本文說明安裝適用於身分識別的 Microsoft Defender 感測器 v2.x 的相關要求。
授權需求
部署 Defender for Identity 需要以下 Microsoft 365 授權之一:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5*安全
- Microsoft 365 F5 安全性 + 合規性*
- 一個獨立的身份辯護者授權
* 兩種 F5 授權皆需 Microsoft 365 F1/F3 或 Office 365 F3 與 企業行動力 + 安全性 E3。
可直接透過 Microsoft 365 入口網站 取得授權,或使用 Cloud Solution Partner (CSP) 授權模式。
欲了解更多資訊,請參閱 授權與隱私常見問題。
角色及權限
- 要建立你的 Defender for Identity 工作空間,你需要一個 Microsoft Entra ID 租戶。
- 您必須擁有 一位擁有安全管理員 角色的使用者。 欲了解更多資訊,請參閱 適用於身分識別的 Microsoft Defender 角色群組。
- 我們建議至少使用一個目錄服務帳號,並對監控網域中所有物件有讀取權限。 欲了解更多資訊,請參閱「適用於身分識別的 Microsoft Defender 配置目錄服務帳號」。
連線要求
Defender for Identity 感測器必須能夠與 Defender for Identity 雲端服務通訊,並使用以下其中一種方法:
| 方法 | 描述 | 考量 | 深入了解 |
|---|---|---|---|
| Proxy | 部署前向代理的客戶可利用代理提供與 MDI 雲端服務的連接。 如果你選擇這個選項,之後部署過程中就需要重新設定代理。 代理設定包括允許流量到感測器 URL,以及將 Defender for Identity URL 設定為代理或防火牆使用的任何明確允許清單。 |
允許單一網址存取網際網路 不支援 SSL 檢查 |
設定端點代理與網際網路連線設定 用代理設定執行靜默安裝 |
| ExpressRoute | ExpressRoute 可設定為透過客戶的快速路由轉發 MDI 感測器流量。 要路由指向 Defender for Identity 的網路流量,請使用 ExpressRoute Microsoft對等連線,並將 適用於身分識別的 Microsoft Defender (12076:5220) 服務 BGP 社群加入路由篩選器。 |
需要ExpressRoute | 對 BGP 社群價值的服務 |
| 防火牆,使用 Defender for Identity Azure IP 位址 | 沒有代理或 ExpressRoute 的客戶,可以用分配給 MDI 雲端服務的 IP 位址來設定防火牆。 這需要客戶監控 Azure IP 位址清單,以觀察 MDI 雲端服務所用 IP 位址的任何變動。 如果您選擇此選項,建議您下載 Azure IP 範圍與服務標籤 – 公有雲檔案,並使用 AzureAdvancedThreatProtection 服務標籤來新增相關 IP 位址。 |
Customer must monitor Azure IP assignments | 虛擬網路服務標籤 |
欲了解更多資訊,請參閱 適用於身分識別的 Microsoft Defender 架構。
感測器需求與建議
下表總結了Defender for Identity感測器的伺服器需求與建議。
| 先修條件/推薦 | 說明 |
|---|---|
| 規格 | 務必在 Windows 2016 或更高版本的網域控制器伺服器上安裝 Defender for Identity,且至少具備以下條件: - 兩個核心 - 6 GB 記憶體 - 需要 6 GB 磁碟空間,建議 10 GB,包含 Defender for Identity 二進位檔與日誌空間 Defender for Identity 支援唯讀域控制器 (RODC) 。 |
| 效能 | 為了達到最佳效能,將執行Defender for Identity感測器的 機器電源選項 設為 高效能。 |
| 網路介面配置 | 如果你用的是 VMware 虛擬機,請確保虛擬機的網卡設定中 Large Send Offload (LSO) 是關閉的。 更多細節請參見 VMware 虛擬機感測器問題 。 |
| 維修時間窗口 | 我們建議為您的網域控制器排程維護時段,因為如果安裝正在執行且重啟已在等待中,或是需要安裝 .NET Framework,可能需要重新啟動。 如果系統上還沒有安裝 .NET Framework 4.7 或更新版本,則已安裝 .NET Framework 4.7 版本,可能需要重新啟動。 |
| AD FS 聯邦伺服器 | 在 AD FS 環境中,Defender for Identity 感測器僅支援於聯邦伺服器。 在網頁應用程式 Proxy (WAP) 伺服器上不需要。 |
| Microsoft Entra Connect 伺服器 | 對於 Microsoft Entra Connect 伺服器,你需要在主動伺服器和暫存伺服器上安裝感測器。 |
| AD CS 伺服器 | Defender for Identity sensor for AD CS 僅支援具備認證授權機構角色服務(Certification Authority Role Service)的 AD CS 伺服器。 你不需要在任何離線的 AD CS 伺服器上安裝感測器。 |
| 時間同步 | 安裝感測器的伺服器與域控制器必須同步時間,彼此相距不超過五分鐘。 |
最低作業系統需求
Defender for Identity 感測器可安裝於以下作業系統上:
- Windows Server 2016
-
Windows Server 2019。 需要 KB4487044 或更新的累積更新。 若未更新於 Server 2019 上安裝的感測器,若系統目錄中的檔案版本較舊,將
ntdsai.dll自動停止使用than 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
適用於所有作業系統:
- 同時支援有桌面經驗的伺服器和伺服器核心。
- Nano 伺服器不被支援。
- 支援網域控制器、AD FS、AD CS 及 Entra Connect 伺服器的安裝。
舊有作業系統
Windows Server 2012 與 Windows Server 2012 R2 於 2023 年 10 月 10 日達到延長支援終止。 在這些作業系統上運行的感測器仍會向 Defender for Identity 報告,甚至接收感測器更新,但部分依賴作業系統功能的功能可能無法使用。 我們建議您升級使用這些作業系統的伺服器。
所需移植埠
| Protocol (通訊協定) | 傳輸 | 連接埠 | 寄件者 | 收件者 | 附註 |
|---|---|---|---|---|---|
| 網際網路埠 | |||||
| SSL (*.atp.azure.com) | TCP | 443 | 身份感測器的防禦器 | Defender for Identity 雲端服務 | 或者,透過 代理設定存取權限。 |
| 內部埠口 | |||||
| DNS | TCP 與 UDP | 53 | 身份感測器的防禦器 | DNS 伺服器 | |
| Netlogon (SMB、CIFS、SAM-R) |
TCP/UDP | 445 | 身份感測器的防禦器 | 網路上的所有裝置 (DC、ADFS、ADC 和 Entra Connect) | |
| 半徑 | UDP | 1813 | 半徑 | 身份感測器的防禦器 | |
| 本地主機埠 | 感測器服務更新器需要。 預設情況下,除非有自訂防火牆政策阻擋,否則允許本地主機間的傳輸。 | ||||
| SSL | TCP | 444 | 感測器服務 | 感測器更新器服務 | |
| NNR) 埠 (網路名稱解析 | 要解析 IP 位址到電腦名稱,我們建議打開所有列出的埠口。 不過只需要一個埠口。 | ||||
| NTLM 透過 RPC | TCP | 135號左轉 | 身份感測器的防禦器 | 所有網路上的裝置 (DC、ADFS、ADC 和 Entra Connect) | |
| NetBIOS | UDP | 137 | 身份感測器的防禦器 | 所有網路上的裝置 (DC、ADFS、ADC 和 Entra Connect) | |
| RDP | TCP | 3389 | 身份感測器的防禦器 | 所有網路上的裝置 (DC、ADFS、ADC 和 Entra Connect) | 只有第一個 Client Hello 封包會透過 UDP 53 (IP 位址的反向 DNS 查詢來查詢 DNS 伺服器) |
如果你同時使用 多個森林,請確保在任何安裝了 Defender for Identity 感測器的機器上開啟以下埠口:
| Protocol (通訊協定) | 傳輸 | 連接埠 | 來/寄 | 方向 |
|---|---|---|---|---|
| 網際網路埠 | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Defender for Identity 雲端服務 | 出埠 |
| 內部埠口 | ||||
| LDAP | TCP 與 UDP | 389 | 網域控制站 | 出埠 |
| 安全 LDAP (LDAPS) | TCP | 636 | 網域控制站 | 出埠 |
| LDAP 到全球目錄 | TCP | 3268 | 網域控制站 | 出埠 |
| LDAPS 到全球目錄 | TCP | 3269 | 網域控制站 | 出埠 |
提示
預設情況下,Defender for Identity 感測器會使用 LDAP 查詢該目錄,連接埠 389 和 3268。 若要在 636 和 3269 埠切換到 LDAPS,請開啟支援個案。 欲了解更多資訊,請參閱 Microsoft Defender for Identity 適用於身分識別的 Microsoft Defender 支援。
動態記憶體需求
下表說明了用於 Defender for Identity 感測器的伺服器記憶體需求,依據您所使用的虛擬化類型而定:
| 虛擬機正在執行 | 描述 |
|---|---|
| Hyper-V | 確保虛擬機沒有啟用 動態記憶體 。 |
| VMware | 請確保設定的記憶體容量與保留記憶體相同,或在虛擬機設定中選擇「 保留所有訪客記憶體」 (「全部鎖定」) 選項。 |
| 其他虛擬化主機 | 請參閱廠商提供的文件,了解如何確保記憶體始終完全分配給虛擬機。 |
重要事項
當以虛擬機運作時,所有記憶體必須隨時分配給虛擬機。
設定 Windows 事件稽核
Defender for Identity 偵測依賴特定的 Windows 事件日誌條目來增強偵測能力,並提供使用者執行特定動作(如 NTLM 登入及安全群組修改)的額外資訊。
在網域控制器上設定 Windows 事件稽核,以支援 Defender 入口網站或使用 PowerShell 的 Defender for Identity 偵測。
測試你的先修條件
我們建議執行 Test-MdiReadiness.ps1 腳本測試,看看你的環境是否具備必要的先決條件。
Test-MdiReadiness.ps1 腳本也可在Microsoft Defender 全面偵測回應>的身份工具頁面 (預覽) 取得。