本文說明安裝適用於身分識別的 Microsoft Defender 感測器 v3.x 的相關要求。
感測器版本限制
在啟用Defender for Identity感測器v3.x之前,請先考慮以下事項。 Defender for Identity sensor v3.x:
- 要求已部署 Defender for Endpoint,且 Microsoft Defender 防毒軟體元件必須以主動模式或被動模式運行。
- 無法在已部署 Defender for Identity 感測器 V2.x 的伺服器上啟用。
- 目前不支援 VPN 整合。
- 目前不支援 ExpressRoute。
授權需求
部署 Defender for Identity 需要以下 Microsoft 365 授權之一:
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* 安全Microsoft 365 F5 安全 + 合規*
- 這兩種 F5 授權都需要 Microsoft 365 F1/F3 或 Office 365 F3 以及 企業行動力 + 安全性 E3。
你可以在 Microsoft 365 入口網站購買授權,或透過雲端解決方案夥伴 (CSP) 授權購買。
欲了解更多資訊,請參閱 授權與隱私常見問題。
角色及權限
- 要建立你的 Defender for Identity 工作空間,你需要一個 Microsoft Entra ID 租戶。
- 您必須是 安全管理員,或擁有以下 統一 RBAC 權限:
System settings (Read and manage)Security settings (All permissions)
感測器需求與建議
下表總結了Defender for Identity感測器的伺服器需求與建議。
| 先修條件/推薦 | 描述 |
|---|---|
| 作業系統 | 網域控制器必須同時具備: - Windows Server 2019 或更新版本 - 2025年10月累積更新 或之後。 |
| 先前的安裝 | 在啟用網域控制器的感測器前,請確認網域控制器是否已經部署了 Defender for Identity 感測器 V2.x。 |
| 規格 | 域控制器伺服器,最低條件如下: - 兩個核心 - 6 GB 記憶體 |
| 效能 | 為了達到最佳效能,將執行Defender for Identity感測器的 機器電源選項 設為 高效能。 |
| 連線能力 | 需要部署 適用於端點的 Microsoft Defender。 如果網域控制器安裝了 適用於端點的 Microsoft Defender,則沒有額外的連線需求。 |
| 伺服器時間同步 | 安裝感測器的伺服器與域控制器必須同步時間,彼此相距不超過五分鐘。 |
| ExpressRoute | 這個版本的感測器不支援 ExpressRoute。 如果您的環境使用 ExpressRoute,我們建議 部署 Defender for Identity sensor v2.x。 |
| 身份與反應行動 | 感測器不需要在入口網站提供憑證。 即使輸入了憑證,感測器仍會利用伺服器上的 本地系統身份 來查詢 Active Directory 並執行回應動作。 若群組 管理服務帳號 (gMSA) 設定為回應動作,則回應動作會被停用。 |
動態記憶體需求
下表說明了用於 Defender for Identity 感測器的伺服器記憶體需求,依據您所使用的虛擬化類型而定:
| 虛擬機正在執行 | 描述 |
|---|---|
| Hyper-V | 確保虛擬機沒有啟用 動態記憶體 。 |
| VMware | 請確保設定的記憶體容量與保留記憶體相同,或在虛擬機設定中選擇「 保留所有訪客記憶體」 (「全部鎖定」) 選項。 |
| 其他虛擬化主機 | 請參閱廠商提供的文件,了解如何確保記憶體始終完全分配給虛擬機。 |
重要事項
當以虛擬機運作時,所有記憶體必須隨時分配給虛擬機。
在感測器 v3.x 上設定 RPC 稽核以支援進階身份偵測
套用 統一感測器 RPC 稽核 標籤,能在機器上啟用全新且經過測試的能力,提升安全可視性並解鎖更多身份偵測。 一旦套用,該配置會強制執行於符合規則標準的 現有及未來裝置 。 標籤本身會在裝置清單中顯示,為管理員提供透明度與稽核功能。
套用配置的步驟:
在 Microsoft Defender 入口網站中,請前往:系統>設定 > Microsoft Defender 全面偵測回應>資產規則管理。
選擇 建立新規則。
側邊面板:
輸入 規則名稱 和 說明。
使用、
DomainDevice tag或設定規則條件Device name,以鎖定目標機器。確保 Defender for Identity 感測器 v3.x 已部署於所選裝置。
匹配應該主要針對安裝感測器 v3.x 的 網域控制器 。
加上標籤
Unified Sensor RPC Audit到所選裝置。
選擇 「下一步 」以檢視並完成規則建立,然後選擇 提交。
更新規則
從此配置中移除裝置, 只能 透過 刪除資產規則 或 修改規則條件 使裝置不再匹配來完成。
注意事項
變更反映在入口網站可能需要長達一小時。
在此了解更多關於資產 管理規則的資訊。
設定 Windows 事件稽核
Defender for Identity 偵測依賴特定的 Windows 事件日誌條目來增強偵測能力,並提供使用者執行特定動作(如 NTLM 登入及安全群組修改)的額外資訊。
欲了解更多關於在 Defender 入口網站設定 Windows 事件稽核或使用 PowerShell 的資訊,請參閱 「配置 Windows 事件稽核」。
測試你的先修條件
我們建議執行 Test-MdiReadiness.ps1 腳本測試,看看你的環境是否具備必要的先決條件。
Test-MdiReadiness.ps1 腳本也可在Microsoft Defender 全面偵測回應>的身份工具頁面 (預覽) 取得。
下一步
啟用 Microsoft Defender for Identity 的 適用於身分識別的 Microsoft Defender 感測器