Kimlik için Microsoft Defender önkoşulları
Bu makalede başarılı bir Kimlik için Microsoft Defender dağıtımının gereksinimleri açıklanmaktadır.
Lisanslama gereksinimleri
Kimlik için Defender'ın dağıtılması için aşağıdaki Microsoft 365 lisanslarından biri gerekir:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Güvenliği
- Microsoft 365 F5 Güvenlik + Uyumluluk*
- Tek başına Kimlik için Defender lisansı
* Her iki F5 lisansı için de Microsoft 365 F1/F3 veya Office 365 F3 ve Enterprise Mobility + Security E3 gerekir.
Lisansları doğrudan Microsoft 365 portalı üzerinden alın veya Bulut Çözümü İş Ortağı (CSP) lisans modelini kullanın.
Daha fazla bilgi için bkz . Lisanslama ve gizlilik hakkında SSS.
Gerekli izinler
Kimlik için Defender çalışma alanınızı oluşturmak için en az bir Güvenlik yöneticisine sahip bir Microsoft Entra ID kiracısı gerekir.
Microsoft Defender XDR Ayarları alanının Kimlik bölümüne erişmek ve çalışma alanını oluşturmak için kiracınızda en azından Güvenlik yöneticisi erişimine sahip olmanız gerekir.
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender rol grupları.
İzlenen etki alanlarındaki tüm nesnelere okuma erişimi olan en az bir Dizin Hizmeti hesabı kullanmanızı öneririz. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender için Dizin Hizmeti hesabı yapılandırma.
Bağlantı gereksinimleri
Kimlik için Defender algılayıcısının aşağıdaki yöntemlerden birini kullanarak Kimlik için Defender bulut hizmetiyle iletişim kurabilmesi gerekir:
| Metot | Açıklama | Dikkat edilmesi gerekenler | Daha fazla bilgi edinin |
|---|---|---|---|
| Ara sunucu ayarlama | İleriye doğru ara sunucu dağıtan müşteriler, MDI bulut hizmetine bağlantı sağlamak için ara sunucudan yararlanabilir. Bu seçeneği belirlerseniz, dağıtım işleminin ilerleyen bölümlerinde proxy'nizi yapılandıracaksınız. Ara sunucu yapılandırmaları, algılayıcı URL'sine giden trafiğe izin verme ve Kimlik için Defender URL'lerini ara sunucunuz veya güvenlik duvarınız tarafından kullanılan açık izin verilenler listesine yapılandırmayı içerir. |
Tek bir URL için İnternet erişimine izin verir SSL denetimi desteklenmiyor |
Uç nokta ara sunucusu ve internet bağlantısı ayarlarını yapılandırma Ara sunucu yapılandırmasıyla sessiz yükleme çalıştırma |
| ExpressRoute | ExpressRoute, MDI algılayıcı trafiğini müşterinin hızlı rotası üzerinden iletecek şekilde yapılandırılabilir. Kimlik için Defender bulut sunucularına yönelik ağ trafiğini yönlendirmek için ExpressRoute Microsoft eşlemesini kullanın ve Kimlik için Microsoft Defender (12076:5220) hizmeti BGP topluluğunuzu yol filtrenize ekleyin. |
ExpressRoute gerektirir | BGP topluluk değerine hizmet |
| Kimlik için Defender Azure IP adreslerini kullanan güvenlik duvarı | Ara sunucusu veya ExpressRoute'u olmayan müşteriler, güvenlik duvarlarını MDI bulut hizmetine atanmış IP adresleriyle yapılandırabilir. Bunun için müşterinin MDI bulut hizmeti tarafından kullanılan IP adreslerindeki değişiklikler için Azure IP adresi listesini izlemesi gerekir. Bu seçeneği belirlerseniz Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut dosyasını indirmenizi ve ilgili IP adreslerini eklemek için AzureAdvancedThreatProtection hizmet etiketini kullanmanızı öneririz. |
Müşterinin Azure IP atamalarını izlemesi gerekir | Sanal ağ hizmet etiketleri |
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender mimarisi.
Algılayıcı gereksinimleri ve önerileri
Aşağıdaki tabloda, Kimlik için Defender algılayıcısını yükleyebileceğiniz etki alanı denetleyicisi, AD FS, AD CS, Entra Connect sunucusuna yönelik gereksinimler ve öneriler özetlenmiştir.
| Önkoşul / Öneri | Açıklama |
|---|---|
| Özellikler | Kimlik için Defender'ı Windows sürüm 2016 veya üzeri bir etki alanı denetleyicisi sunucusuna en az şunlarla yüklediğinizden emin olun: - 2 çekirdek - 6 GB RAM - Kimlik için Defender ikili dosyaları ve günlükleri için alan da dahil olmak üzere 6 GB disk alanı gerekir, 10 GB önerilir Kimlik için Defender salt okunur etki alanı denetleyicilerini (RODC) destekler. |
| Performans | En iyi performans için, Kimlik için Defender algılayıcısını çalıştıran makinenin Güç Seçeneği'ni Yüksek Performans olarak ayarlayın. |
| Ağ arabirimi yapılandırması | VMware sanal makineleri kullanıyorsanız, sanal makinenin NIC yapılandırmasında Büyük Gönderme Boşaltma (LSO) seçeneğinin devre dışı bırakıldığından emin olun. Diğer ayrıntılar için bkz . VMware sanal makine algılayıcı sorunu . |
| Bakım penceresi | Yükleme çalışıyorsa ve yeniden başlatma zaten bekliyorsa veya .NET Framework'ün yüklenmesi gerekiyorsa yeniden başlatma gerekebileceğinden, etki alanı denetleyicileriniz için bir bakım penceresi zamanlamanızı öneririz. .NET Framework sürüm 4.7 veya üzeri sistemde zaten bulunamadıysa, .NET Framework sürüm 4.7 yüklüdür ve yeniden başlatma gerektirebilir. |
En düşük işletim sistemi gereksinimleri
Kimlik için Defender algılayıcıları aşağıdaki işletim sistemlerine yüklenebilir:
- Windows Server 2016
- Windows Server 2019. KB4487044 veya daha yeni bir toplu güncelleştirme gerektirir. Bu güncelleştirme olmadan Server 2019'da yüklü olan algılayıcılar, sistem dizininde bulunan ntdsai.dll dosya sürümü 10.0.17763.316'dan eskiyse otomatik olarak durdurulur
- Windows Server 2022
Tüm işletim sistemleri için:
- Hem masaüstü deneyimine sahip sunucular hem de sunucu çekirdekleri desteklenir.
- Nano sunucular desteklenmez.
- Yüklemeler etki alanı denetleyicileri, AD FS ve AD CS sunucuları için desteklenir.
Eski işletim sistemleri
Windows Server 2012 ve Windows Server 2012 R2, 10 Ekim 2023'te genişletilmiş destek sonuna ulaşmıştır.
Microsoft artık Windows Server 2012 ve Windows Server 2012 R2 çalıştıran cihazlarda Kimlik için Defender algılayıcısını desteklemediğinden bu sunucuları yükseltmeyi planlamanızı öneririz.
Bu işletim sistemlerinde çalışan algılayıcılar Kimlik için Defender'a rapor göndermeye ve hatta algılayıcı güncelleştirmelerini almaya devam eder, ancak işletim sistemi özelliklerine bağlı olabilecek yeni işlevlerden bazıları kullanılamayacaktır.
Gerekli bağlantı noktaları
| Protokol | Taşıma | Bağlantı noktası | Başlangıç | İşlem |
|---|---|---|---|---|
| İnternet bağlantı noktaları | ||||
| SSL (*.atp.azure.com) Alternatif olarak, bir ara sunucu üzerinden erişimi yapılandırın. |
TCP | 443 | Kimlik için Defender algılayıcısı | Kimlik için Defender bulut hizmeti |
| İç bağlantı noktaları | ||||
| DNS | TCP ve UDP | 53 | Kimlik için Defender algılayıcısı | DNS Sunucuları |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
| YARIÇAP | UDP | 1813 | RADIUS | Kimlik için Defender algılayıcısı |
| Localhost bağlantı noktaları: Algılayıcı hizmeti güncelleştiricisi için gereklidir Varsayılan olarak, özel bir güvenlik duvarı ilkesi engellemediği sürece localhost'un localhost trafiğine izin verilir. |
||||
| SSL | TCP | 444 | Algılayıcı hizmeti | Algılayıcı güncelleştirici hizmeti |
| Ağ Adı Çözümleme (NNR) bağlantı noktaları IP adreslerini bilgisayar adlarına çözümlemek için listelenen tüm bağlantı noktalarını açmanızı öneririz. Ancak, yalnızca bir bağlantı noktası gereklidir. |
||||
| RPC üzerinden NTLM | TCP | Bağlantı noktası 135 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
| NetBIOS | UDP | 137 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
| RDP YALNıZCA ilk İstemci hello paketi, IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgular (UDP 53) |
TCP | 3389 | Kimlik için Defender algılayıcısı | Ağdaki tüm cihazlar |
Birden çok ormanla çalışıyorsanız, Kimlik için Defender algılayıcısının yüklü olduğu herhangi bir makinede aşağıdaki bağlantı noktalarının açıldığından emin olun:
| Protokol | Taşıma | Liman | Son/Kimden | Yön |
|---|---|---|---|---|
| İnternet bağlantı noktaları | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Kimlik için Defender bulut hizmeti | Giden |
| İç bağlantı noktaları | ||||
| LDAP | TCP ve UDP | 389 | Etki alanı denetleyicileri | Giden |
| Güvenli LDAP (LDAPS) | TCP | 636 | Etki alanı denetleyicileri | Giden |
| LDAP'nden Genel Kataloğa | TCP | 3268 | Etki alanı denetleyicileri | Giden |
| LDAPS'nden Genel Kataloğa | TCP | 3269 | Etki alanı denetleyicileri | Giden |
Dinamik bellek gereksinimleri
Aşağıdaki tabloda, kullandığınız sanallaştırma türüne bağlı olarak Kimlik için Defender algılayıcısı için kullanılan sunucudaki bellek gereksinimleri açıklanmaktadır:
| Vm üzerinde çalışıyor | Açıklama |
|---|---|
| Hyper-V | Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun. |
| VMware | Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarlarında Tüm konuk belleğini ayır (Tümü kilitli) seçeneğini belirleyin. |
| Diğer sanallaştırma konağı | Belleğin vm'ye her zaman tam olarak ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın. |
Önemli
Sanal makine olarak çalışırken, tüm bellek her zaman sanal makineye ayrılmalıdır.
Zaman eşitlemesi
Algılayıcının yüklendiği sunucuların ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanı olmalıdır.
Önkoşullarınızı test edin
Ortamınızın gerekli önkoşullara sahip olup olmadığını test etmek ve görmek için Test-MdiReadiness.ps1 betiğini çalıştırmanızı öneririz.
Test-MdiReadiness.ps1 betiğinin bağlantısı Microsoft Defender XDR'de, Kimlik Araçları > sayfasında (Önizleme) de bulunabilir.
İlgili içerik
Bu makalede, temel yükleme için gereken önkoşullar listelenir. Bir AD FS / AD CS sunucusuna veya Entra Connect'e yüklenirken, birden çok Active Directory ormanlarını desteklemek için veya tek başına Kimlik için Defender algılayıcısı yüklerken ek önkoşullar gereklidir.
Daha fazla bilgi için bkz.
- AD FS ve AD CS sunucularında Kimlik için Microsoft Defender dağıtma
- Kimlik için Microsoft Defender çoklu orman desteği
- Tek başına algılayıcı önkoşullarını Kimlik için Microsoft Defender
- Kimlik için Defender mimarisi