Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit la configuration requise pour installer le capteur Microsoft Defender pour Identity v3.x.
Limitations de la version du capteur
Avant d’activer le capteur Defender pour Identity v3.x, gardez ces considérations à l’esprit avant d’activer le capteur. Le capteur Defender pour Identity v3.x :
- Nécessite que Defender pour point de terminaison soit déployé et que le composant antivirus Microsoft Defender s’exécute en mode actif ou passif.
- Impossible d’activer sur un serveur sur lequel un capteur Defender pour Identity V2.x est déjà déployé.
- Actuellement, ne prend pas en charge l’intégration VPN.
- Ne prend actuellement pas en charge ExpressRoute.
Conditions d'octroi de licence
Le déploiement de Defender pour Identity nécessite l’une des licences Microsoft 365 suivantes :
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* Sécurité Microsoft 365 F5 Sécurité + conformité*
- Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3.
Vous pouvez acheter des licences dans le portail Microsoft 365 ou avec des licences Cloud Solution Partner (CSP).
Pour plus d’informations, consultez FAQ sur les licences et la confidentialité.
Rôles et autorisations
- Pour créer votre espace de travail Defender pour Identity, vous avez besoin d’un locataire Microsoft Entra ID.
- Vous devez être administrateur de la sécurité ou disposer des autorisations RBAC unifiées suivantes :
System settings (Read and manage)Security settings (All permissions)
Exigences et recommandations relatives aux capteurs
Le tableau suivant récapitule la configuration requise du serveur et les recommandations pour le capteur Defender pour Identity.
| Prérequis / Recommandation | Description |
|---|---|
| Système d’exploitation | Le contrôleur de domaine doit avoir les deux éléments suivants : - Windows Server 2019 ou version ultérieure - Mise à jour cumulative d’octobre 2025 ou ultérieure. |
| Installations précédentes | Avant d’activer le capteur sur un contrôleur de domaine, assurez-vous que le contrôleur de domaine n’a pas déjà déployé le capteur Defender pour Identity V2.x. |
| Spécifications | Un serveur de contrôleur de domaine avec un minimum de : - deux cœurs - 6 Go de RAM |
| Performances | Pour des performances optimales, définissez l’option d’alimentation de l’ordinateur exécutant le capteur Defender pour Identity sur Hautes performances. |
| Connectivité | Nécessite un déploiement Microsoft Defender pour point de terminaison. Si Microsoft Defender pour point de terminaison est installé sur le contrôleur de domaine, aucune exigence de connectivité supplémentaire n’est requise. |
| Synchronisation de l’heure du serveur | Les serveurs et les contrôleurs de domaine sur lesquels le capteur est installé doivent avoir une synchronisation dans un délai de cinq minutes les uns des autres. |
| ExpressRoute | Cette version du capteur ne prend pas en charge ExpressRoute. Si votre environnement utilise ExpressRoute, nous vous recommandons de déployer le capteur Defender pour Identity v2.x. |
| Actions d’identité et de réponse | Le capteur ne nécessite pas que les informations d’identification soient fournies dans le portail. Même si des informations d’identification sont entrées, le capteur utilise l’identité du système local sur le serveur pour interroger Active Directory et effectuer des actions de réponse. Si un compte de service géré de groupe (gMSA) est configuré pour les actions de réponse, les actions de réponse sont désactivées. |
Besoins en mémoire dynamique
Le tableau suivant décrit la mémoire requise sur le serveur utilisé pour le capteur Defender pour Identity, en fonction du type de virtualisation que vous utilisez :
| Machine virtuelle en cours d’exécution sur | Description |
|---|---|
| Hyper-V | Vérifiez que l’option Activer la mémoire dynamique n’est pas activée pour la machine virtuelle. |
| Vmware | Vérifiez que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option Réserver toute la mémoire invité (tout verrouillé) dans les paramètres de la machine virtuelle. |
| Autre hôte de virtualisation | Reportez-vous à la documentation fournie par le fournisseur pour vous assurer que la mémoire est entièrement allouée à la machine virtuelle à tout moment. |
Importante
Lors de l’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.
Configurer l’audit RPC sur les capteurs v3.x pour prendre en charge les détections d’identité avancées
L’application de la balise d’audit RPC du capteur unifié permet une nouvelle fonctionnalité testée sur la machine, ce qui améliore la visibilité de la sécurité et déverrouille des détections d’identité supplémentaires. Une fois appliquée, la configuration est appliquée sur les appareils existants et futurs qui correspondent aux critères de la règle. La balise elle-même est visible dans l’inventaire des appareils, ce qui offre aux administrateurs des fonctionnalités de transparence et d’audit.
Étapes d’application de la configuration :
Dans le portail Microsoft Defender, accédez à : Paramètres > système > Microsoft Defender XDR > Gestion des règles de ressources.
Sélectionnez Créer une règle.
Dans le panneau latéral :
Entrez un nom de règle et une description.
Définissez des conditions de règle à l’aide
Device namede ,DomainouDevice tagpour cibler les machines souhaitées.Vérifiez que le capteur Defender pour Identity v3.x est déjà déployé sur les appareils sélectionnés.
La correspondance doit principalement cibler les contrôleurs de domaine avec le capteur v3.x installé.
Ajouter la balise
Unified Sensor RPC Auditaux appareils sélectionnés.
Sélectionnez Suivant pour passer en revue et terminer la création de la règle, puis sélectionnez Envoyer.
Mise à jour des règles
La désintégration d’un appareil à partir de cette configuration ne peut être effectuée qu’ensupprimant la règle de ressource ou en modifiant les conditions de la règle afin que l’appareil ne correspond plus.
Remarque
Jusqu’à 1 heure peuvent être nécessaires pour que les modifications soient reflétées dans le portail.
En savoir plus sur la règle de gestion des ressources ici.
Configurer l’audit des événements Windows
Les détections Defender pour Identity s’appuient sur des entrées spécifiques du journal des événements Windows pour améliorer les détections et fournir des informations supplémentaires sur les utilisateurs effectuant des actions spécifiques, telles que les connexions NTLM et les modifications de groupe de sécurité.
Pour plus d’informations sur la configuration de l’audit des événements Windows dans le portail Defender ou l’utilisation de PowerShell, consultez Configurer l’audit d’événements Windows.
Tester vos prérequis
Nous vous recommandons d’exécuter le script Test-MdiReadiness.ps1 pour tester et voir si votre environnement a les prérequis nécessaires.
Le script Test-MdiReadiness.ps1 est également disponible à partir de Microsoft Defender XDR, dans la page Outils Identités > (préversion).