Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wymagania dotyczące instalowania czujnika Microsoft Defender for Identity v3.x.
Ograniczenia wersji czujnika
Przed aktywowaniem czujnika usługi Defender for Identity w wersji 3.x należy pamiętać o tych kwestiach przed aktywowaniem czujnika. Czujnik usługi Defender for Identity w wersji 3.x:
- Wymaga wdrożenia usługi Defender for Endpoint i uruchomienia składnika programu antywirusowego Microsoft Defender w trybie aktywnym lub pasywnym.
- Nie można aktywować na serwerze z wdrożonym już czujnikiem usługi Defender for Identity v2.x.
- Obecnie nie obsługuje integracji sieci VPN.
- Obecnie nie obsługuje usługi ExpressRoute.
Wymagania dotyczące licencjonowania
Wdrożenie usługi Defender for Identity wymaga jednej z następujących licencji platformy Microsoft 365:
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* Zabezpieczenia Microsoft 365 F5 Security + Compliance*
- Obie licencje F5 wymagają Microsoft 365 F1/F3 lub Office 365 F3 i Enterprise Mobility + Security E3.
Licencje można kupić w portalu platformy Microsoft 365 lub w ramach licencjonowania cloud solution partner (CSP).
Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące licencjonowania i ochrony prywatności.
Role i uprawnienia
- Aby utworzyć obszar roboczy usługi Defender for Identity, potrzebujesz dzierżawy Tożsamość Microsoft Entra.
- Musisz być administratorem zabezpieczeń lub mieć następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach:
System settings (Read and manage)Security settings (All permissions)
Wymagania i zalecenia dotyczące czujników
Poniższa tabela zawiera podsumowanie wymagań i zaleceń dotyczących serwera dla czujnika usługi Defender for Identity.
| Wymagania wstępne/zalecenie | Opis |
|---|---|
| System operacyjny | Kontroler domeny musi mieć oba elementy: — Windows Server 2019 r. lub nowsze - Aktualizacja zbiorcza z października 2025 r . lub nowsza. |
| Poprzednie instalacje | Przed uaktywnieniem czujnika na kontrolerze domeny upewnij się, że kontroler domeny nie ma już wdrożonego czujnika usługi Defender for Identity v2.x. |
| Specyfikacje | Serwer kontrolera domeny z co najmniej: - dwa rdzenie - 6 GB pamięci RAM |
| Wydajność | Aby uzyskać optymalną wydajność, ustaw opcję zasilania maszyny z uruchomionym czujnikiem usługi Defender for Identity na wartość Wysoka wydajność. |
| Łączność | Wymaga wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli Ochrona punktu końcowego w usłudze Microsoft Defender jest zainstalowany na kontrolerze domeny, nie ma żadnych dodatkowych wymagań dotyczących łączności. |
| Synchronizacja czasu serwera | Serwery i kontrolery domeny, na których jest zainstalowany czujnik, muszą mieć czas zsynchronizowany w ciągu pięciu minut od siebie. |
| Expressroute | Ta wersja czujnika nie obsługuje usługi ExpressRoute. Jeśli środowisko korzysta z usługi ExpressRoute, zalecamy wdrożenie czujnika defender for Identity w wersji 2.x. |
| Akcje dotyczące tożsamości i odpowiedzi | Czujnik nie wymaga podania poświadczeń w portalu. Nawet w przypadku wprowadzenia poświadczeń czujnik używa tożsamości systemu lokalnego na serwerze do wykonywania zapytań dotyczących usługi Active Directory i wykonywania akcji odpowiedzi. Jeśli konto usługi zarządzane przez grupę (gMSA) jest skonfigurowane pod kątem akcji odpowiedzi, akcje odpowiedzi są wyłączone. |
Wymagania dotyczące pamięci dynamicznej
W poniższej tabeli opisano wymagania dotyczące pamięci na serwerze używanym dla czujnika usługi Defender for Identity w zależności od używanego typu wirtualizacji:
| Maszyna wirtualna uruchomiona na | Opis |
|---|---|
| Funkcja Hyper-V | Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej. |
| Vmware | Upewnij się, że ilość skonfigurowanej pamięci i pamięć zarezerwowana są takie same, lub wybierz opcję Zarezerwuj całą pamięć gościa (Wszystkie zablokowane) w ustawieniach maszyny wirtualnej. |
| Inny host wirtualizacji | Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest w pełni przydzielona do maszyny wirtualnej przez cały czas. |
Ważna
Podczas uruchamiania jako maszyna wirtualna cała pamięć musi być przydzielana do maszyny wirtualnej przez cały czas.
Konfigurowanie inspekcji RPC czujników w wersji 3.x w celu obsługi zaawansowanych wykrywania tożsamości
Zastosowanie tagu Inspekcja RPC ujednoliconego czujnika umożliwia nową, przetestowaną funkcję na maszynie, poprawiając widoczność zabezpieczeń i odblokowując dodatkowe wykrywanie tożsamości. Po zastosowaniu konfiguracja jest wymuszana na istniejących i przyszłych urządzeniach , które spełniają kryteria reguły. Sam tag jest widoczny w spisie urządzeń, zapewniając administratorom przezroczystość i możliwości inspekcji.
Kroki stosowania konfiguracji:
W portalu Microsoft Defender przejdź do obszaru: Ustawienia > systemu > Microsoft Defender XDR > zarządzanie regułami zasobów.
Wybierz pozycję Utwórz nową regułę.
W panelu bocznym:
Wprowadź nazwę reguły i opis.
Ustawianie warunków reguły przy użyciu
Device namepolecenia ,DomainlubDevice tagdo określania żądanych maszyn.Upewnij się, że czujnik usługi Defender for Identity w wersji 3.x jest już wdrożony na wybranych urządzeniach.
Dopasowywanie powinno dotyczyć przede wszystkim kontrolerów domeny z zainstalowanym czujnikiem v3.x.
Dodawanie tagu
Unified Sensor RPC Auditdo wybranych urządzeń.
Wybierz pozycję Dalej , aby przejrzeć i zakończyć tworzenie reguły, a następnie wybierz pozycję Prześlij.
Aktualizowanie reguł
Odłączenie urządzenia od tej konfiguracji może odbywać się tylko po usunięciu reguły zasobu lub zmodyfikowaniu warunków reguły , aby urządzenie nie było już zgodne.
Uwaga
Może upłynąć do 1 godziny, aż zmiany zostaną odzwierciedlone w portalu.
Dowiedz się więcej na temat reguły zarządzania zasobami tutaj.
Konfigurowanie inspekcji zdarzeń systemu Windows
Wykrywanie usługi Defender for Identity polega na określonych wpisach dziennika zdarzeń systemu Windows w celu ulepszenia wykrywania i udostępnienia dodatkowych informacji o użytkownikach wykonujących określone akcje, takie jak logowania NTLM i modyfikacje grup zabezpieczeń.
Aby uzyskać więcej informacji na temat konfigurowania inspekcji zdarzeń systemu Windows w portalu usługi Defender lub przy użyciu programu PowerShell, zobacz Konfigurowanie inspekcji zdarzeń systemu Windows.
Testowanie wymagań wstępnych
Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma wymagane wymagania wstępne.
Skrypt Test-MdiReadiness.ps1 jest również dostępny w Microsoft Defender XDR na stronie Narzędzia tożsamości > (wersja zapoznawcza).