداة الاستشعار

يلخص الجدول التالي المتطلبات والتوصيات لوحدة التحكم بالمجال، AD FS، AD CS، خادم Entra Connect حيث ستقوم بتثبيت مستشعر Defender for Identity.

المتطلبات الأساسية / التوصية الوصف
المواصفات تأكد من تثبيت Defender for Identity على إصدار Windows 2016 أو أعلى، على خادم وحدة تحكم بالمجال بحد أدنى:

- نواة 2
- 6 غيغابايت من ذاكرة الوصول العشوائي
- 6 غيغابايت من مساحة القرص المطلوبة، موصى بها 10 غيغابايت، بما في ذلك مساحة لثنائيات Defender for Identity والسجلات

يدعم Defender for Identity وحدات التحكم بالمجال للقراءة فقط (RODC).
اداء للحصول على الأداء الأمثل، قم بتعيين خيار الطاقة للجهاز الذي يقوم بتشغيل مستشعر Defender for Identity إلى الأداء العالي.
تكوين واجهة الشبكة إذا كنت تستخدم أجهزة VMware الظاهرية، فتأكد من تعطيل تكوين NIC للجهاز الظاهري للإرسال الكبير (LSO). راجع مشكلة مستشعر الجهاز الظاهري VMware لمزيد من التفاصيل.
نافذة الصيانة نوصي بجدولة نافذة صيانة لوحدات التحكم بالمجال، حيث قد تكون إعادة التشغيل مطلوبة إذا تم تشغيل التثبيت وكانت إعادة التشغيل معلقة بالفعل، أو إذا كان .NET Framework بحاجة إلى تثبيت.

إذا لم يتم العثور على .NET Framework الإصدار 4.7 أو أحدث بالفعل على النظام، .NET Framework يتم تثبيت الإصدار 4.7، وقد يتطلب إعادة تشغيل.

الحد الأدنى لمتطلبات نظام التشغيل

يمكن تثبيت مستشعرات Defender for Identity على أنظمة التشغيل التالية:

  • Windows Server 2016
  • Windows Server 2019. يتطلب KB4487044 أو تحديثا تراكميا أحدث. سيتم إيقاف أدوات الاستشعار المثبتة على Server 2019 بدون هذا التحديث تلقائيا إذا كان ntdsai.dll إصدار الملف الموجود في دليل النظام قديما than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

لجميع أنظمة التشغيل:

  • يتم دعم كلا الخادمين اللذين يتمتعان بتجربة سطح المكتب وذاكرات أساسية للخادم.
  • خوادم Nano غير مدعومة.
  • يتم دعم عمليات التثبيت لوحدات التحكم بالمجال وخوادم AD FS و AD CS.

أنظمة التشغيل القديمة

Windows Server 2012 Windows Server 2012 R2 إلى نهاية الدعم الممتدة في 10 أكتوبر 2023.

نوصي بالتخطيط لترقية هذه الخوادم لأن Microsoft لم تعد تدعم أداة استشعار Defender for Identity على الأجهزة التي تعمل Windows Server 2012 Windows Server 2012 R2.

ستستمر أجهزة الاستشعار التي تعمل على أنظمة التشغيل هذه في الإبلاغ إلى Defender for Identity وحتى تلقي تحديثات أداة الاستشعار، ولكن لن تتوفر بعض الوظائف الجديدة لأنها قد تعتمد على قدرات نظام التشغيل.

المنافذ المطلوبة

بروتوكول نقل ميناء من ل
منافذ الإنترنت
SSL (*.atp.azure.com)

بدلا من ذلك، قم بتكوين الوصول من خلال وكيل.		 TCP 443 مستشعر Defender for Identity خدمة سحابة Defender for Identity
المنافذ الداخلية
DNS TCP وUDP 53 مستشعر Defender for Identity خوادم DNS
Netlogon
(SMB، CIFS، SAM-R)		 TCP/UDP 445 مستشعر Defender for Identity جميع الأجهزة على الشبكة
RADIUS UDP 1813 RADIUS مستشعر Defender for Identity
منافذ المضيف المحلي: مطلوبة لمحدث خدمة الاستشعار

بشكل افتراضي، يسمح بحركة مرور المضيف المحلي ما لم يحظرها نهج جدار حماية مخصص.
SSL TCP 444 خدمة المستشعر خدمة محدث أداة الاستشعار
منافذ تحليل اسم الشبكة (NNR)

لحل عناوين IP لأسماء الكمبيوتر، نوصي بفتح جميع المنافذ المدرجة. ومع ذلك، مطلوب منفذ واحد فقط.
NTLM عبر RPC TCP المنفذ 135 مستشعر Defender for Identity جميع الأجهزة على الشبكة
NetBIOS UDP 137 مستشعر Defender for Identity جميع الأجهزة على الشبكة
RDP

تستعلم الحزمة الأولى فقط من Client hello عن خادم DNS باستخدام بحث DNS العكسي لعنوان IP (UDP 53)		 TCP 3389 مستشعر Defender for Identity جميع الأجهزة على الشبكة

إذا كنت تعمل مع غابات متعددة، فتأكد من فتح المنافذ التالية على أي جهاز يتم فيه تثبيت مستشعر Defender for Identity:

بروتوكول نقل ميناء إلى/من اتجاه
منافذ الإنترنت
SSL (*.atp.azure.com) TCP 443 خدمة سحابة Defender for Identity الصادره
المنافذ الداخلية
LDAP TCP وUDP 389 وحدات التحكم بالمجال الصادره
LDAP الآمن (LDAPS) TCP 636 وحدات التحكم بالمجال الصادره
LDAP إلى الكتالوج العمومي TCP 3268 وحدات التحكم بالمجال الصادره
LDAPS إلى الكتالوج العمومي TCP 3269 وحدات التحكم بالمجال الصادره

متطلبات الذاكرة الديناميكية

يصف الجدول التالي متطلبات الذاكرة على الخادم المستخدم لمستشعر Defender for Identity، اعتمادا على نوع الظاهرية التي تستخدمها:

الجهاز الظاهري قيد التشغيل الوصف
Hyper-V تأكد من عدم تمكين تمكين الذاكرة الديناميكية للجهاز الظاهري.
VMware تأكد من أن مقدار الذاكرة التي تم تكوينها والذاكرة المحجوزة هي نفسها، أو حدد الخيار حجز كل ذاكرة الضيف (جميعها مؤمنة) في إعدادات الجهاز الظاهري.
مضيف ظاهرية آخر راجع الوثائق المقدمة من المورد حول كيفية التأكد من تخصيص الذاكرة بالكامل للجهاز الظاهري في جميع الأوقات.

هام

عند التشغيل كجهة ظاهرية، يجب تخصيص جميع الذاكرة للجهاز الظاهري في جميع الأوقات.

مزامنة الوقت

يجب أن يكون للخوادم ووحدات التحكم بالمجال التي تم تثبيت المستشعر عليها وقتا متزامنا مع بعضها البعض في غضون خمس دقائق.

اختبار المتطلبات الأساسية الخاصة بك

نوصي بتشغيل البرنامج النصي Test-MdiReadiness.ps1 لاختبار ومعرفة ما إذا كانت بيئتك تحتوي على المتطلبات الأساسية اللازمة.

يتوفر الارتباط إلى البرنامج النصي Test-MdiReadiness.ps1 أيضا من Microsoft Defender XDR، في صفحة أدوات الهويات > (معاينة).

المحتويات ذات الصلة

تسرد هذه المقالة المتطلبات الأساسية المطلوبة للتثبيت الأساسي. المتطلبات الأساسية الإضافية مطلوبة عند التثبيت على خادم AD FS / AD CS أو Entra Connect، لدعم غابات Active Directory متعددة، أو عند تثبيت مستشعر Defender for Identity مستقل.

لمزيد من المعلومات، اطلع على:

الخطوة التالية

تخطيط السعة Microsoft Defender for Identity »