Kimlik için Microsoft Defender önkoşulları
Bu makalede başarılı bir Kimlik için Microsoft Defender dağıtımının gereksinimleri açıklanmaktadır.
Lisans gereksinimleri
Kimlik için Defender'ın dağıtılması için aşağıdaki Microsoft 365 lisanslarından biri gerekir:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Güvenlik
- Microsoft 365 F5 Güvenlik + Uyumluluk*
- Tek başına Kimlik için Defender lisansı
* Her iki F5 lisansı da Microsoft 365 F1/F3 veya Office 365 F3 ve Enterprise Mobility + Security E3 gerektirir.
Lisansları doğrudan Microsoft 365 portalı üzerinden alın veya Bulut Çözümü İş Ortağı (CSP) lisanslama modelini kullanın.
Daha fazla bilgi için bkz . Lisanslama ve gizlilik hakkında SSS.
Gerekli izinler
Kimlik için Defender çalışma alanınızı oluşturmak için en az bir Güvenlik yöneticisine sahip bir Microsoft Entra ID kiracınız olmalıdır.
Microsoft Defender XDR Ayarlar alanının Kimlik bölümüne erişmek ve çalışma alanını oluşturmak için kiracınızda en azından Güvenlik yöneticisi erişimine ihtiyacınız vardır.
Daha fazla bilgi için bkz. rol gruplarını Kimlik için Microsoft Defender.
İzlenen etki alanlarındaki tüm nesnelere okuma erişimi olan en az bir Dizin Hizmeti hesabı kullanmanızı öneririz. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender için Dizin Hizmeti hesabı yapılandırma.
Bağlantı gereksinimleri
Kimlik için Defender algılayıcısının aşağıdaki yöntemlerden birini kullanarak Kimlik için Defender bulut hizmetiyle iletişim kurabilmesi gerekir:
| Yöntem | Açıklama | Husus -lar | Daha fazla bilgi |
|---|---|---|---|
| Ara sunucu ayarlama | İleriye doğru bir ara sunucu dağıtan müşteriler, MDI bulut hizmetine bağlantı sağlamak için ara sunucudan yararlanabilir. Bu seçeneği belirlerseniz, dağıtım işleminin ilerleyen bölümlerinde proxy'nizi yapılandıracaksınız. Ara sunucu yapılandırmaları, algılayıcı URL'sine gelen trafiğe izin verme ve Proxy veya güvenlik duvarınız tarafından kullanılan açık izin verilenler listesine Kimlik için Defender URL'lerini yapılandırmayı içerir. |
Tek bir URL için İnternet erişimine izin verir SSL denetimi desteklenmiyor |
Uç nokta ara sunucusu ve internet bağlantısı ayarlarını yapılandırma Ara sunucu yapılandırmasıyla sessiz yükleme çalıştırma |
| ExpressRoute | ExpressRoute, MDI algılayıcı trafiğini müşterinin hızlı rotası üzerinden iletecek şekilde yapılandırılabilir. Kimlik için Defender bulut sunucularına yönelik ağ trafiğini yönlendirmek için ExpressRoute Microsoft eşlemesini kullanın ve yol filtrenize Kimlik için Microsoft Defender (12076:5220) hizmet BGP topluluğu ekleyin. |
ExpressRoute gerektirir | BGP topluluk değerine hizmet |
| Kimlik için Defender Azure IP adreslerini kullanan güvenlik duvarı | Ara sunucusu veya ExpressRoute'u olmayan müşteriler, güvenlik duvarını MDI bulut hizmetine atanmış IP adresleriyle yapılandırabilir. Bu, müşterinin MDI bulut hizmeti tarafından kullanılan IP adreslerindeki değişiklikler için Azure IP adresi listesini izlemesini gerektirir. Bu seçeneği belirlediyseniz , Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut dosyasını indirmenizi ve ilgili IP adreslerini eklemek için AzureAdvancedThreatProtection hizmet etiketini kullanmanızı öneririz. |
Müşterinin Azure IP atamalarını izlemesi gerekir | Sanal ağ hizmeti etiketleri |
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender mimarisi.
Algılayıcı gereksinimleri ve önerileri
Aşağıdaki tabloda, Kimlik için Defender algılayıcısını yükleyebileceğiniz etki alanı denetleyicisi, AD FS, AD CS, Entra Connect sunucusu için gereksinimler ve öneriler özetlenmiştir.
| Önkoşul / Öneri | Açıklama |
|---|---|
| Özellikler | Kimlik için Defender'ı Windows sürüm 2016 veya üzeri bir etki alanı denetleyicisi sunucusuna en az şunlarla yüklediğinizden emin olun: - 2 çekirdek - 6 GB RAM - Kimlik için Defender ikili dosyaları ve günlükleri için alan da dahil olmak üzere 6 GB disk alanı gerekir, 10 GB önerilir Kimlik için Defender salt okunur etki alanı denetleyicilerini (RODC) destekler. |
| Performans | En iyi performans için, Kimlik için Defender algılayıcısını çalıştıran makinenin Güç Seçeneği'niYüksek Performans olarak ayarlayın. |
| Ağ arabirimi yapılandırması | VMware sanal makineleri kullanıyorsanız sanal makinenin NIC yapılandırmasında Büyük Gönderme Boşaltması (LSO) seçeneğinin devre dışı bırakıldığından emin olun. Diğer ayrıntılar için bkz. VMware sanal makine algılayıcı sorunu . |
| Bakım penceresi | Yükleme çalışıyorsa ve bir yeniden başlatma zaten bekliyorsa veya .NET Framework yüklenmesi gerekiyorsa yeniden başlatma gerekebileceğinden, etki alanı denetleyicileriniz için bir bakım penceresi zamanlamanızı öneririz. .NET Framework sürüm 4.7 veya üzeri sistemde henüz bulunamadıysa, .NET Framework sürüm 4.7 yüklüdür ve yeniden başlatma gerektirebilir. |
En düşük işletim sistemi gereksinimleri
Kimlik için Defender algılayıcıları aşağıdaki işletim sistemlerine yüklenebilir:
- Windows Server 2016
-
Windows Server 2019.
KB4487044 veya daha yeni bir toplu güncelleştirme gerektirir. Bu güncelleştirme olmadan Server 2019'da yüklü olan algılayıcılar, sistem dizininde bulunan dosya sürümü daha eskiyse
ntdsai.dllotomatik olarak durdurulurthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Tüm işletim sistemleri için:
- Hem masaüstü deneyimine sahip sunucular hem de sunucu çekirdekleri desteklenir.
- Nano sunucular desteklenmez.
- Yüklemeler etki alanı denetleyicileri, AD FS ve AD CS sunucuları için desteklenir.
Eski işletim sistemleri
Windows Server 2012 ve Windows Server 2012 R2, 10 Ekim 2023'te genişletilmiş destek sonuna ulaşmıştır.
Microsoft artık Windows Server 2012 ve Windows Server 2012 R2 çalıştıran cihazlarda Kimlik için Defender algılayıcısını desteklemediğinden bu sunucuları yükseltmeyi planlamanızı öneririz.
Bu işletim sistemlerinde çalışan algılayıcılar Kimlik için Defender'a rapor göndermeye ve hatta algılayıcı güncelleştirmelerini almaya devam edecektir, ancak işletim sistemi özelliklerine bağlı olabilecek yeni işlevlerden bazıları kullanılamayacaktır.
Gerekli bağlantı noktaları
| Protokol | Taşıma | Bağlantı Noktası | Kaynak | Hedef |
|---|---|---|---|---|
| İnternet bağlantı noktaları | ||||
|
SSL (*.atp.azure.com) Alternatif olarak, bir ara sunucu üzerinden erişimi yapılandırın. |
TCP | 443 | Kimlik için Defender algılayıcısı | Kimlik için Defender bulut hizmeti |
| İç bağlantı noktaları | ||||
| DNS | TCP ve UDP | 53 | Kimlik için Defender algılayıcısı | DNS Sunucuları |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
| YARIÇAP | UDP | 1813 | YARIÇAP | Kimlik için Defender algılayıcısı |
|
Localhost bağlantı noktaları: Algılayıcı hizmeti güncelleştiricisi için gereklidir Varsayılan olarak, özel bir güvenlik duvarı ilkesi engellemediği sürece localhost'a localhost trafiğine izin verilir. |
||||
| SSL | TCP | 444 | Algılayıcı hizmeti | Algılayıcı güncelleştirici hizmeti |
|
Ağ Adı Çözümleme (NNR) bağlantı noktaları IP adreslerini bilgisayar adlarına çözümlemek için listelenen tüm bağlantı noktalarını açmanızı öneririz. Ancak, yalnızca bir bağlantı noktası gereklidir. |
||||
| RPC üzerinden NTLM | TCP | Bağlantı noktası 135 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
| NetBIOS | UDP | 137 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
|
RDP Yalnızca ilk İstemci hello paketi, IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgular (UDP 53) |
TCP | 3389 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
Birden çok ormanla çalışıyorsanız, Kimlik için Defender algılayıcısının yüklü olduğu herhangi bir makinede aşağıdaki bağlantı noktalarının açıldığından emin olun:
| Protokol | Taşıma | Bağlantı noktası | Son/Kimden | Yön |
|---|---|---|---|---|
| İnternet bağlantı noktaları | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Kimlik için Defender bulut hizmeti | Giden |
| İç bağlantı noktaları | ||||
| LDAP | TCP ve UDP | 389 | Etki alanı denetleyicileri | Giden |
| Güvenli LDAP (LDAPS) | TCP | 636 | Etki alanı denetleyicileri | Giden |
| LDAP'yi Genel Katalog'a | TCP | 3268 | Etki alanı denetleyicileri | Giden |
| LDAPS-Genel Katalog | TCP | 3269 | Etki alanı denetleyicileri | Giden |
Dinamik bellek gereksinimleri
Aşağıdaki tabloda, kullandığınız sanallaştırma türüne bağlı olarak Kimlik için Defender algılayıcısı için kullanılan sunucudaki bellek gereksinimleri açıklanmaktadır:
| Vm üzerinde çalışıyor | Açıklama |
|---|---|
| Hyper-V | Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun. |
| VMware | Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarlarında Tüm konuk belleğini ayır (Tümü kilitli) seçeneğini belirleyin. |
| Diğer sanallaştırma konağı | Belleğin vm'ye her zaman tamamen ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın. |
Önemli
Sanal makine olarak çalıştırılırken, tüm bellek her zaman sanal makineye ayrılmalıdır.
Zaman eşitleme
Algılayıcının yüklendiği sunucular ve etki alanı denetleyicileri, beş dakika içinde eşitlenmiş zamana sahip olmalıdır.
Önkoşullarınızı test edin
Ortamınızın gerekli önkoşullara sahip olup olmadığını test etmek ve görmek için Test-MdiReadiness.ps1 betiğini çalıştırmanızı öneririz.
Test-MdiReadiness.ps1 betiğinin bağlantısı, kimlik > araçları sayfasında (Önizleme) Microsoft Defender XDR de kullanılabilir.
İlgili içerik
Bu makalede, temel yükleme için gereken önkoşullar listelenir. Bir AD FS / AD CS sunucusuna veya Entra Connect'e yüklenirken, birden çok Active Directory ormanlarını desteklemek için veya tek başına kimlik için Defender algılayıcısı yüklerken ek önkoşullar gereklidir.
Daha fazla bilgi için bkz.:
- AD FS, AD CS ve Entra Connect sunucularında Kimlik için Microsoft Defender dağıtma
- Kimlik için Microsoft Defender çoklu orman desteği
- tek başına algılayıcı önkoşullarını Kimlik için Microsoft Defender
- Kimlik için Defender mimarisi