本文介绍安装 Microsoft Defender for Identity 传感器 v2.x 的要求。
许可要求
部署 Defender for Identity 需要以下Microsoft 365 个许可证之一:
- 企业移动性 + 安全性 E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5*安全
- Microsoft 365 F5 安全性 + 合规性*
- 独立的 Defender for Identity 许可证
* F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企业移动性 + 安全性 E3。
直接通过 Microsoft 365 门户 获取许可证,或使用云解决方案合作伙伴 (CSP) 许可模型。
有关详细信息,请参阅 许可和隐私常见问题解答。
角色和权限
- 若要创建 Defender for Identity 工作区,需要Microsoft Entra ID租户。
- 必须具有具有 安全管理员 角色的用户。 有关详细信息,请参阅Microsoft Defender for Identity角色组。
- 建议至少使用一个目录服务帐户,该帐户对受监视域中的所有对象具有读取访问权限。 有关详细信息,请参阅为Microsoft Defender for Identity配置目录服务帐户。
连接要求
Defender for Identity 传感器必须能够使用以下方法之一与 Defender for Identity 云服务通信:
| 方法 | 说明 | 注意事项 | 了解详细信息 |
|---|---|---|---|
| 代理 | 部署了前向代理的客户可以利用代理来提供与 MDI 云服务的连接。 如果选择此选项,则需要稍后在部署过程中配置代理。 代理配置包括允许流向传感器 URL 的流量,以及将 Defender for Identity URL 配置为代理或防火墙使用的任何显式允许列表。 |
允许访问单个 URL 的 Internet 不支持 SSL 检查 |
配置终结点代理和 Internet 连接设置 使用代理配置运行无提示安装 |
| ExpressRoute | 可以将 ExpressRoute 配置为通过客户的快速路由转发 MDI 传感器流量。 若要路由发往 Defender for Identity 云服务器的网络流量,请使用 ExpressRoute Microsoft对等互连,并将 Microsoft Defender for Identity (12076:5220) 服务 BGP 社区添加到路由筛选器。 |
需要 ExpressRoute | 服务到 BGP 社区值 |
| 使用 Defender for Identity Azure IP 地址的防火墙 | 没有代理或 ExpressRoute 的客户可以使用分配给 MDI 云服务的 IP 地址配置其防火墙。 这要求客户监视 Azure IP 地址列表,了解 MDI 云服务使用的 IP 地址中的任何更改。 如果选择此选项,建议下载 Azure IP 范围和服务标记 - 公有云 文件,并使用 AzureAdvancedThreatProtection 服务标记添加相关的 IP 地址。 |
客户必须监视 Azure IP 分配 | 虚拟网络服务标记 |
有关详细信息,请参阅Microsoft Defender for Identity体系结构。
传感器要求和建议
下表汇总了 Defender for Identity 传感器的服务器要求和建议。
| 先决条件/建议 | 说明 |
|---|---|
| 规格 | 确保在域控制器服务器上安装 Windows 2016 或更高版本的 Defender for Identity,且至少满足以下要求: - 两个核心 - 6 GB RAM - 需要 6 GB 磁盘空间,建议使用 10 GB,包括 Defender for Identity 二进制文件和日志空间 Defender for Identity 支持只读域控制器 (RODC) 。 |
| 性能 | 为了获得最佳性能,请将运行 Defender for Identity 传感器的计算机的 “电源选项” 设置为 “高性能”。 |
| 网络接口配置 | 如果使用 VMware 虚拟机,请确保虚拟机的 NIC 配置已禁用大型发送卸载 (LSO) 。 有关更多详细信息,请参阅 VMware 虚拟机传感器问题 。 |
| 维护时段 | 建议为域控制器计划维护时段,因为如果安装运行且重启已挂起,或者需要安装.NET Framework,则可能需要重启。 如果系统上尚未找到.NET Framework版本 4.7 或更高版本,则安装.NET Framework版本 4.7,并且可能需要重启。 |
| AD FS 联合服务器 | 在 AD FS 环境中,仅联合服务器上支持 Defender for Identity 传感器。 Web 应用程序代理 (WAP) 服务器上不需要它们。 |
| Microsoft Entra Connect 服务器 | 对于Microsoft Entra Connect 服务器,需要在活动服务器和过渡服务器上安装传感器。 |
| AD CS 服务器 | 适用于 AD CS 的 Defender for Identity 传感器仅支持具有证书颁发机构角色服务的 AD CS 服务器。 无需在任何脱机的 AD CS 服务器上安装传感器。 |
| 时间同步 | 安装传感器的服务器和域控制器的时间必须在五分钟内同步到彼此之间。 |
最低作系统要求
可在以下作系统上安装 Defender for Identity 传感器:
- Windows Server 2016
-
Windows Server 2019。 需要 KB4487044 或更高版本的累积更新。 如果在
ntdsai.dll系统目录中找到的文件版本较旧,则安装在 Server 2019 上且没有此更新的传感器将自动停止than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
对于所有作系统:
- 支持具有桌面体验的服务器和服务器核心。
- 不支持 Nano 服务器。
- 域控制器、AD FS、AD CS 和 Entra Connect 服务器支持安装。
旧版作系统
Windows Server 2012和Windows Server 2012 R2 已于 2023 年 10 月 10 日终止支持。 在这些作系统上运行的传感器会继续向 Defender for Identity 报告,甚至接收传感器更新,但某些依赖于作系统功能的功能可能不可用。 建议使用这些作系统升级任何服务器。
所需端口
| 协议 | Transport | 端口 | From | To | 注意 |
|---|---|---|---|---|---|
| Internet 端口 | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity 传感器 | Defender for Identity 云服务 | 或者, 通过代理配置访问权限。 |
| 内部端口 | |||||
| DNS | TCP 和 UDP | 53 | Defender for Identity 传感器 | DNS 服务器 | |
| Netlogon (SMB、CIFS、SAM-R) |
TCP/UDP | 445 | Defender for Identity 传感器 | 网络上的所有设备 | |
| 半径 | UDP | 1813 | 半径 | Defender for Identity 传感器 | |
| Localhost 端口 | 传感器服务更新程序是必需的。 默认情况下,除非自定义防火墙策略阻止 localhost ,否则允许 localhost 到 localhost 的流量。 | ||||
| SSL | TCP | 444 | 传感器服务 | 传感器更新程序服务 | |
| (NNR) 端口的网络名称解析 | 若要将 IP 地址解析为计算机名称,建议打开列出的所有端口。 但是,只需要一个端口。 | ||||
| NTLM over RPC | TCP | 端口 135 | Defender for Identity 传感器 | 网络上的所有设备 | |
| NetBIOS | UDP | 137 | Defender for Identity 传感器 | 网络上的所有设备 | |
| RDP | TCP | 3389 | Defender for Identity 传感器 | 网络上的所有设备 | 只有 Client hello 的第一个数据包使用 IP 地址的反向 DNS 查找 (UDP 53) |
如果使用的是 多个林,请确保在安装了 Defender for Identity 传感器的任何计算机上打开以下端口:
| 协议 | Transport | 端口 | To/From | 方向 |
|---|---|---|---|---|
| Internet 端口 | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity 云服务 | 出站 |
| 内部端口 | ||||
| LDAP | TCP 和 UDP | 389 | 域控制器 | 出站 |
| 安全 LDAP (LDAPS) | TCP | 636 | 域控制器 | 出站 |
| LDAP 到全局编录 | TCP | 3268 | 域控制器 | 出站 |
| LDAPS 到全局编录 | TCP | 3269 | 域控制器 | 出站 |
提示
默认情况下,Defender for Identity 传感器在端口 389 和 3268 上使用 LDAP 查询目录。 若要在端口 636 和 3269 上切换到 LDAPS,请打开支持案例。 有关详细信息,请参阅Microsoft Defender for Identity支持。
动态内存要求
下表描述了用于 Defender for Identity 传感器的服务器上的内存要求,具体取决于所使用的虚拟化类型:
| 在 上运行的 VM | 说明 |
|---|---|
| Hyper-V | 确保未为 VM 启用 动态内存 。 |
| VMware | 确保配置的内存量与预留内存相同,或在 VM 设置中选择“ 保留所有来宾内存 (所有锁定) ”选项。 |
| 其他虚拟化主机 | 请参阅供应商提供的文档,了解如何确保随时将内存完全分配给 VM。 |
重要
作为虚拟机运行时,必须随时将所有内存分配给虚拟机。
配置 Windows 审核
Defender for Identity 检测依赖于特定的 Windows 事件日志条目来增强检测,并提供有关用户执行特定作(例如 NTLM 登录和安全组修改)的额外信息。
在域控制器上配置 Windows 事件集合以支持 Defender for Identity 检测。 有关详细信息,请参阅使用Microsoft Defender for Identity事件集合和配置 Windows 事件日志的审核策略。
你可能想要使用 Defender for Identity PowerShell 模块来配置所需的设置。 例如,以下命令定义域的所有设置,创建组策略对象并链接它们。
Set-MDIConfiguration -Mode Domain -Configuration All
有关更多信息,请参阅:
测试先决条件
建议运行 Test-MdiReadiness.ps1 脚本来测试环境是否具有必要的先决条件。
Test-MdiReadiness.ps1 脚本也可在“标识>工具”页上Microsoft Defender XDR (预览) 。