Požadavky na Microsoft Defender for Identity

Tento článek popisuje požadavky na úspěšné nasazení Microsoft Defenderu for Identity.

Požadavky na licencování

Nasazení defenderu for Identity vyžaduje jednu z následujících licencí Microsoftu 365:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Zabezpečení Microsoftu 365 E5/A5/G5/F5*
  • Microsoft 365 F5 Security + Compliance*
  • Samostatná licence defenderu for Identity

* Obě licence F5 vyžadují Microsoft 365 F1/F3 nebo Office 365 F3 a Enterprise Mobility + Security E3.

Licence můžete získat přímo prostřednictvím portálu Microsoft 365 nebo použít licenční model CSP (Cloud Solution Partner).

Další informace najdete v tématu Nejčastější dotazy k licencování a ochraně osobních údajů.

Požadována oprávnění

  • K vytvoření pracovního prostoru Defender for Identity potřebujete tenanta Microsoft Entra ID s alespoň jedním správcem zabezpečení.

    Abyste mohli získat přístup k části Identita v oblasti Nastavení XDR v programu Microsoft Defender a vytvořit pracovní prostor, potřebujete alespoň přístup správce zabezpečení ve vašem tenantovi.

    Další informace najdete v tématu Skupiny rolí v programu Microsoft Defender for Identity.

  • Doporučujeme použít alespoň jeden účet adresářové služby s přístupem pro čtení ke všem objektům v monitorovaných doménách. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Microsoft Defender for Identity.

Požadavky na připojení

Senzor defenderu pro identitu musí být schopný komunikovat s cloudovou službou Defender for Identity pomocí jedné z následujících metod:

metoda Popis Požadavky Další informace
Nastavení proxy serveru Zákazníci, kteří mají nasazený předávací proxy server, můžou využít výhod proxy serveru k zajištění připojení ke cloudové službě MDI.

Pokud zvolíte tuto možnost, nakonfigurujete proxy server později v procesu nasazení. Konfigurace proxy serveru zahrnují povolení provozu na adresu URL senzoru a konfiguraci adres URL služby Defender for Identity na všechny explicitní seznamy povolených, které používá váš proxy server nebo brána firewall.
Umožňuje přístup k internetu pro jednu adresu URL.

Kontrola SSL se nepodporuje.
Konfigurace proxy koncového bodu a nastavení připojení k internetu

Spuštění bezobslužné instalace s konfigurací proxy serveru
ExpressRoute ExpressRoute je možné nakonfigurovat tak, aby přesměrovávat přenosy snímačů MDI přes expresní trasu zákazníka.

Pokud chcete směrovat síťový provoz směřující do cloudových serverů Defenderu for Identity, použijte partnerský vztah ExpressRoute Microsoftu a přidejte do filtru tras komunitu protokolu BGP služby Microsoft Defender for Identity (12076:5220).
Vyžaduje ExpressRoute. Hodnota komunity protokolu BGP
Brána firewall s využitím IP adres Azure služby Defender for Identity Zákazníci, kteří nemají proxy server nebo ExpressRoute, můžou nakonfigurovat bránu firewall s IP adresami přiřazenými ke cloudové službě MDI. To vyžaduje, aby zákazník monitoruje seznam IP adres Azure pro všechny změny IP adres používaných cloudovou službou MDI.

Pokud jste zvolili tuto možnost, doporučujeme stáhnout rozsahy IP adres a značky služeb Azure – soubor veřejného cloudu a přidat relevantní IP adresy pomocí značky služby AzureAdvancedThreatProtection .
Zákazník musí monitorovat přiřazení IP adres Azure. Značky služeb virtuální sítě

Další informace najdete v tématu Architektura Microsoft Defenderu for Identity.

Požadavky na senzory a doporučení

Následující tabulka shrnuje požadavky a doporučení pro řadič domény, SLUŽBU AD FS, AD CS, server Entra Connect, kde nainstalujete senzor služby Defender for Identity.

Předpoklad / doporučení Popis
Specifikace Nezapomeňte nainstalovat Defender for Identity ve Windows verze 2016 nebo novější na server řadiče domény s minimálním počtem:

- 2 jádra
– 6 GB paměti RAM
– 6 GB požadovaného místa na disku, doporučeno 10 GB, včetně místa pro binární soubory a protokoly Defenderu pro identity

Defender for Identity podporuje řadiče domény jen pro čtení (RODC).
Výkon Pokud chcete dosáhnout optimálního výkonu , nastavte možnost napájení počítače, na kterém běží senzor Defenderu for Identity, na vysoký výkon.
Konfigurace síťového rozhraní Pokud používáte virtuální počítače VMware, ujistěte se, že konfigurace síťové karty virtuálního počítače má zakázanou funkci LSO (Large Send Offload). Další podrobnosti najdete v tématu Problém se senzorem virtuálního počítače VMware.
Časové období údržby Doporučujeme naplánovat časové období údržby pro řadiče domény, protože pokud se instalace spustí a restartování už čeká, nebo pokud je potřeba nainstalovat rozhraní .NET Framework, může být vyžadováno restartování.

Pokud rozhraní .NET Framework verze 4.7 nebo novější není v systému nalezeno, nainstaluje se rozhraní .NET Framework verze 4.7 a může vyžadovat restartování.

Minimální požadavky na operační systém

Senzory defenderu for Identity je možné nainstalovat do následujících operačních systémů:

  • Windows Server 2016
  • Windows Server 2019. Vyžaduje KB4487044 nebo novější kumulativní aktualizaci. Senzory nainstalované na Serveru 2019 bez této aktualizace se automaticky zastaví, pokud je verze souboru ntdsai.dll nalezená v systémovém adresáři starší než 10.0.17763.316
  • Windows Server 2022

Pro všechny operační systémy:

  • Podporují se oba servery s desktopovým prostředím a serverovými jádry.
  • Nano servery nejsou podporované.
  • Instalace se podporují pro řadiče domény, službu AD FS a servery SLUŽBY AD CS.

Starší operační systémy

Windows Server 2012 a Windows Server 2012 R2 dosáhli rozšířeného konce podpory 10. října 2023.

Doporučujeme tyto servery upgradovat, protože Microsoft už na zařízeních s Windows Serverem 2012 a Windows Serverem 2012 R2 nepodporuje senzor defenderu pro identitu.

Senzory spuštěné v těchto operačních systémech budou dál hlásit Defenderu for Identity a dokonce dostávat aktualizace senzorů, ale některé nové funkce nebudou dostupné, protože můžou spoléhat na možnosti operačního systému.

Požadované porty

Protokol Přeprava Port Od Na
Internetové porty
SSL (*.atp.azure.com)

Případně nakonfigurujte přístup prostřednictvím proxy serveru.
TCP 443 Senzor služby Defender for Identity Cloudová služba Defender for Identity
Interní porty
DNS TCP a UDP 53 Senzor služby Defender for Identity Servery DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Senzor služby Defender for Identity Všechna zařízení v síti
POLOMĚR UDP 1813 Protokol RADIUS Senzor služby Defender for Identity
Porty localhost: Požadováno pro aktualizátor služby senzoru

Ve výchozím nastavení je místní hostitel pro provoz místního hostitele povolený, pokud je vlastní zásada brány firewall nezablokuje.
SSL TCP 444 Senzorová služba Služba aktualizátoru senzorů
Porty NNR (Network Name Resolution)

Pokud chcete přeložit IP adresy na názvy počítačů, doporučujeme otevřít všechny uvedené porty. Vyžaduje se ale jenom jeden port.
NTLM přes RPC TCP Port 135 Senzor služby Defender for Identity Všechna zařízení v síti
Rozhraní netbios UDP 137 Senzor služby Defender for Identity Všechna zařízení v síti
RDP

Pouze první paket klienta hello dotazuje server DNS pomocí zpětného vyhledávání DNS IP adresy (UDP 53).
TCP 3389 Senzor služby Defender for Identity Všechna zařízení v síti

Pokud pracujete s více doménovými strukturami, ujistěte se, že jsou na jakémkoli počítači, na kterém je nainstalovaný senzor Defenderu pro identitu, otevřené následující porty:

Protokol Přeprava Přístav Do/From Směr
Internetové porty
SSL (*.atp.azure.com) TCP 443 Cloudová služba Defender for Identity Odchozí
Interní porty
LDAP TCP a UDP 389 Řadiče domény Odchozí
Secure LDAP (LDAPS) TCP 636 Řadiče domény Odchozí
LDAP do globálního katalogu TCP 3 268 Řadiče domény Odchozí
LDAPS do globálního katalogu TCP 3269 Řadiče domény Odchozí

Požadavky na dynamickou paměť

Následující tabulka popisuje požadavky na paměť na serveru používaném pro senzor služby Defender for Identity v závislosti na typu virtualizace, kterou používáte:

Virtuální počítač spuštěný na Popis
Hyper-V Ujistěte se, že pro virtuální počítač není povolená možnost Povolit dynamickou paměť .
VMware Ujistěte se, že je nakonfigurovaná velikost paměti a vyhrazená paměť stejná, nebo v nastavení virtuálního počítače vyberte možnost Rezervovat veškerou paměť hosta (vše uzamčeno ).
Jiný hostitel virtualizace Informace o tom, jak zajistit, aby byla paměť plně přidělená virtuálnímu počítači, najdete v dokumentaci od dodavatele.

Důležité

Při spuštění jako virtuálního počítače musí být vždy přidělena veškerá paměť virtuálnímu počítači.

Čas synchronizace

Servery a řadiče domény, na které je senzor nainstalovaný, musí být synchronizované do pěti minut od sebe.

Testování požadavků

Doporučujeme spustit skript Test-MdiReadiness.ps1 k otestování a zjistit, jestli vaše prostředí splňuje nezbytné požadavky.

Odkaz na skript Test-MdiReadiness.ps1 je k dispozici také v programu Microsoft Defender XDR na stránce Nástroje identit > (Preview).

Tento článek uvádí požadavky potřebné pro základní instalaci. Při instalaci na server AD FS / AD CS nebo entra Connect se vyžadují další požadavky, které podporují více doménových struktur služby Active Directory nebo když instalujete samostatný senzor služby Defender for Identity.

Další informace naleznete v tématu:

Další krok