Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Anforderungen für die Installation des Microsoft Defender for Identity-Sensors v2.x beschrieben.
Lizenzierungsanforderungen
Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicherheit
- Microsoft 365 F5 Security + Compliance*
- Eine eigenständige Defender for Identity-Lizenz
* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.
Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal , oder verwenden Sie das CSP-Lizenzierungsmodell (Cloud Solution Partner).
Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Lizenzierung und Datenschutz.
Rollen und Berechtigungen
- Zum Erstellen Ihres Defender for Identity-Arbeitsbereichs benötigen Sie einen Microsoft Entra ID Mandanten.
- Sie müssen über einen Benutzer mit der Rolle "Sicherheitsadministrator " verfügen. Weitere Informationen finden Sie unter Microsoft Defender for Identity Rollengruppen.
- Es wird empfohlen, mindestens ein Verzeichnisdienstkonto mit Lesezugriff auf alle Objekte in den überwachten Domänen zu verwenden. Weitere Informationen finden Sie unter Konfigurieren eines Verzeichnisdienstkontos für Microsoft Defender for Identity.
Konnektivitätsanforderungen
Der Defender for Identity-Sensor muss mithilfe einer der folgenden Methoden mit dem Defender for Identity-Clouddienst kommunizieren können:
| Methode | Beschreibung | Überlegungen | Weitere Informationen |
|---|---|---|---|
| Proxy | Kunden, die einen Vorwärtsproxy bereitgestellt haben, können den Proxy nutzen, um Konnektivität mit dem MDI-Clouddienst bereitzustellen. Wenn Sie diese Option auswählen, müssen Sie Ihren Proxy später im Bereitstellungsprozess konfigurieren. Proxykonfigurationen umfassen das Zulassen von Datenverkehr zur Sensor-URL und das Konfigurieren von Defender for Identity-URLs für alle expliziten Zulassungslisten, die von Ihrem Proxy oder Ihrer Firewall verwendet werden. |
Ermöglicht den Zugriff auf das Internet für eine einzelne URL SSL-Überprüfung wird nicht unterstützt |
Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen Ausführen einer automatischen Installation mit einer Proxykonfiguration |
| ExpressRoute | ExpressRoute kann so konfiguriert werden, dass MDI-Sensordatenverkehr über die Expressroute des Kunden weitergeleitet wird. Um Netzwerkdatenverkehr an die Defender for Identity-Cloudserver weiterzuleiten, verwenden Sie ExpressRoute-Microsoft-Peering, und fügen Sie ihrem Routenfilter die BGP-Community des Microsoft Defender for Identity (12076:5220)-Diensts hinzu. |
Erfordert ExpressRoute | Service to BGP community value |
| Firewall unter Verwendung der IP-Adressen von Defender for Identity Azure | Kunden ohne Proxy oder ExpressRoute können ihre Firewall mit den IP-Adressen konfigurieren, die dem MDI-Clouddienst zugewiesen sind. Dies erfordert, dass der Kunde die Azure IP-Adressliste auf Änderungen an den IP-Adressen überwacht, die vom MDI-Clouddienst verwendet werden. Wenn Sie diese Option ausgewählt haben, empfehlen wir Ihnen, die Datei Azure IP-Adressbereiche und Diensttags – Öffentliche Cloud herunterzuladen und das Diensttag AzureAdvancedThreatProtection zu verwenden, um die relevanten IP-Adressen hinzuzufügen. |
Der Kunde muss Azure IP-Zuweisungen überwachen. | Diensttags für virtuelle Netzwerke |
Weitere Informationen finden Sie unter Microsoft Defender for Identity Architektur.
Sensoranforderungen und -empfehlungen
In der folgenden Tabelle sind die Serveranforderungen und Empfehlungen für den Defender for Identity-Sensor zusammengefasst.
| Voraussetzung/Empfehlung | Beschreibung |
|---|---|
| Spezifikationen | Stellen Sie sicher, dass Sie Defender for Identity unter Windows Version 2016 oder höher auf einem Domänencontrollerserver mit mindestens folgenden Mindestanforderungen installieren: - zwei Kerne – 6 GB RAM – 6 GB erforderlicher Speicherplatz, 10 GB empfohlen, einschließlich Speicherplatz für Defender for Identity-Binärdateien und Protokolle Defender for Identity unterstützt schreibgeschützte Domänencontroller (RODC). |
| Leistung | Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hohe Leistung fest. |
| Konfiguration der Netzwerkschnittstelle | Wenn Sie virtuelle VMware-Computer verwenden, stellen Sie sicher, dass für die NIC-Konfiguration des virtuellen Computers große Sendeabladung (Large Send Offload, LSO) deaktiviert ist. Weitere Informationen finden Sie unter Problem mit dem VMware-VM-Sensor . |
| Wartungsfenster | Es wird empfohlen, ein Wartungsfenster für Ihre Domänencontroller zu planen, da möglicherweise ein Neustart erforderlich ist, wenn die Installation ausgeführt wird und ein Neustart bereits aussteht oder wenn .NET Framework installiert werden muss. Wenn .NET Framework Version 4.7 oder höher noch nicht auf dem System gefunden wurde, ist .NET Framework Version 4.7 installiert und erfordert möglicherweise einen Neustart. |
| AD FS-Verbundserver | In AD FS-Umgebungen werden Defender for Identity-Sensoren nur auf den Verbundservern unterstützt. Sie sind auf WAP-Servern (Web Anwendungsproxy) nicht erforderlich. |
| Microsoft Entra Connect-Server | Für Microsoft Entra Connect-Server müssen Sie die Sensoren sowohl auf aktiven als auch auf Stagingservern installieren. |
| AD CS-Server | Der Defender for Identity-Sensor für AD CS unterstützt nur AD CS-Server mit Dem Rollendienst der Zertifizierungsstelle. Sie müssen keine Sensoren auf AD CS-Servern installieren, die offline sind. |
| Zeitsynchronisierung | Die Server und Domänencontroller, auf denen der Sensor installiert ist, müssen innerhalb von fünf Minuten mit der Zeit synchronisiert werden. |
Mindestanforderungen an das Betriebssystem
Defender for Identity-Sensoren können unter den folgenden Betriebssystemen installiert werden:
- Windows Server 2016
-
Windows Server 2019. Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die ohne dieses Update auf Server 2019 installiert sind, werden automatisch beendet, wenn die
ntdsai.dllim Systemverzeichnis gefundene Dateiversion älter ist.than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Für alle Betriebssysteme:
- Sowohl Server mit Desktoperfahrung als auch Serverkerne werden unterstützt.
- Nano-Server werden nicht unterstützt.
- Installationen werden für Domänencontroller, AD FS-, AD CS- und Entra Connect-Server unterstützt.
Legacybetriebssysteme
Windows Server 2012 und Windows Server 2012 R2 haben am 10. Oktober 2023 das verlängerte Supportende erreicht. Sensoren, die auf diesen Betriebssystemen ausgeführt werden, melden weiterhin Defender for Identity und erhalten sogar die Sensorupdates, aber einige Funktionen, die auf Betriebssystemfunktionen basieren, sind möglicherweise nicht verfügbar. Es wird empfohlen, alle Server mit diesen Betriebssystemen zu aktualisieren.
Erforderliche Ports
| Protokoll | Transport | Port | Von | An | Hinweise |
|---|---|---|---|---|---|
| Internetports | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-Sensor | Defender for Identity-Clouddienst | Alternativ können Sie den Zugriff über einen Proxy konfigurieren. |
| Interne Ports | |||||
| DNS | TCP und UDP | 53 | Defender for Identity-Sensor | DNS-Server | |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Defender for Identity-Sensor | Alle Geräte im Netzwerk (DCs, ADDFS, ADCS und Entra Connect) | |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity-Sensor | |
| Localhost-Port | Erforderlich für den Sensordienst-Updater. Standardmäßig ist localhost to localhost-Datenverkehr zulässig, es sei denn, eine benutzerdefinierte Firewallrichtlinie blockiert ihn. | ||||
| SSL | TCP | 444 | Sensordienst | Sensorupdatedienst | |
| NNR-Ports (Network Name Resolution, Netzwerknamenauflösung) | Um IP-Adressen in Computernamen aufzulösen, empfehlen wir, alle aufgeführten Ports zu öffnen. Es ist jedoch nur ein Port erforderlich. | ||||
| NTLM über RPC | TCP | Port 135 | Defender for Identity-Sensor | Alle Geräte im Netzwerk (DCs, ADDFS, ADCS und Entra Connect) | |
| NetBIOS | UDP | 137 | Defender for Identity-Sensor | Alle Geräte im Netzwerk (DCs, ADDFS, ADCS und Entra Connect) | |
| RDP | TCP | 3389 | Defender for Identity-Sensor | Alle Geräte im Netzwerk (DCs, ADDFS, ADCS und Entra Connect) | Nur das erste Paket von Client hello fragt den DNS-Server mithilfe von Reverse-DNS-Lookup der IP-Adresse (UDP 53) ab. |
Wenn Sie mit mehreren Gesamtstrukturen arbeiten, stellen Sie sicher, dass die folgenden Ports auf jedem Computer geöffnet sind, auf dem ein Defender for Identity-Sensor installiert ist:
| Protokoll | Transport | Port | An/Von | Richtung |
|---|---|---|---|---|
| Internetports | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity-Clouddienst | Ausgehend |
| Interne Ports | ||||
| LDAP | TCP und UDP | 389 | Domänencontroller | Ausgehend |
| Secure LDAP (LDAPS) | TCP | 636 | Domänencontroller | Ausgehend |
| LDAP zum globalen Katalog | TCP | 3268 | Domänencontroller | Ausgehend |
| LDAPS zum globalen Katalog | TCP | 3269 | Domänencontroller | Ausgehend |
Tipp
Standardmäßig fragen Defender for Identity-Sensoren das Verzeichnis mithilfe von LDAP an den Ports 389 und 3268 ab. Um an den Ports 636 und 3269 zu LDAPS zu wechseln, öffnen Sie eine Supportanfrage. Weitere Informationen finden Sie unter Microsoft Defender for Identity Support.
Anforderungen an dynamischen Arbeitsspeicher
In der folgenden Tabelle werden die Arbeitsspeicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art der Virtualisierung Sie verwenden:
| VIRTUELLER Computer, der auf ausgeführt wird | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| VMware | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie in den VM-Einstellungen die Option Alle Gastspeicher reservieren (Alle gesperrt) aus. |
| Anderer Virtualisierungshost | In der vom Hersteller bereitgestellten Dokumentation erfahren Sie, wie Sie sicherstellen können, dass der vm jederzeit vollständig Arbeitsspeicher zugeordnet ist. |
Wichtig
Bei der Ausführung als virtueller Computer muss dem virtuellen Computer jederzeit der gesamte Arbeitsspeicher zugeordnet werden.
Konfigurieren der Windows-Ereignisüberwachung
Defender for Identity-Erkennungen basieren auf bestimmten Windows-Ereignisprotokolleinträgen, um die Erkennungen zu verbessern und zusätzliche Informationen zu den Benutzern bereitzustellen, die bestimmte Aktionen ausführen, z. B. NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen.
Konfigurieren Sie die Windows-Ereignisüberwachung auf Ihrem Domänencontroller, um Defender for Identity-Erkennungen im Defender-Portal oder mithilfe von PowerShell zu unterstützen.
Testen Der Voraussetzungen
Es wird empfohlen, das Test-MdiReadiness.ps1 Skript auszuführen, um zu testen, ob Ihre Umgebung die erforderlichen Voraussetzungen erfüllt.
Das Test-MdiReadiness.ps1-Skript ist auch auf Microsoft Defender XDR auf der Seite Identitätstools > (Vorschau) verfügbar.