Microsoft Defender for Identity előfeltételek
Ez a cikk a sikeres Microsoft Defender for Identity telepítés követelményeit ismerteti.
Licencelési követelmények
A Defender for Identity telepítéséhez a következő Microsoft 365-licencek egyikére van szükség:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Biztonság
- Microsoft 365 F5 Biztonság + Megfelelőség*
- Önálló Defender for Identity-licenc
* Mindkét F5 licenchez Microsoft 365 F1/F3 vagy Office 365 F3 és Nagyvállalati mobilitási és biztonsági E3 csomag szükséges.
Licenceket közvetlenül a Microsoft 365 portálon szerezhet be, vagy használhatja a felhőszolgáltatói partner (CSP) licencelési modelljét.
További információ: Licencelés és adatvédelem – gyakori kérdések.
Szükséges engedélyek
A Defender for Identity-munkaterület létrehozásához legalább egy biztonsági rendszergazdával rendelkező Microsoft Entra ID bérlőre van szüksége.
Legalább biztonsági rendszergazdai hozzáférésre van szüksége a bérlőn a Microsoft Defender XDR Beállítások terület Identitás szakaszának eléréséhez és a munkaterület létrehozásához.
További információ: Microsoft Defender for Identity szerepkörcsoportok.
Javasoljuk, hogy használjon legalább egy címtárszolgáltatás-fiókot, amely olvasási hozzáféréssel rendelkezik a figyelt tartományok összes objektumához. További információ: Címtárszolgáltatás-fiók konfigurálása Microsoft Defender for Identity.
Adatkapcsolati követelmények
A Defender for Identity érzékelőnek képesnek kell lennie kommunikálni a Defender for Identity felhőszolgáltatással az alábbi módszerek egyikével:
| Módszer | Leírás | Megfontolások | További információ |
|---|---|---|---|
| Proxy beállítása | Az üzembe helyezett továbbítási proxyval rendelkező ügyfelek kihasználhatják a proxy előnyeit az MDI felhőszolgáltatáshoz való kapcsolódáshoz. Ha ezt a lehetőséget választja, a proxyt az üzembe helyezési folyamat későbbi szakaszában fogja konfigurálni. A proxykonfigurációk közé tartozik a forgalom engedélyezése az érzékelő URL-címére, valamint a Defender for Identity URL-címeinek konfigurálása a proxy vagy a tűzfal által használt bármely explicit engedélyezési listára. |
Engedélyezi az internet-hozzáférést egyetlen URL-címhez Az SSL-ellenőrzés nem támogatott |
Végpontproxy és internetkapcsolat beállításainak konfigurálása Csendes telepítés futtatása proxykonfigurációval |
| ExpressRoute | Az ExpressRoute konfigurálható úgy, hogy az MDI-érzékelő forgalmát az ügyfél expressz útvonalán keresztül továbbítsa. A Defender for Identity felhőkiszolgálóira irányuló hálózati forgalom irányításához használja az ExpressRoute Microsoft társviszony-létesítést, és adja hozzá a Microsoft Defender for Identity (12076:5220) szolgáltatás BGP-közösségét az útvonalszűrőhöz. |
ExpressRoute-ot igényel | A BGP-szolgáltatások közösségi értéke |
| Tűzfal, a Defender for Identity Azure IP-címeinek használatával | Azok az ügyfelek, akik nem rendelkeznek proxyval vagy ExpressRoute-tal, konfigurálhatják a tűzfalat az MDI felhőszolgáltatáshoz rendelt IP-címekkel. Ehhez az ügyfélnek monitoroznia kell az Azure IP-címlistáját az MDI-felhőszolgáltatás által használt IP-címek változásaihoz. Ha ezt a lehetőséget választotta, javasoljuk, hogy töltse le az Azure IP-címtartományok és szolgáltatáscímkék – nyilvános felhő fájlt, és használja az AzureAdvancedThreatProtection szolgáltatáscímkét a megfelelő IP-címek hozzáadásához. |
Az ügyfélnek monitoroznia kell az Azure IP-hozzárendeléseit | Virtuális hálózati szolgáltatáscímkék |
További információ: Microsoft Defender for Identity architektúra.
Érzékelőkövetelmények és javaslatok
Az alábbi táblázat összefoglalja a tartományvezérlőre, az AD FS-re, az AD CS-ra és az Entra Connect-kiszolgálóra vonatkozó követelményeket és javaslatokat, ahol telepíteni fogja a Defender for Identity érzékelőt.
| Előfeltétel/javaslat | Leírás |
|---|---|
| Előírások | Mindenképpen telepítse a Defender for Identityt a Windows 2016-os vagy újabb verziójára egy tartományvezérlő kiszolgálóra, amely legalább a következőkkel rendelkezik: - 2 mag - 6 GB RAM – 6 GB lemezterület szükséges, 10 GB ajánlott, beleértve a Defender for Identity bináris fájljainak és naplóinak tárhelyét A Defender for Identity támogatja az írásvédett tartományvezérlőket (RODC). |
| Teljesítmény | Az optimális teljesítmény érdekében állítsa a Defender for Identity érzékelőt futtató gép power kapcsolójátNagy teljesítményű értékre. |
| Hálózati adapter konfigurálása | Ha VMware virtuális gépeket használ, győződjön meg arról, hogy a virtuális gép hálózati adapterének konfigurációjában le van tiltva a nagy méretű küldési kiszervezés (LSO). További részletekért lásd: VMware virtuálisgép-érzékelővel kapcsolatos probléma . |
| Karbantartási időszak | Javasoljuk, hogy ütemezjen karbantartási időszakot a tartományvezérlők számára, mivel újraindításra lehet szükség, ha a telepítés fut, és az újraindítás már függőben van, vagy ha .NET-keretrendszer kell telepíteni. Ha .NET-keretrendszer 4.7-es vagy újabb verzió még nem található a rendszeren, .NET-keretrendszer 4.7-es verzió van telepítve, és újraindítást igényelhet. |
Az operációs rendszer minimális követelményei
A Defender for Identity érzékelői a következő operációs rendszerekre telepíthetők:
- Windows Server 2016
-
2019 Windows Server.
KB4487044 vagy újabb összegző frissítésre van szükség. A Server 2019-en a frissítés nélkül telepített érzékelők automatikusan leállnak, ha a
ntdsai.dllrendszerkönyvtárban található fájlverzió régebbithan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Minden operációs rendszer esetén:
- Az asztali kezelőfelülettel rendelkező kiszolgálók és a kiszolgálómagok egyaránt támogatottak.
- A Nano-kiszolgálók nem támogatottak.
- A telepítések tartományvezérlők, AD FS és AD CS-kiszolgálók esetében támogatottak.
Örökölt operációs rendszerek
Windows Server 2012 és Windows Server 2012 R2 támogatása 2023. október 10-én véget ért.
Javasoljuk, hogy frissítse ezeket a kiszolgálókat, mivel a Microsoft már nem támogatja a Defender for Identity érzékelőt Windows Server 2012 és Windows Server 2012 R2 rendszerű eszközökön.
Az ezeken az operációs rendszereken futó érzékelők továbbra is jelentik a Defender for Identitynek, és még az érzékelőfrissítéseket is megkapják, de az új funkciók némelyike nem lesz elérhető, mivel az operációs rendszer képességeire támaszkodhatnak.
Szükséges portok
| Protocol (Protokoll) | Szállítás | Port | Feladó | Címzett |
|---|---|---|---|---|
| Internetes portok | ||||
|
SSL (*.atp.azure.com) Másik lehetőségként konfigurálja a hozzáférést proxyn keresztül. |
TCP | 443 | Defender for Identity érzékelő | Defender for Identity felhőszolgáltatás |
| Belső portok | ||||
| DNS | TCP és UDP | 53 | Defender for Identity érzékelő | DNS-kiszolgálók |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity érzékelő | A hálózaton lévő összes eszköz |
| ORSÓCSONT | UDP | 1813 | ORSÓCSONT | Defender for Identity érzékelő |
|
Localhost-portok: Az érzékelőszolgáltatás-frissítőhöz szükséges Alapértelmezés szerint a localhost és a localhost közötti forgalom engedélyezve van, kivéve, ha egy egyéni tűzfalszabályzat letiltja azt. |
||||
| SSL | TCP | 444 | Érzékelő szolgáltatás | Érzékelőfrissítő szolgáltatás |
|
Hálózati névfeloldási (NNR) portok Az IP-címek számítógépnevekre való feloldásához javasoljuk, hogy nyissa meg az összes felsorolt portot. Azonban csak egy portra van szükség. |
||||
| NTLM RPC-n keresztül | TCP | 135-ös port | Defender for Identity érzékelő | Minden eszköz a hálózaton |
| NetBIOS | UDP | 137 | Defender for Identity érzékelő | Minden eszköz a hálózaton |
|
RDP Csak az ügyfél hello első csomagja lekérdezést küld a DNS-kiszolgálónak az IP-cím fordított DNS-keresésével (UDP 53) |
TCP | 3389 | Defender for Identity érzékelő | Minden eszköz a hálózaton |
Ha több erdővel dolgozik, győződjön meg arról, hogy a következő portok nyitva vannak minden olyan gépen, amelyen telepítve van egy Defender for Identity-érzékelő:
| Protocol (Protokoll) | Szállítás | Port | Feladó/feladó | Irány |
|---|---|---|---|---|
| Internetes portok | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity felhőszolgáltatás | Kimenő |
| Belső portok | ||||
| LDAP | TCP és UDP | 389 | Tartományvezérlők | Kimenő |
| Biztonságos LDAP (LDAPS) | TCP | 636 | Tartományvezérlők | Kimenő |
| LDAP–globális katalógus | TCP | 3268 | Tartományvezérlők | Kimenő |
| LDAPS–globális katalógus | TCP | 3269 | Tartományvezérlők | Kimenő |
Dinamikus memóriakövetelmények
Az alábbi táblázat a Defender for Identity-érzékelőhöz használt kiszolgáló memóriakövetelményét ismerteti a használt virtualizálás típusától függően:
| Virtuális gép, amelyen fut | Leírás |
|---|---|
| Hyper-V | Győződjön meg arról, hogy a dinamikus memória engedélyezése nincs engedélyezve a virtuális gépen. |
| VMware | Győződjön meg arról, hogy a konfigurált memória mennyisége és a fenntartott memória megegyezik, vagy válassza az Összes vendégmemória lefoglalása (Minden zárolt) lehetőséget a virtuális gép beállításaiban. |
| Egyéb virtualizálási gazdagép | Tekintse meg a szállító által biztosított dokumentációt, amelyből megtudhatja, hogyan biztosíthatja, hogy a memória folyamatosan teljes mértékben le legyen foglalva a virtuális gép számára. |
Fontos
Virtuális gépként való futtatáskor a virtuális géphez minden memóriát le kell foglalni.
Időszinkronizálás
Azoknak a kiszolgálóknak és tartományvezérlőknek, amelyekre az érzékelő telepítve van, egymástól öt percen belül szinkronizálva kell lenniük.
Az előfeltételek tesztelése
Javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet a teszteléshez, és ellenőrizze, hogy a környezet rendelkezik-e a szükséges előfeltételekkel.
A Test-MdiReadiness.ps1 szkriptre mutató hivatkozás az Identitáseszközök > lap (előzetes verzió) Microsoft Defender XDR is elérhető.
Kapcsolódó tartalom
Ez a cikk az alapszintű telepítéshez szükséges előfeltételeket sorolja fel. További előfeltételekre van szükség az AD FS-/AD CS-kiszolgálón vagy az Entra Connecten való telepítéskor, több Active Directory-erdő támogatásához, vagy önálló Defender for Identity-érzékelő telepítésekor.
További információ:
- Microsoft Defender for Identity üzembe helyezése AD FS-, AD CS- és Entra Connect-kiszolgálókon
- többerdős támogatás Microsoft Defender for Identity
- az önálló érzékelő előfeltételeinek Microsoft Defender for Identity
- A Defender for Identity architektúrája