prerequisiti Microsoft Defender per identità

Questo articolo descrive i requisiti per una corretta distribuzione di Microsoft Defender per identità.

Requisiti di licenza

La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Sicurezza di Microsoft 365 E5/A5/G5/F5*
  • Sicurezza e conformità di Microsoft 365 F5*
  • Una licenza autonoma di Defender per identità

* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 ed Enterprise Mobility + Security E3.

Acquisire le licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).

Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.

Autorizzazioni necessarie

Requisiti di connettività

Il sensore Defender per identità deve essere in grado di comunicare con il servizio cloud Defender per identità, usando uno dei metodi seguenti:

metodo Descrizione Considerazioni Altre informazioni
Configurare un proxy I clienti che dispongono di un proxy di inoltro distribuito possono sfruttare il proxy per fornire la connettività al servizio cloud MDI.

Se si sceglie questa opzione, il proxy verrà configurato in un secondo momento nel processo di distribuzione. Le configurazioni proxy includono consentire il traffico verso l'URL del sensore e configurare GLI URL di Defender per identità a qualsiasi elenco di indirizzi consentiti espliciti usato dal proxy o dal firewall.
Consente l'accesso a Internet per un singolo URL

L'ispezione SSL non è supportata
Configurare le impostazioni di connettività Internet e proxy dell'endpoint

Eseguire un'installazione invisibile all'utente con una configurazione proxy
ExpressRoute ExpressRoute può essere configurato per inoltrare il traffico del sensore MDI sulla route express del cliente.

Per instradare il traffico di rete destinato ai server cloud Defender per identità, usare il peering Microsoft ExpressRoute e aggiungere la Microsoft Defender per identità community BGP del servizio BGP (12076:1206:5220).
Richiede ExpressRoute Valore della community da servizio a BGP
Firewall, uso degli indirizzi IP di Azure defender per identità I clienti che non hanno un proxy o ExpressRoute possono configurare il firewall con gli indirizzi IP assegnati al servizio cloud MDI. Ciò richiede che il cliente monitori l'elenco di indirizzi IP di Azure per eventuali modifiche apportate agli indirizzi IP usati dal servizio cloud MDI.

Se si sceglie questa opzione, è consigliabile scaricare i tag di servizio e intervalli IP di Azure - Cloud pubblico e usare il tag del servizio AzureAdvancedThreatProtection per aggiungere gli indirizzi IP pertinenti.
Il cliente deve monitorare le assegnazioni ip di Azure Tag del servizio di rete virtuale

Per altre informazioni, vedere architettura Microsoft Defender per identità.

Requisiti e raccomandazioni dei sensori

La tabella seguente riepiloga i requisiti e le raccomandazioni per il controller di dominio, AD FS, AD CS, Entra Connect server in cui si installerà il sensore Defender per identità.

Prerequisito/Raccomandazione Descrizione
Indicazioni Assicurarsi di installare Defender per identità in Windows versione 2016 o successiva in un server controller di dominio con almeno:

- 2 core
- 6 GB di RAM
- 6 GB di spazio su disco richiesto, 10 GB consigliati, incluso lo spazio per i file binari e i log di Defender per identità

Defender per identità supporta controller di dominio di sola lettura.
Prestazioni Per prestazioni ottimali, impostare l'opzione di alimentazione del computer che esegue il sensore Defender per identità su Prestazioni elevate.
Configurazione dell'interfaccia di rete Se si usano macchine virtuali VMware, assicurarsi che la configurazione della scheda di interfaccia di rete della macchina virtuale sia disabilitata. Per altri dettagli, vedere Problema del sensore di macchine virtuali VMware.
Finestra di manutenzione È consigliabile pianificare una finestra di manutenzione per i controller di dominio, perché potrebbe essere necessario riavviare se l'installazione viene eseguita e un riavvio è già in sospeso o se .NET Framework deve essere installato.

Se .NET Framework versione 4.7 o successiva non è già stato trovato nel sistema, .NET Framework versione 4.7 è installato e potrebbe richiedere un riavvio.

Requisiti minimi del sistema operativo

I sensori defender per identità possono essere installati nei sistemi operativi seguenti:

  • Windows Server 2016
  • Windows Server 2019. Richiede KB4487044 o un aggiornamento cumulativo più recente. I sensori installati in Server 2019 senza questo aggiornamento verranno arrestati automaticamente se la versione del file ntdsai.dll presente nella directory di sistema è precedente alla 10.0.17763.316
  • Windows Server 2022

Per tutti i sistemi operativi:

  • Sono supportati entrambi i server con esperienza desktop e core server.
  • I nano server non sono supportati.
  • Le installazioni sono supportate per controller di dominio, AD FS e server Servizi certificati Active Directory.

Sistemi operativi legacy

Windows Server 2012 e Windows Server 2012 R2 hanno raggiunto la fine estesa del supporto il 10 ottobre 2023.

È consigliabile aggiornare tali server perché Microsoft non supporta più il sensore Defender per identità nei dispositivi che eseguono Windows Server 2012 e Windows Server 2012 R2.

I sensori in esecuzione in questi sistemi operativi continueranno a segnalare a Defender per identità e ricevere anche gli aggiornamenti dei sensori, ma alcune delle nuove funzionalità non saranno disponibili perché potrebbero basarsi sulle funzionalità del sistema operativo.

Porte richieste

Protocollo Trasporto Porta Da Per
Porte Internet
SSL (*.atp.azure.com)

In alternativa, configurare l'accesso tramite un proxy.
TCP 443 Sensore defender per identità Servizio cloud Defender per identità
Porte interne
DNS TCP e UDP 53 Sensore defender per identità DNS server
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Sensore defender per identità Tutti i dispositivi in rete
RADIUS UDP 1813 RADIUS Sensore defender per identità
Porte Localhost: obbligatorio per l'aggiornamento del servizio sensore

Per impostazione predefinita, il traffico localhost a localhost è consentito a meno che un criterio del firewall personalizzato non lo blocchi.
SSL TCP 444 Servizio sensore Servizio di aggiornamento dei sensori
Porte NNR (Network Name Resolution)

Per risolvere gli indirizzi IP nei nomi dei computer, è consigliabile aprire tutte le porte elencate. Tuttavia, è necessaria una sola porta.
NTLM su RPC TCP Porta 135 Sensore defender per identità Tutti i dispositivi in rete
NetBIOS UDP 137 Sensore defender per identità Tutti i dispositivi in rete
RDP

Solo il primo pacchetto di Client hello esegue una query sul server DNS usando la ricerca DNS inversa dell'indirizzo IP (UDP 53)
TCP 3389 Sensore defender per identità Tutti i dispositivi in rete

Se si usano più foreste, assicurarsi che le porte seguenti vengano aperte in qualsiasi computer in cui è installato un sensore defender per identità:

Protocollo Trasporto Porto Verso/Da Direzione
Porte Internet
SSL (*.atp.azure.com) TCP 443 Servizio cloud Defender per identità In uscita
Porte interne
LDAP TCP e UDP 389 Controller di dominio In uscita
LDAP sicuro (LDAPS) TCP 636 Controller di dominio In uscita
LDAP to Global Catalog TCP 3268 Controller di dominio In uscita
LDAPS to Global Catalog TCP 3269 Controller di dominio In uscita

Requisiti di memoria dinamica

La tabella seguente descrive i requisiti di memoria nel server usato per il sensore defender per identità, a seconda del tipo di virtualizzazione in uso:

Macchina virtuale in esecuzione in Descrizione
Hyper-V Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale.
VMware Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutti bloccati) nelle impostazioni della macchina virtuale.
Altro host di virtualizzazione Fare riferimento alla documentazione fornita dal fornitore su come assicurarsi che la memoria sia completamente allocata alla macchina virtuale in qualsiasi momento.

Importante

Quando si esegue come macchina virtuale, è necessario allocare sempre tutta la memoria alla macchina virtuale.

Sincronizzazione dell'ora

I server e i controller di dominio in cui è installato il sensore devono avere tempo sincronizzato tra loro entro cinque minuti.

Testare i prerequisiti

È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente ha i prerequisiti necessari.

Il collegamento allo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).

Questo articolo elenca i prerequisiti necessari per un'installazione di base. Per supportare più foreste di Active Directory o quando si installa un sensore autonomo Defender per identità, sono necessari prerequisiti aggiuntivi durante l'installazione in un server AD FS/AD CS o Entra Connect.

Per altre informazioni, vedi:

Passaggio successivo