Déployez Microsoft Defender pour Identity avec Microsoft Defender XDR

Cet article fournit une vue d’ensemble du processus de déploiement complet pour Microsoft Defender pour Identity, notamment les étapes de préparation, de déploiement et les étapes supplémentaires pour des scénarios spécifiques.

Defender pour Identity est un composant principal d’une stratégie Confiance Zéro et de votre déploiement de détection et de réponse aux menaces d’identité (ITDR) ou de votre déploiement de détection et réponses étendues (XDR) avec Microsoft Defender XDR. Defender pour Identity utilise des signaux provenant de vos serveurs d’infrastructure d’identité tels que les contrôleurs de domaine, les serveurs AD FS / AD CS et Entra Connect pour détecter les menaces telles que l’élévation des privilèges ou le mouvement latéral à haut risque, et signale des problèmes d’identité facilement exploités comme la délégation Kerberos non contrainte, pour que l’équipe de sécurité les corrige.

Pour obtenir un ensemble rapide des points forts du déploiement, consultez le Guide d’installation rapide.

Prérequis

Avant de commencer, vérifiez que vous avez accès à Microsoft Defender XDR au moins en tant qu’administrateur de la sécurité et que vous disposez de l’une des licences suivantes :

  • Enterprise Mobility + Security E5 (EMS E5/A5).
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Sécurité Microsoft 365 E5/A5/G5/F5*
  • Sécurité + conformité Microsoft 365 F5*
  • Une licence autonome Defender pour Identity

* Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.

Vous pouvez acquérir des licences directement via le portail Microsoft 365 ou vous pouvez utiliser le modèle de licence Partenaire Solution Cloud (CSP).

Pour plus d’informations, consultez les FAQ sur les licences et la confidentialité et Quels sont les rôles et les autorisations de Defender pour Identity ?

Commencer à utiliser Microsoft Defender XDR

Cette section explique comment démarrer l’intégration à Defender pour Identity.

  1. Connectez-vous au portail Microsoft Defender.
  2. Dans le menu de navigation, sélectionnez un élément, comme Incidents & alertes, Hunting, Centre de notifications ou Threat Analytics pour initier le processus d’intégration.

Vous aurez la possibilité de déployer les services pris en charge, notamment Microsoft Defender pour Identity. Les composants cloud requis pour Defender pour Identity sont automatiquement ajoutés lorsque vous ouvrez la page des paramètres Defender pour Identity.

Pour plus d’informations, consultez l’article suivant :

Important

Actuellement, les centres de données de Defender for Identity sont déployés en Europe, au Royaume-Uni, en Suisse, en Amérique du Nord, en Amérique centrale et dans les Caraïbes, en Australie, en Asie et en Inde. Votre espace de travail (instance) est créé automatiquement dans la région Azure la plus proche de la localisation géographique de votre locataire Microsoft Entra. Une fois créés, les espaces de travail Defender pour Identity ne peuvent pas être déplacés.

Planifier et préparer

Procédez comme suit pour préparer le déploiement de Defender pour Identity :

  1. Assurez-vous que vous disposez de tous les prérequis nécessaires.

  2. Planifiez vos capacités de Defender pour Identity.

Conseil

Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.

Le lien vers le script Test-MdiReadiness.ps1 est également disponible depuis Microsoft Defender XDR, sur la page Identités > Outils (aperçu).

Déployer Defender pour Identity

Une fois que vous avez préparé votre système, procédez comme suit pour déployer Defender pour Identity :

  1. Vérifiez la connectivité au service Defender pour Identity.
  2. Téléchargez le capteur Defender pour Identity.
  3. Installez le capteur Defender pour Identity.
  4. Configurez le capteur Defender pour Identity pour commencer à recevoir des données.

Configuration postérieure au déploiement

Les procédures suivantes vous aident à terminer le processus de déploiement :

Conseil

Par défaut, les capteurs Defender pour Identity interrogent le répertoire à l’aide du protocole LDAP sur les ports 389 et 3268. Pour basculer vers LDAPS sur les ports 636 et 3269, ouvrez un cas d'assistance. Pour en savoir plus, consultez Prise en charge de Microsoft Defender pour Identity.

Important

L’installation d’un capteur Defender pour Identity sur des serveurs AD FS/AD CS et Entra Connect nécessite des étapes supplémentaires. Pour en savoir plus, consultez Configurer le serveur AD FS, AD CS et Entra Connect.

Étape suivante