Kimlik için Microsoft Defender önkoşulları

Bu makalede başarılı bir Kimlik için Microsoft Defender dağıtımının gereksinimleri açıklanmaktadır.

Lisanslama gereksinimleri

Kimlik için Defender'ın dağıtılması için aşağıdaki Microsoft 365 lisanslarından biri gerekir:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Güvenliği
  • Microsoft 365 F5 Güvenlik + Uyumluluk*
  • Tek başına Kimlik için Defender lisansı

* Her iki F5 lisansı için de Microsoft 365 F1/F3 veya Office 365 F3 ve Enterprise Mobility + Security E3 gerekir.

Lisansları doğrudan Microsoft 365 portalı üzerinden alın veya Bulut Çözümü İş Ortağı (CSP) lisans modelini kullanın.

Daha fazla bilgi için bkz . Lisanslama ve gizlilik hakkında SSS.

Gerekli izinler

  • Kimlik için Defender çalışma alanınızı oluşturmak için en az bir Güvenlik yöneticisine sahip bir Microsoft Entra ID kiracısı gerekir.

    Microsoft Defender XDR Ayarları alanının Kimlik bölümüne erişmek ve çalışma alanını oluşturmak için kiracınızda en azından Güvenlik yöneticisi erişimine sahip olmanız gerekir.

    Daha fazla bilgi için bkz. Kimlik için Microsoft Defender rol grupları.

  • İzlenen etki alanlarındaki tüm nesnelere okuma erişimi olan en az bir Dizin Hizmeti hesabı kullanmanızı öneririz. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender için Dizin Hizmeti hesabı yapılandırma.

Bağlantı gereksinimleri

Kimlik için Defender algılayıcısının aşağıdaki yöntemlerden birini kullanarak Kimlik için Defender bulut hizmetiyle iletişim kurabilmesi gerekir:

Metot Açıklama Dikkat edilmesi gerekenler Daha fazla bilgi edinin
Ara sunucu ayarlama İleriye doğru ara sunucu dağıtan müşteriler, MDI bulut hizmetine bağlantı sağlamak için ara sunucudan yararlanabilir.

Bu seçeneği belirlerseniz, dağıtım işleminin ilerleyen bölümlerinde proxy'nizi yapılandıracaksınız. Ara sunucu yapılandırmaları, algılayıcı URL'sine giden trafiğe izin verme ve Kimlik için Defender URL'lerini ara sunucunuz veya güvenlik duvarınız tarafından kullanılan açık izin verilenler listesine yapılandırmayı içerir.
Tek bir URL için İnternet erişimine izin verir

SSL denetimi desteklenmiyor
Uç nokta ara sunucusu ve internet bağlantısı ayarlarını yapılandırma

Ara sunucu yapılandırmasıyla sessiz yükleme çalıştırma
ExpressRoute ExpressRoute, MDI algılayıcı trafiğini müşterinin hızlı rotası üzerinden iletecek şekilde yapılandırılabilir.

Kimlik için Defender bulut sunucularına yönelik ağ trafiğini yönlendirmek için ExpressRoute Microsoft eşlemesini kullanın ve Kimlik için Microsoft Defender (12076:5220) hizmeti BGP topluluğunuzu yol filtrenize ekleyin.
ExpressRoute gerektirir BGP topluluk değerine hizmet
Kimlik için Defender Azure IP adreslerini kullanan güvenlik duvarı Ara sunucusu veya ExpressRoute'u olmayan müşteriler, güvenlik duvarlarını MDI bulut hizmetine atanmış IP adresleriyle yapılandırabilir. Bunun için müşterinin MDI bulut hizmeti tarafından kullanılan IP adreslerindeki değişiklikler için Azure IP adresi listesini izlemesi gerekir.

Bu seçeneği belirlerseniz Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut dosyasını indirmenizi ve ilgili IP adreslerini eklemek için AzureAdvancedThreatProtection hizmet etiketini kullanmanızı öneririz.
Müşterinin Azure IP atamalarını izlemesi gerekir Sanal ağ hizmet etiketleri

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender mimarisi.

Algılayıcı gereksinimleri ve önerileri

Aşağıdaki tabloda, Kimlik için Defender algılayıcısını yükleyebileceğiniz etki alanı denetleyicisi, AD FS, AD CS, Entra Connect sunucusuna yönelik gereksinimler ve öneriler özetlenmiştir.

Önkoşul / Öneri Açıklama
Özellikler Kimlik için Defender'ı Windows sürüm 2016 veya üzeri bir etki alanı denetleyicisi sunucusuna en az şunlarla yüklediğinizden emin olun:

- 2 çekirdek
- 6 GB RAM
- Kimlik için Defender ikili dosyaları ve günlükleri için alan da dahil olmak üzere 6 GB disk alanı gerekir, 10 GB önerilir

Kimlik için Defender salt okunur etki alanı denetleyicilerini (RODC) destekler.
Performans En iyi performans için, Kimlik için Defender algılayıcısını çalıştıran makinenin Güç Seçeneği'ni Yüksek Performans olarak ayarlayın.
Ağ arabirimi yapılandırması VMware sanal makineleri kullanıyorsanız, sanal makinenin NIC yapılandırmasında Büyük Gönderme Boşaltma (LSO) seçeneğinin devre dışı bırakıldığından emin olun. Diğer ayrıntılar için bkz . VMware sanal makine algılayıcı sorunu .
Bakım penceresi Yükleme çalışıyorsa ve yeniden başlatma zaten bekliyorsa veya .NET Framework'ün yüklenmesi gerekiyorsa yeniden başlatma gerekebileceğinden, etki alanı denetleyicileriniz için bir bakım penceresi zamanlamanızı öneririz.

.NET Framework sürüm 4.7 veya üzeri sistemde zaten bulunamadıysa, .NET Framework sürüm 4.7 yüklüdür ve yeniden başlatma gerektirebilir.

En düşük işletim sistemi gereksinimleri

Kimlik için Defender algılayıcıları aşağıdaki işletim sistemlerine yüklenebilir:

  • Windows Server 2016
  • Windows Server 2019. KB4487044 veya daha yeni bir toplu güncelleştirme gerektirir. Bu güncelleştirme olmadan Server 2019'da yüklü olan algılayıcılar, sistem dizininde bulunan ntdsai.dll dosya sürümü 10.0.17763.316'dan eskiyse otomatik olarak durdurulur
  • Windows Server 2022

Tüm işletim sistemleri için:

  • Hem masaüstü deneyimine sahip sunucular hem de sunucu çekirdekleri desteklenir.
  • Nano sunucular desteklenmez.
  • Yüklemeler etki alanı denetleyicileri, AD FS ve AD CS sunucuları için desteklenir.

Eski işletim sistemleri

Windows Server 2012 ve Windows Server 2012 R2, 10 Ekim 2023'te genişletilmiş destek sonuna ulaşmıştır.

Microsoft artık Windows Server 2012 ve Windows Server 2012 R2 çalıştıran cihazlarda Kimlik için Defender algılayıcısını desteklemediğinden bu sunucuları yükseltmeyi planlamanızı öneririz.

Bu işletim sistemlerinde çalışan algılayıcılar Kimlik için Defender'a rapor göndermeye ve hatta algılayıcı güncelleştirmelerini almaya devam eder, ancak işletim sistemi özelliklerine bağlı olabilecek yeni işlevlerden bazıları kullanılamayacaktır.

Gerekli bağlantı noktaları

Protokol Taşıma Bağlantı noktası Başlangıç İşlem
İnternet bağlantı noktaları
SSL (*.atp.azure.com)

Alternatif olarak, bir ara sunucu üzerinden erişimi yapılandırın.
TCP 443 Kimlik için Defender algılayıcısı Kimlik için Defender bulut hizmeti
İç bağlantı noktaları
DNS TCP ve UDP 53 Kimlik için Defender algılayıcısı DNS Sunucuları
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Kimlik için Defender algılayıcısı Ağdaki tüm cihazlar
YARIÇAP UDP 1813 RADIUS Kimlik için Defender algılayıcısı
Localhost bağlantı noktaları: Algılayıcı hizmeti güncelleştiricisi için gereklidir

Varsayılan olarak, özel bir güvenlik duvarı ilkesi engellemediği sürece localhost'un localhost trafiğine izin verilir.
SSL TCP 444 Algılayıcı hizmeti Algılayıcı güncelleştirici hizmeti
Ağ Adı Çözümleme (NNR) bağlantı noktaları

IP adreslerini bilgisayar adlarına çözümlemek için listelenen tüm bağlantı noktalarını açmanızı öneririz. Ancak, yalnızca bir bağlantı noktası gereklidir.
RPC üzerinden NTLM TCP Bağlantı noktası 135 Kimlik için Defender algılayıcısı Ağdaki tüm cihazlar
NetBIOS UDP 137 Kimlik için Defender algılayıcısı Ağdaki tüm cihazlar
RDP

YALNıZCA ilk İstemci hello paketi, IP adresinin ters DNS aramasını kullanarak DNS sunucusunu sorgular (UDP 53)
TCP 3389 Kimlik için Defender algılayıcısı Ağdaki tüm cihazlar

Birden çok ormanla çalışıyorsanız, Kimlik için Defender algılayıcısının yüklü olduğu herhangi bir makinede aşağıdaki bağlantı noktalarının açıldığından emin olun:

Protokol Taşıma Liman Son/Kimden Yön
İnternet bağlantı noktaları
SSL (*.atp.azure.com) TCP 443 Kimlik için Defender bulut hizmeti Giden
İç bağlantı noktaları
LDAP TCP ve UDP 389 Etki alanı denetleyicileri Giden
Güvenli LDAP (LDAPS) TCP 636 Etki alanı denetleyicileri Giden
LDAP'nden Genel Kataloğa TCP 3268 Etki alanı denetleyicileri Giden
LDAPS'nden Genel Kataloğa TCP 3269 Etki alanı denetleyicileri Giden

Dinamik bellek gereksinimleri

Aşağıdaki tabloda, kullandığınız sanallaştırma türüne bağlı olarak Kimlik için Defender algılayıcısı için kullanılan sunucudaki bellek gereksinimleri açıklanmaktadır:

Vm üzerinde çalışıyor Açıklama
Hyper-V Vm için Dinamik Belleği Etkinleştir'in etkinleştirilmediğinden emin olun.
VMware Yapılandırılan bellek miktarının ve ayrılmış belleğin aynı olduğundan emin olun veya VM ayarlarında Tüm konuk belleğini ayır (Tümü kilitli) seçeneğini belirleyin.
Diğer sanallaştırma konağı Belleğin vm'ye her zaman tam olarak ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın.

Önemli

Sanal makine olarak çalışırken, tüm bellek her zaman sanal makineye ayrılmalıdır.

Zaman eşitlemesi

Algılayıcının yüklendiği sunucuların ve etki alanı denetleyicilerinin birbirine beş dakika içinde eşitlenmiş zamanı olmalıdır.

Önkoşullarınızı test edin

Ortamınızın gerekli önkoşullara sahip olup olmadığını test etmek ve görmek için Test-MdiReadiness.ps1 betiğini çalıştırmanızı öneririz.

Test-MdiReadiness.ps1 betiğinin bağlantısı Microsoft Defender XDR'de, Kimlik Araçları > sayfasında (Önizleme) de bulunabilir.

Bu makalede, temel yükleme için gereken önkoşullar listelenir. Bir AD FS / AD CS sunucusuna veya Entra Connect'e yüklenirken, birden çok Active Directory ormanlarını desteklemek için veya tek başına Kimlik için Defender algılayıcısı yüklerken ek önkoşullar gereklidir.

Daha fazla bilgi için bkz.

Sonraki adım