Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Anforderungen für die Installation des Microsoft Defender for Identity-Sensors v3.x beschrieben.
Einschränkungen der Sensorversion
Beachten Sie vor dem Aktivieren des Defender for Identity-Sensors v3.x diese Überlegungen, bevor Sie den Sensor aktivieren. Der Defender for Identity-Sensor v3.x:
- Erfordert, dass Defender für Endpunkt bereitgestellt wird und dass die komponente Microsoft Defender Antivirus entweder im aktiven oder passiven Modus ausgeführt wird.
- Kann nicht auf einem Server aktiviert werden, auf dem bereits ein Defender for Identity-Sensor V2.x bereitgestellt wurde.
- Unterstützt derzeit keine VPN-Integration.
- ExpressRoute wird derzeit nicht unterstützt.
Lizenzierungsanforderungen
Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* Security Microsoft 365 F5 Security + Compliance*
- Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.
Sie können Lizenzen im Microsoft 365-Portal oder mit CSP-Lizenzierung (Cloud Solution Partner) erwerben.
Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Lizenzierung und Datenschutz.
Rollen und Berechtigungen
- Zum Erstellen Ihres Defender for Identity-Arbeitsbereichs benötigen Sie einen Microsoft Entra ID Mandanten.
- Sie müssen entweder Sicherheitsadministrator sein oder über die folgenden einheitlichen RBAC-Berechtigungen verfügen:
System settings (Read and manage)Security settings (All permissions)
Sensoranforderungen und -empfehlungen
In der folgenden Tabelle sind die Serveranforderungen und Empfehlungen für den Defender for Identity-Sensor zusammengefasst.
| Voraussetzung/Empfehlung | Beschreibung |
|---|---|
| Betriebssystem | Der Domänencontroller muss über beides verfügen: – Windows Server 2019 oder höher - Kumulatives Update vom Oktober 2025 oder höher. |
| Vorherige Installationen | Stellen Sie vor dem Aktivieren des Sensors auf einem Domänencontroller sicher, dass der Defender for Identity-Sensor V2.x nicht bereits auf dem Domänencontroller bereitgestellt ist. |
| Spezifikationen | Ein Domänencontrollerserver mit mindestens: - zwei Kerne – 6 GB RAM |
| Leistung | Um eine optimale Leistung zu erzielen, legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hohe Leistung fest. |
| Verbindung | Erfordert eine Microsoft Defender for Endpoint Bereitstellung. Wenn Microsoft Defender for Endpoint auf dem Domänencontroller installiert ist, gibt es keine zusätzlichen Konnektivitätsanforderungen. |
| Serverzeitsynchronisierung | Die Server und Domänencontroller, auf denen der Sensor installiert ist, müssen innerhalb von fünf Minuten mit der Zeit synchronisiert werden. |
| ExpressRoute | Diese Version des Sensors unterstützt ExpressRoute nicht. Wenn Ihre Umgebung ExpressRoute verwendet, empfehlen wir die Bereitstellung des Defender for Identity-Sensors v2.x. |
| Identitäts- und Antwortaktionen | Für den Sensor müssen keine Anmeldeinformationen im Portal bereitgestellt werden. Selbst wenn Anmeldeinformationen eingegeben werden, verwendet der Sensor die lokale Systemidentität auf dem Server, um Active Directory abzufragen und Antwortaktionen auszuführen. Wenn ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) für Antwortaktionen konfiguriert ist, werden die Antwortaktionen deaktiviert. |
Anforderungen an dynamischen Arbeitsspeicher
In der folgenden Tabelle werden die Arbeitsspeicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art der Virtualisierung Sie verwenden:
| VIRTUELLER Computer, der auf ausgeführt wird | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| Vmware | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie in den VM-Einstellungen die Option Alle Gastspeicher reservieren (Alle gesperrt) aus. |
| Anderer Virtualisierungshost | In der vom Hersteller bereitgestellten Dokumentation erfahren Sie, wie Sie sicherstellen können, dass der vm jederzeit vollständig Arbeitsspeicher zugeordnet ist. |
Wichtig
Bei der Ausführung als virtueller Computer muss dem virtuellen Computer jederzeit der gesamte Arbeitsspeicher zugeordnet werden.
Konfigurieren der RPC-Überwachung auf Sensoren v3.x zur Unterstützung erweiterter Identitätserkennungen
Das Anwenden des RPC-Überwachungstags für unified Sensor ermöglicht eine neue, getestete Funktion auf dem Computer, wodurch die Sichtbarkeit der Sicherheit verbessert und zusätzliche Identitätserkennungen entsperrt werden. Nach der Anwendung wird die Konfiguration auf vorhandenen und zukünftigen Geräten erzwungen, die den Regelkriterien entsprechen. Das Tag selbst ist im Gerätebestand sichtbar und bietet Administratoren Transparenz- und Überwachungsfunktionen.
Schritte zum Anwenden der Konfiguration:
Navigieren Sie im Microsoft Defender-Portal zu Systemeinstellungen >> Microsoft Defender XDR > Verwaltung von Ressourcenregeln.
Wählen Sie Neue Regel erstellen aus.
Im Seitenbereich:
Geben Sie einen Regelnamen und eine Beschreibung ein.
Legen Sie Regelbedingungen mit
Device name,DomainoderDevice tagfest, um die gewünschten Computer als Ziel festzulegen.Stellen Sie sicher, dass der Defender for Identity-Sensor v3.x bereits auf den ausgewählten Geräten bereitgestellt wurde.
Der Abgleich sollte in erster Linie auf Domänencontroller abzielen, auf denen der Sensor v3.x installiert ist.
Hinzufügen des Tags
Unified Sensor RPC Auditauf die ausgewählten Geräte.
Wählen Sie Weiter aus, um die Erstellung der Regel zu überprüfen und abzuschließen, und wählen Sie dann Senden aus.
Aktualisieren von Regeln
Das Offboarding eines Geräts aus dieser Konfiguration kann nur über das Löschen der Ressourcenregel oder das Ändern der Regelbedingungen erfolgen, damit das Gerät nicht mehr übereinstimmt.
Hinweis
Es kann bis zu einer Stunde dauern, bis Änderungen im Portal widerzuspiegeln sind.
Weitere Informationen zur Asset Management-Regel finden Sie hier.
Konfigurieren der Windows-Ereignisüberwachung
Defender for Identity-Erkennungen basieren auf bestimmten Windows-Ereignisprotokolleinträgen, um die Erkennungen zu verbessern und zusätzliche Informationen zu den Benutzern bereitzustellen, die bestimmte Aktionen ausführen, z. B. NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen.
Weitere Informationen zum Konfigurieren der Windows-Ereignisüberwachung im Defender-Portal oder mithilfe von PowerShell finden Sie unter Konfigurieren der Windows-Ereignisüberwachung.
Testen Der Voraussetzungen
Es wird empfohlen, das Test-MdiReadiness.ps1 Skript auszuführen, um zu testen, ob Ihre Umgebung die erforderlichen Voraussetzungen erfüllt.
Das Test-MdiReadiness.ps1-Skript ist auch auf Microsoft Defender XDR auf der Seite Identitätstools > (Vorschau) verfügbar.