Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit la configuration requise pour installer le capteur Microsoft Defender pour Identity v2.x.
Conditions d'octroi de licence
Le déploiement de Defender pour Identity nécessite l’une des licences Microsoft 365 suivantes :
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sécurité
- Module complémentaire sécurité + conformité Microsoft 365 F5*
- Une licence Defender pour Identity autonome
* Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.
Acquérir des licences directement via le portail Microsoft 365 ou utiliser le modèle de licence Cloud Solution Partner (CSP).
Pour plus d’informations, consultez FAQ sur les licences et la confidentialité.
Rôles et autorisations
- Pour créer votre espace de travail Defender pour Identity, vous avez besoin d’un locataire Microsoft Entra ID.
- Vous devez avoir un utilisateur avec un rôle Administrateur de la sécurité . Pour plus d’informations, consultez Microsoft Defender pour Identity groupes de rôles.
- Nous vous recommandons d’utiliser au moins un compte de service d’annuaire, avec un accès en lecture à tous les objets dans les domaines surveillés. Pour plus d’informations, consultez Configurer un compte de service d’annuaire pour Microsoft Defender pour Identity.
Prérequis en matière de connectivité
Le capteur Defender pour Identity doit être en mesure de communiquer avec le service cloud Defender pour Identity, à l’aide de l’une des méthodes suivantes :
| Méthode | Description | Considérations | En savoir plus |
|---|---|---|---|
| Proxy | Les clients qui ont déployé un proxy de transfert peuvent tirer parti du proxy pour fournir une connectivité au service cloud MDI. Si vous choisissez cette option, vous devrez configurer votre proxy plus tard dans le processus de déploiement. Les configurations de proxy incluent l’autorisation du trafic vers l’URL du capteur et la configuration des URL Defender pour Identity vers toutes les listes d’autorisation explicites utilisées par votre proxy ou pare-feu. |
Autorise l’accès à Internet pour une SEULE URL L’inspection SSL n’est pas prise en charge |
Configurer les paramètres de proxy de point de terminaison et de connectivité Internet Exécuter une installation sans assistance avec une configuration de proxy |
| ExpressRoute | ExpressRoute peut être configuré pour transférer le trafic du capteur MDI sur l’itinéraire express du client. Pour acheminer le trafic réseau destiné aux serveurs cloud Defender pour Identity, utilisez le peering Microsoft ExpressRoute et ajoutez la communauté BGP du service Microsoft Defender pour Identity (12076:5220) à votre filtre de routage. |
Nécessite ExpressRoute | Valeur de la communauté service vers BGP |
| Pare-feu, à l’aide des adresses IP Azure Defender pour Identity | Les clients qui n’ont pas de proxy ou d’ExpressRoute peuvent configurer leur pare-feu avec les adresses IP affectées au service cloud MDI. Cela nécessite que le client surveille l’Azure liste d’adresses IP pour rechercher les modifications apportées aux adresses IP utilisées par le service cloud MDI. Si vous avez choisi cette option, nous vous recommandons de télécharger le fichier Azure plages d’adresses IP et étiquettes de service – Cloud public et d’utiliser l’étiquette de service AzureAdvancedThreatProtection pour ajouter les adresses IP appropriées. |
Le client doit surveiller Azure affectations d’adresses IP | Étiquettes de service de réseau virtuel |
Pour plus d’informations, consultez architecture Microsoft Defender pour Identity.
Exigences et recommandations relatives aux capteurs
Le tableau suivant récapitule la configuration requise du serveur et les recommandations pour le capteur Defender pour Identity.
| Prérequis / Recommandation | Description |
|---|---|
| Spécifications | Veillez à installer Defender pour Identity sur Windows version 2016 ou ultérieure, sur un serveur de contrôleur de domaine avec un minimum de : - deux cœurs - 6 Go de RAM - 6 Go d’espace disque requis, 10 Go recommandés, y compris l’espace pour les fichiers binaires et les journaux Defender pour Identity Defender pour Identity prend en charge les contrôleurs de domaine en lecture seule (RODC). |
| Performances | Pour des performances optimales, définissez l’option d’alimentation de l’ordinateur exécutant le capteur Defender pour Identity sur Hautes performances. |
| Configuration de l’interface réseau | Si vous utilisez des machines virtuelles VMware, assurez-vous que l’authentification LSO (Large Send Offload) est désactivée dans la configuration de la carte réseau de la machine virtuelle. Pour plus d’informations, consultez Problème de capteur de machine virtuelle VMware . |
| Fenêtre de maintenance | Nous vous recommandons de planifier une fenêtre de maintenance pour vos contrôleurs de domaine, car un redémarrage peut être nécessaire si l’installation s’exécute et qu’un redémarrage est déjà en attente, ou si .NET Framework doit être installé. Si .NET Framework version 4.7 ou ultérieure n’est pas déjà trouvé sur le système, .NET Framework version 4.7 est installé et peut nécessiter un redémarrage. |
| Serveurs de fédération AD FS | Dans les environnements AD FS, les capteurs Defender pour Identity sont pris en charge uniquement sur les serveurs de fédération. Elles ne sont pas obligatoires sur les serveurs web Proxy d'application (WAP). |
| serveurs Microsoft Entra Connect | Pour les serveurs Microsoft Entra Connect, vous devez installer les capteurs sur les serveurs actifs et intermédiaires. |
| Serveurs AD CS | Le capteur Defender pour Identity pour AD CS prend uniquement en charge les serveurs AD CS avec le service de rôle d’autorité de certification. Vous n’avez pas besoin d’installer des capteurs sur des serveurs AD CS hors connexion. |
| Synchronisation date/heure | Les serveurs et les contrôleurs de domaine sur lesquels le capteur est installé doivent avoir une synchronisation dans un délai de cinq minutes les uns des autres. |
Configuration minimale requise pour le système d’exploitation
Les capteurs Defender pour Identity peuvent être installés sur les systèmes d’exploitation suivants :
- Windows Server 2016
-
Windows Server 2019. Nécessite KB4487044 ou une mise à jour cumulative plus récente. Les capteurs installés sur Server 2019 sans cette mise à jour sont automatiquement arrêtés si la version du
ntdsai.dllfichier trouvée dans le répertoire système est plus anciennethan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Pour tous les systèmes d’exploitation :
- Les deux serveurs avec expérience de bureau et cœurs de serveur sont pris en charge.
- Les serveurs Nano ne sont pas pris en charge.
- Les installations sont prises en charge pour les contrôleurs de domaine, les serveurs AD FS, AD CS et Entra Connect.
Systèmes d’exploitation hérités
Windows Server 2012 et Windows Server 2012 R2 ont atteint la fin du support prolongé le 10 octobre 2023. Les capteurs qui s’exécutent sur ces systèmes d’exploitation continuent de signaler à Defender pour Identity et reçoivent même les mises à jour des capteurs, mais certaines fonctionnalités qui s’appuient sur les fonctionnalités du système d’exploitation peuvent ne pas être disponibles. Nous vous recommandons de mettre à niveau tous les serveurs à l’aide de ces systèmes d’exploitation.
Ports requis
| Protocole | Transport | Port | De | À | Notes |
|---|---|---|---|---|---|
| Ports Internet | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Capteur Defender pour Identity | Service cloud Defender pour Identity | Vous pouvez également configurer l’accès via un proxy. |
| Ports internes | |||||
| DNS | TCP et UDP | 53 | Capteur Defender pour Identity | Serveurs DNS | |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Capteur Defender pour Identity | Tous les appareils sur le réseau (contrôleurs de domaine, ADFS, ADCS et Entra Connect) | |
| RAYON | UDP | 1813 | RAYON | Capteur Defender pour Identity | |
| Port Localhost | Requis pour le générateur de mise à jour du service de capteur. Par défaut, le trafic localhost vers localhost est autorisé, sauf si une stratégie de pare-feu personnalisée le bloque. | ||||
| SSL | TCP | 444 | Service de capteur | Service de mise à jour de capteur | |
| Ports de résolution de noms réseau (NNR) | Pour résoudre les adresses IP en noms d’ordinateurs, nous vous recommandons d’ouvrir tous les ports répertoriés. Toutefois, un seul port est requis. | ||||
| NTLM sur RPC | TCP | Port 135 | Capteur Defender pour Identity | Tous les appareils sur le réseau (contrôleurs de domaine, ADFS, ADCS et Entra Connect) | |
| Netbios | UDP | 137 | Capteur Defender pour Identity | Tous les appareils sur le réseau (contrôleurs de domaine, ADFS, ADCS et Entra Connect) | |
| RDP | TCP | 3389 | Capteur Defender pour Identity | Tous les appareils sur le réseau (contrôleurs de domaine, ADFS, ADCS et Entra Connect) | Seul le premier paquet de Client hello interroge le serveur DNS à l’aide de la recherche DNS inversée de l’adresse IP (UDP 53) |
Si vous utilisez plusieurs forêts, assurez-vous que les ports suivants sont ouverts sur n’importe quel ordinateur sur lequel un capteur Defender pour Identity est installé :
| Protocole | Transport | Port | Vers/à partir de | Direction |
|---|---|---|---|---|
| Ports Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Service cloud Defender pour Identity | Sortant |
| Ports internes | ||||
| LDAP | TCP et UDP | 389 | Contrôleurs de domaine | Sortant |
| LDAP sécurisé (LDAPS) | TCP | 636 | Contrôleurs de domaine | Sortant |
| LDAP vers catalogue global | TCP | 3268 | Contrôleurs de domaine | Sortant |
| LDAPS vers le catalogue global | TCP | 3269 | Contrôleurs de domaine | Sortant |
Conseil
Par défaut, les capteurs Defender pour Identity interrogent le répertoire à l’aide du protocole LDAP sur les ports 389 et 3268. Pour basculer vers LDAPS sur les ports 636 et 3269, ouvrez un cas de support. Pour plus d’informations, consultez Microsoft Defender pour Identity prise en charge.
Besoins en mémoire dynamique
Le tableau suivant décrit la mémoire requise sur le serveur utilisé pour le capteur Defender pour Identity, en fonction du type de virtualisation que vous utilisez :
| Machine virtuelle en cours d’exécution sur | Description |
|---|---|
| Hyper-V | Vérifiez que l’option Activer la mémoire dynamique n’est pas activée pour la machine virtuelle. |
| VMware | Vérifiez que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option Réserver toute la mémoire invité (tout verrouillé) dans les paramètres de la machine virtuelle. |
| Autre hôte de virtualisation | Reportez-vous à la documentation fournie par le fournisseur pour vous assurer que la mémoire est entièrement allouée à la machine virtuelle à tout moment. |
Importante
Lors de l’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.
Configurer l’audit des événements Windows
Les détections Defender pour Identity s’appuient sur des entrées spécifiques du journal des événements Windows pour améliorer les détections et fournir des informations supplémentaires sur les utilisateurs effectuant des actions spécifiques, telles que les connexions NTLM et les modifications de groupe de sécurité.
Configurez l’audit des événements Windows sur votre contrôleur de domaine pour prendre en charge les détections Defender pour Identity dans le portail Defender ou à l’aide de PowerShell.
Tester vos prérequis
Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.
Le script Test-MdiReadiness.ps1 est également disponible à partir de Microsoft Defender XDR, dans la page Outils Identités > (préversion).