Megosztás a következőn keresztül:


Microsoft Defender for Identity előfeltételek

Ez a cikk a sikeres Microsoft Defender for Identity telepítés követelményeit ismerteti.

Licencelési követelmények

A Defender for Identity telepítéséhez a következő Microsoft 365-licencek egyikére van szükség:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Biztonság
  • Microsoft 365 F5 Biztonság + Megfelelőség*
  • Önálló Defender for Identity-licenc

* Mindkét F5 licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.

Licenceket közvetlenül a Microsoft 365 portálon szerezhet be, vagy használhatja a felhőszolgáltatói partner (CSP) licencelési modelljét.

További információ: Licencelés és adatvédelem – gyakori kérdések.

Szükséges engedélyek

Adatkapcsolati követelmények

A Defender for Identity érzékelőnek képesnek kell lennie kommunikálni a Defender for Identity felhőszolgáltatással az alábbi módszerek egyikével:

Módszer Leírás Megfontolások További információ
Proxy beállítása Az üzembe helyezett továbbítási proxyval rendelkező ügyfelek kihasználhatják a proxy előnyeit az MDI felhőszolgáltatáshoz való kapcsolódáshoz.

Ha ezt a lehetőséget választja, a proxyt az üzembe helyezési folyamat későbbi szakaszában fogja konfigurálni. A proxykonfigurációk közé tartozik a forgalom engedélyezése az érzékelő URL-címére, valamint a Defender for Identity URL-címeinek konfigurálása a proxy vagy a tűzfal által használt bármely explicit engedélyezési listára.
Engedélyezi az internet-hozzáférést egyetlen URL-címhez

Az SSL-ellenőrzés nem támogatott
Végpontproxy és internetkapcsolat beállításainak konfigurálása

Csendes telepítés futtatása proxykonfigurációval
ExpressRoute Az ExpressRoute konfigurálható úgy, hogy az MDI-érzékelő forgalmát az ügyfél expressz útvonalán keresztül továbbítsa.

A Defender for Identity felhőkiszolgálóira irányuló hálózati forgalom irányításához használja az ExpressRoute Microsoft társviszony-létesítést, és adja hozzá a Microsoft Defender for Identity (12076:5220) szolgáltatás BGP-közösségét az útvonalszűrőhöz.
ExpressRoute-ot igényel A BGP-szolgáltatások közösségi értéke
Tűzfal, a Defender for Identity Azure IP-címeinek használatával Azok az ügyfelek, akik nem rendelkeznek proxyval vagy ExpressRoute-tal, konfigurálhatják a tűzfalat az MDI felhőszolgáltatáshoz rendelt IP-címekkel. Ehhez az ügyfélnek monitoroznia kell az Azure IP-címlistáját az MDI-felhőszolgáltatás által használt IP-címek változásaihoz.

Ha ezt a lehetőséget választotta, javasoljuk, hogy töltse le az Azure IP-címtartományok és szolgáltatáscímkék – nyilvános felhő fájlt, és használja az AzureAdvancedThreatProtection szolgáltatáscímkét a megfelelő IP-címek hozzáadásához.
Az ügyfélnek monitoroznia kell az Azure IP-hozzárendeléseit Virtuális hálózati szolgáltatáscímkék

További információ: Microsoft Defender for Identity architektúra.

Érzékelőkövetelmények és javaslatok

Az alábbi táblázat összefoglalja a tartományvezérlőre, az AD FS-re, az AD CS-ra és az Entra Connect-kiszolgálóra vonatkozó követelményeket és javaslatokat, ahol telepíteni fogja a Defender for Identity érzékelőt.

Előfeltétel/javaslat Leírás
Előírások Mindenképpen telepítse a Defender for Identityt a Windows 2016-os vagy újabb verziójára egy tartományvezérlő kiszolgálóra, amely legalább a következőkkel rendelkezik:

- 2 mag
- 6 GB RAM
– 6 GB lemezterület szükséges, 10 GB ajánlott, beleértve a Defender for Identity bináris fájljainak és naplóinak tárhelyét

A Defender for Identity támogatja az írásvédett tartományvezérlőket (RODC).
Teljesítmény Az optimális teljesítmény érdekében állítsa a Defender for Identity érzékelőt futtató gép power kapcsolójátNagy teljesítményű értékre.
Hálózati adapter konfigurálása Ha VMware virtuális gépeket használ, győződjön meg arról, hogy a virtuális gép hálózati adapterének konfigurációjában le van tiltva a nagy méretű küldési kiszervezés (LSO). További részletekért lásd: VMware virtuálisgép-érzékelővel kapcsolatos probléma .
Karbantartási időszak Javasoljuk, hogy ütemezjen karbantartási időszakot a tartományvezérlők számára, mivel újraindításra lehet szükség, ha a telepítés fut, és az újraindítás már függőben van, vagy ha .NET-keretrendszer kell telepíteni.

Ha .NET-keretrendszer 4.7-es vagy újabb verzió még nem található a rendszeren, .NET-keretrendszer 4.7-es verzió van telepítve, és újraindítást igényelhet.

Az operációs rendszer minimális követelményei

A Defender for Identity érzékelői a következő operációs rendszerekre telepíthetők:

  • Windows Server 2016
  • 2019 Windows Server. KB4487044 vagy újabb összegző frissítésre van szükség. A Server 2019-en a frissítés nélkül telepített érzékelők automatikusan leállnak, ha a ntdsai.dll rendszerkönyvtárban található fájlverzió régebbi than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

Minden operációs rendszer esetén:

  • Az asztali kezelőfelülettel rendelkező kiszolgálók és a kiszolgálómagok egyaránt támogatottak.
  • A Nano-kiszolgálók nem támogatottak.
  • A telepítések tartományvezérlők, AD FS és AD CS-kiszolgálók esetében támogatottak.

Örökölt operációs rendszerek

Windows Server 2012 és Windows Server 2012 R2 támogatása 2023. október 10-én véget ért.

Javasoljuk, hogy frissítse ezeket a kiszolgálókat, mivel a Microsoft már nem támogatja a Defender for Identity érzékelőt Windows Server 2012 és Windows Server 2012 R2 rendszerű eszközökön.

Az ezeken az operációs rendszereken futó érzékelők továbbra is jelentik a Defender for Identitynek, és még az érzékelőfrissítéseket is megkapják, de az új funkciók némelyike nem lesz elérhető, mivel az operációs rendszer képességeire támaszkodhatnak.

Szükséges portok

Protocol (Protokoll) Szállítás Port Feladó Címzett
Internetes portok
SSL (*.atp.azure.com)

Másik lehetőségként konfigurálja a hozzáférést proxyn keresztül.
TCP 443 Defender for Identity érzékelő Defender for Identity felhőszolgáltatás
Belső portok
DNS TCP és UDP 53 Defender for Identity érzékelő DNS-kiszolgálók
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Defender for Identity érzékelő A hálózaton lévő összes eszköz
ORSÓCSONT UDP 1813 ORSÓCSONT Defender for Identity érzékelő
Localhost-portok: Az érzékelőszolgáltatás-frissítőhöz szükséges

Alapértelmezés szerint a localhost és a localhost közötti forgalom engedélyezve van, kivéve, ha egy egyéni tűzfalszabályzat letiltja azt.
SSL TCP 444 Érzékelő szolgáltatás Érzékelőfrissítő szolgáltatás
Hálózati névfeloldási (NNR) portok

Az IP-címek számítógépnevekre való feloldásához javasoljuk, hogy nyissa meg az összes felsorolt portot. Azonban csak egy portra van szükség.
NTLM RPC-n keresztül TCP 135-ös port Defender for Identity érzékelő Minden eszköz a hálózaton
NetBIOS UDP 137 Defender for Identity érzékelő Minden eszköz a hálózaton
RDP

Csak az ügyfél hello első csomagja lekérdezést küld a DNS-kiszolgálónak az IP-cím fordított DNS-keresésével (UDP 53)
TCP 3389 Defender for Identity érzékelő Minden eszköz a hálózaton

Ha több erdővel dolgozik, győződjön meg arról, hogy a következő portok nyitva vannak minden olyan gépen, amelyen telepítve van egy Defender for Identity-érzékelő:

Protocol (Protokoll) Szállítás Port Feladó/feladó Irány
Internetes portok
SSL (*.atp.azure.com) TCP 443 Defender for Identity felhőszolgáltatás Kimenő
Belső portok
LDAP TCP és UDP 389 Tartományvezérlők Kimenő
Biztonságos LDAP (LDAPS) TCP 636 Tartományvezérlők Kimenő
LDAP–globális katalógus TCP 3268 Tartományvezérlők Kimenő
LDAPS–globális katalógus TCP 3269 Tartományvezérlők Kimenő

Dinamikus memóriakövetelmények

Az alábbi táblázat a Defender for Identity-érzékelőhöz használt kiszolgáló memóriakövetelményét ismerteti a használt virtualizálás típusától függően:

Virtuális gép, amelyen fut Leírás
Hyper-V Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gépen.
VMware Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza az Összes vendégmemória lefoglalása (Minden zárolt) lehetőséget a virtuális gép beállításaiban.
Egyéb virtualizálási gazdagép Tekintse meg a szállító által biztosított dokumentációt, amelyből megtudhatja, hogyan biztosíthatja, hogy a memória folyamatosan teljes mértékben le legyen foglalva a virtuális gép számára.

Fontos

Virtuális gépként való futtatáskor a virtuális géphez minden memóriát le kell foglalni.

Időszinkronizálás

Azoknak a kiszolgálóknak és tartományvezérlőknek, amelyekre az érzékelő telepítve van, egymástól öt percen belül szinkronizálva kell lenniük.

Az előfeltételek tesztelése

Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezet rendelkezik-e a szükséges előfeltételekkel.

A Test-MdiReadiness.ps1 szkriptre mutató hivatkozás az Identitáseszközök > lap (előzetes verzió) Microsoft Defender XDR is elérhető.

Ez a cikk az alapszintű telepítéshez szükséges előfeltételeket sorolja fel. További előfeltételekre van szükség az AD FS-/AD CS-kiszolgálón vagy az Entra Connecten való telepítéskor, több Active Directory-erdő támogatásához, vagy önálló Defender for Identity-érzékelő telepítésekor.

További információ:

További lépés