Prérequis pour Microsoft Defender pour Identity

Cet article décrit les conditions requises pour un déploiement réussi de Microsoft Defender pour Identity/

Conditions de licence requises

Le déploiement de Defender pour Identity nécessite l’une des licences Microsoft 365 suivantes :

  • Enterprise Mobility + Security E5 (EMS E5/A5).
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Sécurité Microsoft 365 E5/A5/G5/F5*
  • Sécurité + conformité Microsoft 365 F5*
  • Une licence autonome Defender pour Identity

* Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.

Vous pouvez acquérir des licences directement via le portail Microsoft 365 ou vous pouvez utiliser le modèle de licence Partenaire Solution Cloud (CSP).

Pour plus d’informations, consultez FAQ sur les licences et la confidentialité.

Autorisations requises

Connectivité requise

Le capteur Defender pour Identity doit être en mesure de communiquer avec le service cloud Defender pour Identity à l’aide de l’une des méthodes suivantes :

Méthode Description À propos de l’installation En savoir plus
Configurer un proxy Les clients disposant d’un proxy de transfert peuvent tirer parti du proxy pour fournir une connectivité au service cloud MDI.

Si vous choisissez cette option, vous allez configurer votre proxy ultérieurement dans le processus de déploiement. Les configurations de proxy comprennent l’autorisation du trafic vers l’URL du capteur, et la configuration des URL de Defender for Identity sur toutes les listes d’autorisations explicites utilisées par votre proxy ou pare-feu.
Autorise l’accès à Internet pour une URL unique

L’inspection SSL n’est pas prise en charge
Configurer les paramètres de connectivité Internet et de proxy du point de terminaison

Exécuter une installation sans assistance avec une configuration de proxy
ExpressRoute ExpressRoute peut être configuré pour transférer le trafic des capteurs MDI via l’ExpressRoute du client.

Pour router le trafic réseau destiné aux serveurs cloud Defender pour Identity, utilisez le peering Microsoft ExpressRoute et ajoutez la communauté BGP du service Microsoft Defender pour Identity (12076:5220) à votre filtre de routage.
Nécessite ExpressRoute Service associé à la valeur de communauté BGP
Pare-feu, à l’aide des adresses IP Azure Defender pour Identity Les clients qui n’ont pas de proxy ou d’ExpressRoute peuvent configurer leur pare-feu avec les adresses IP assignées au service cloud MDI. Cela nécessite que le client surveille la liste d’adresses IP Azure pour toute modification des adresses IP utilisées par le service cloud MDI.

Si vous avez choisi cette option, nous vous recommandons de télécharger le fichier Plages d’adresses IP Azure et étiquettes de service : cloud public et d’utiliser l’étiquette de service AzureAdvancedThreatProtection pour ajouter les adresses IP appropriées.
Le client doit surveiller les affectations d’adresses IP Azure Balises de service du réseau virtuel

Pour plus d’informations, consultez Architecture de Microsoft Defender pour Identity.

Exigences et recommandations relatives au capteur

Le tableau suivant résume les exigences et recommandations pour le contrôleur de domaine, AD FS, AD CS, serveur Entra Connect où vous installerez le capteur Defender pour l’identité.

Prérequis/recommandation Description
Spécifications Veillez à installer Defender pour Identity sur Windows version 2016 ou ultérieure, sur un serveur de contrôleur de domaine avec la configuration minimale suivante :

– 2 cœurs
- 6 Go de RAM
- 6 Go d’espace disque requis, 10 Go recommandés, y compris l’espace pour les binaires et les journaux Defender pour Identity

Defender pour Identity prend en charge les contrôleurs de domaine en lecture seule (RODC).
Niveau de performance Pour des performances optimales, choisissez Hautes performances comme Option d’alimentation de la machine exécutant le capteur Defender pour Identity.
Configuration d’interface réseau Si vous utilisez des machines virtuelles VMware, assurez-vous que la configuration NIC de la machine virtuelle a la fonction Large Send Offload (LSO) désactivée. Veuillez consulter la section Problème du capteur de machine virtuelle VMware pour plus de détails.
Fenêtre de maintenance Nous vous recommandons de planifier une fenêtre de maintenance pour vos contrôleurs de domaine, car un redémarrage peut être nécessaire si l’installation s’exécute et qu’un redémarrage est déjà en attente, ou si .NET Framework doit être installé.

Si .NET Framework version 4.7 ou ultérieure n’est pas déjà présent sur le système, .NET Framework version 4.7 est installé et peut nécessiter un redémarrage.

Configuration requise minimale du système d’exploitation

Les capteurs Defender pour Identity peuvent être installés sur les systèmes d’exploitation suivants :

  • Windows Server 2016
  • Windows Server 2019. Nécessite KB4487044 ou une mise à jour cumulative plus récente. Les capteurs installés sur Server 2019 sans cette mise à jour sont automatiquement arrêtés si la version du fichier ntdsai.dll trouvée dans le répertoire du système est antérieure à 10.0.17763.316
  • Windows Server 2022

Pour tous les systèmes d’exploitation :

  • Les serveurs avec l’expérience utilisateur et les cœurs de serveur sont pris en charge.
  • Les serveurs Nano ne sont pas pris en charge.
  • Les installations sont prises en charge pour les contrôleurs de domaine, les serveurs AD FS et AD CS.

Systèmes d’exploitation hérités

Windows Server 2012 et Windows Server 2012 R2 ont atteint la fin de leur prise en charge étendue le 10 octobre 2023.

Nous vous recommandons de planifier la mise à niveau de ces serveurs, car Microsoft ne prend plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2012 et Windows Server 2012 R2.

Les capteurs s’exécutant sur ces systèmes d’exploitation continueront de faire un rapport à Defender pour Identity et même de recevoir les mises à jour des capteurs, mais certaines des nouvelles fonctionnalités ne seront pas disponibles, car elles peuvent s’appuyer sur les fonctionnalités du système d’exploitation.

Ports requis

Protocole Transport Port De Pour
Ports internet
SSL (*.atp.azure.com)

De plus, vous pouvez configurer l’accès via un proxy.
TCP 443 Capteur Defender pour Identity Service cloud Defender pour Identity
Ports internes
DNS TCP et UDP 53 Capteur Defender pour Identity Serveurs DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Capteur Defender pour Identity Tous les appareils sur le réseau
RADIUS UDP 1813 RADIUS Capteur Defender pour Identity
Ports Localhost : requis pour le gestionnaire de mise à jour du service de capteur

Par défaut, le trafic localhost vers localhost est autorisé, sauf s’il est bloqué par une stratégie de pare-feu personnalisée.
SSL TCP 444 Service de capteur Service de mise à jour du capteur
Ports de résolution de nom réseau (NNR)

Pour résoudre les adresses IP en noms d’ordinateurs, nous vous recommandons d’ouvrir tous les ports répertoriés. Toutefois, un seul port est requis.
NTLM sur RPC TCP Port 135 Capteur Defender pour Identity Tous les appareils sur le réseau
NetBIOS UDP 137 Capteur Defender pour Identity Tous les appareils sur le réseau
RDP

Seul le premier paquet du client hello interroge le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53)
TCP 3389 Capteur Defender pour Identity Tous les appareils sur le réseau

Si vous utilisez plusieurs forêts, vérifiez que les ports suivants sont ouverts sur n’importe quel ordinateur sur lequel un capteur Defender pour Identity est installé :

Protocol Transport Port Vers/De Sens
Ports internet
SSL (*.atp.azure.com) TCP 443 Service cloud Defender pour Identity Règle de trafic sortant
Ports internes
LDAP TCP et UDP 389 Contrôleurs de domaine Règle de trafic sortant
LDAP sécurisé (LDAPS) TCP 636 Contrôleurs de domaine Règle de trafic sortant
LDAP vers le catalogue global TCP 3268 Contrôleurs de domaine Règle de trafic sortant
LDAPS vers le catalogue global TCP 3269 Contrôleurs de domaine Règle de trafic sortant

Configuration requise pour la mémoire dynamique

Le tableau suivant décrit les exigences en termes de mémoire sur le serveur utilisé pour le capteur Defender pour Identity, en fonction du type de virtualisation que vous utilisez :

Exécution de l’ordinateur virtuel Description
Hyper-V Vérifiez que Activer la mémoire dynamique n’est pas activé pour la machine virtuelle.
VMware Assurez-vous que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option Réserver toute la mémoire de l’invité (toutes verrouillées) dans les paramètres de l’ordinateur virtuel.
Autre hôte de virtualisation Reportez-vous à la documentation fournie par le fournisseur sur la façon de s’assurer que la mémoire est entièrement allouée à l’ordinateur virtuel à tout moment.

Important

Lors de l’exécution en tant que machine virtuelle, toutes les mémoires doivent être allouées à la machine virtuelle à tout moment.

Synchronisation de l’heure

Les serveurs et contrôleurs de domaine sur lesquels le capteur est installé doivent être synchronisés à cinq minutes près.

Tester vos prérequis

Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.

Le lien vers le script Test-MdiReadiness.ps1 est également disponible depuis Microsoft Defender XDR, sur la page Identités > Outils (aperçu).

Cet article répertorie les conditions préalables requises pour une installation de base. Des prérequis supplémentaires sont nécessaires lors de l’installation sur un serveur AD FS / AD CS ou Entra Connect, pour prendre en charge plusieurs forêts Active Directory, ou lorsque vous installez un capteur Defender pour l’identité autonome.

Pour plus d’informations, consultez l’article suivant :

Étape suivante