Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i requisiti per l'installazione del sensore Microsoft Defender per identità v2.x.
Requisiti di licenza
La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicurezza
- Microsoft 365 F5 Sicurezza + conformità*
- Una licenza autonoma di Defender per identità
* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3.
Acquisire licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).
Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.
Ruoli e autorizzazioni
- Per creare l'area di lavoro Defender per identità, è necessario un tenant Microsoft Entra ID.
- È necessario avere un utente con un ruolo di amministratore della sicurezza . Per altre informazioni, vedere Microsoft Defender per identità gruppi di ruoli.
- È consigliabile usare almeno un account del servizio directory, con accesso in lettura a tutti gli oggetti nei domini monitorati. Per altre informazioni, vedere Configurare un account del servizio directory per Microsoft Defender per identità.
Requisiti di Connettività
Il sensore Defender per identità deve essere in grado di comunicare con il servizio cloud Defender per identità usando uno dei metodi seguenti:
| Metodo | Descrizione | Considerazioni | Ulteriori informazioni |
|---|---|---|---|
| Proxy | I clienti che hanno distribuito un proxy di inoltro possono sfruttare il proxy per fornire connettività al servizio cloud MDI. Se si sceglie questa opzione, sarà necessario configurare il proxy più avanti nel processo di distribuzione. Le configurazioni proxy includono l'abilitazione del traffico verso l'URL del sensore e la configurazione degli URL di Defender per identità a tutti gli elenchi consentiti espliciti usati dal proxy o dal firewall. |
Consente l'accesso a Internet per un singolo URL L'ispezione SSL non è supportata |
Configurare le impostazioni di connettività Internet e proxy dell'endpoint Eseguire un'installazione invisibile all'utente con una configurazione proxy |
| ExpressRoute | ExpressRoute può essere configurato per inoltrare il traffico del sensore MDI sulla express route del cliente. Per instradare il traffico di rete destinato ai server cloud defender per identità, usare il peering Microsoft ExpressRoute e aggiungere la community BGP del servizio Microsoft Defender per identità (12076:5220) al filtro di route. |
Richiede ExpressRoute | Valore della community da servizio a BGP |
| Firewall, usando gli indirizzi IP di Azure di Defender per identità | I clienti che non hanno un proxy o ExpressRoute possono configurare il firewall con gli indirizzi IP assegnati al servizio cloud MDI. Ciò richiede che il cliente monitori l'elenco di indirizzi IP di Azure per eventuali modifiche negli indirizzi IP usati dal servizio cloud MDI. Se si sceglie questa opzione, è consigliabile scaricare il file azure IP Ranges and Service Tags – Public Cloud e usare il tag del servizio AzureAdvancedThreatProtection per aggiungere gli indirizzi IP pertinenti. |
Il cliente deve monitorare le assegnazioni IP di Azure | Tag del servizio di rete virtuale |
Per altre informazioni, vedere architettura Microsoft Defender per identità.
Requisiti e raccomandazioni dei sensori
La tabella seguente riepiloga i requisiti del server e le raccomandazioni per il sensore Defender per identità.
| Prerequisito/raccomandazione | Descrizione |
|---|---|
| Specifiche | Assicurarsi di installare Defender for Identity in Windows versione 2016 o successiva in un server controller di dominio con almeno: - due core - 6 GB di RAM - 6 GB di spazio su disco richiesto, 10 GB consigliati, incluso lo spazio per i file binari e i log di Defender per identità Defender per identità supporta controller di dominio di sola lettura. |
| Prestazioni | Per ottenere prestazioni ottimali, impostare l'opzione power del computer che esegue il sensore Defender per identità su Prestazioni elevate. |
| Configurazione dell'interfaccia di rete | Se si usano macchine virtuali VMware, assicurarsi che la configurazione della scheda di interfaccia di rete della macchina virtuale abbia l'offload di invio di grandi dimensioni (LSO) disabilitato. Per altri dettagli, vedere Problema del sensore di macchine virtuali VMware . |
| Finestra di manutenzione | È consigliabile pianificare una finestra di manutenzione per i controller di dominio, perché potrebbe essere necessario un riavvio se l'installazione viene eseguita e un riavvio è già in sospeso o se .NET Framework deve essere installato. Se .NET Framework versione 4.7 o successiva non è già stato trovato nel sistema, .NET Framework versione 4.7 viene installato e potrebbe richiedere un riavvio. |
| Server federativi AD FS | Negli ambienti AD FS i sensori defender per identità sono supportati solo nei server federativi. Non sono necessari nei server web Application Proxy (WAP). |
| server Microsoft Entra Connect | Per Microsoft Entra server Connect, è necessario installare i sensori sia nei server attivi che in quello di staging. |
| Server servizi certificati Active Directory | Il sensore Defender per identità per Servizi certificati Active Directory supporta solo i server servizi certificati Active Directory con servizio ruolo autorità di certificazione. Non è necessario installare sensori in server servizi certificati Active Directory offline. |
| Sincronizzazione dell'ora | I server e i controller di dominio in cui è installato il sensore devono avere un tempo sincronizzato entro cinque minuti l'uno dall'altro. |
Requisiti minimi del sistema operativo
I sensori defender per identità possono essere installati nei sistemi operativi seguenti:
- Windows Server 2016
-
Windows Server 2019. Richiede KB4487044 o un aggiornamento cumulativo più recente. I sensori installati nel server 2019 senza questo aggiornamento verranno arrestati automaticamente se la versione del
ntdsai.dllfile trovata nella directory di sistema è precedentethan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Per tutti i sistemi operativi:
- Sono supportati entrambi i server con esperienza desktop e i core del server.
- I nano server non sono supportati.
- Le installazioni sono supportate per i controller di dominio, i server AD FS, AD CS e Entra Connect.
Sistemi operativi legacy
Windows Server 2012 e Windows Server 2012 R2 hanno raggiunto la fine estesa del supporto il 10 ottobre 2023. I sensori in esecuzione in questi sistemi operativi continuano a segnalare a Defender per identità e persino ricevere gli aggiornamenti dei sensori, ma alcune funzionalità che si basano sulle funzionalità del sistema operativo potrebbero non essere disponibili. È consigliabile aggiornare tutti i server usando questi sistemi operativi.
Porte necessarie
| Protocollo | Trasporto | Porta | Da | A | Note |
|---|---|---|---|---|---|
| Porte Internet | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Sensore Defender per identità | Servizio cloud Defender per identità | In alternativa, configurare l'accesso tramite un proxy. |
| Porte interne | |||||
| DNS | TCP e UDP | 53 | Sensore Defender per identità | Server DNS | |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensore Defender per identità | Tutti i dispositivi in rete | |
| RAGGIO | UDP | 1813 | RAGGIO | Sensore Defender per identità | |
| Porta localhost | Obbligatorio per l'aggiornamento del servizio sensore. Per impostazione predefinita, il traffico da localhost a localhost è consentito a meno che un criterio firewall personalizzato non lo blocchi. | ||||
| SSL | TCP | 444 | Servizio sensore | Servizio di aggiornamento del sensore | |
| Porte NNR (Network Name Resolution) | Per risolvere gli indirizzi IP in nomi di computer, è consigliabile aprire tutte le porte elencate. Tuttavia, è necessaria una sola porta. | ||||
| NTLM su RPC | TCP | Porta 135 | Sensore Defender per identità | Tutti i dispositivi in rete | |
| NetBIOS | UDP | 137 | Sensore Defender per identità | Tutti i dispositivi in rete | |
| RDP | TCP | 3389 | Sensore Defender per identità | Tutti i dispositivi in rete | Solo il primo pacchetto di Client hello esegue query sul server DNS usando la ricerca DNS inversa dell'indirizzo IP (UDP 53) |
Se si usano più foreste, assicurarsi che le porte seguenti siano aperte in qualsiasi computer in cui è installato un sensore Defender per identità:
| Protocollo | Trasporto | Porta | Da/verso | Direzione |
|---|---|---|---|---|
| Porte Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Servizio cloud Defender per identità | In uscita |
| Porte interne | ||||
| LDAP | TCP e UDP | 389 | Controller di dominio | In uscita |
| LDAP sicuro (LDAPS) | TCP | 636 | Controller di dominio | In uscita |
| DA LDAP a Catalogo globale | TCP | 3268 | Controller di dominio | In uscita |
| LDAPS al catalogo globale | TCP | 3269 | Controller di dominio | In uscita |
Consiglio
Per impostazione predefinita, i sensori defender per identità eseguono query sulla directory usando LDAP sulle porte 389 e 3268. Per passare a LDAPS sulle porte 636 e 3269, aprire un caso di supporto. Per altre informazioni, vedere Microsoft Defender per identità supporto.
Requisiti di memoria dinamica
La tabella seguente descrive i requisiti di memoria nel server usato per il sensore Defender per identità, a seconda del tipo di virtualizzazione in uso:
| Macchina virtuale in esecuzione in | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| VMware | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutto bloccato) nelle impostazioni della macchina virtuale. |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia allocata completamente alla macchina virtuale in qualsiasi momento. |
Importante
Quando viene eseguita come macchina virtuale, tutta la memoria deve essere allocata alla macchina virtuale in qualsiasi momento.
Configurare il controllo di Windows
I rilevamenti di Defender per identità si basano su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che eseguono azioni specifiche, ad esempio gli accessi NTLM e le modifiche ai gruppi di sicurezza.
Configurare la raccolta di eventi di Windows nel controller di dominio per supportare i rilevamenti di Defender per identità. Per altre informazioni, vedere Raccolta di eventi con Microsoft Defender per identità e Configurare i criteri di controllo per i log eventi di Windows.
È possibile usare il modulo PowerShell defender per identità per configurare le impostazioni necessarie. Ad esempio, il comando seguente definisce tutte le impostazioni per il dominio, crea oggetti Criteri di gruppo e li collega.
Set-MDIConfiguration -Mode Domain -Configuration All
Per altre informazioni, vedere:
Testare i prerequisiti
È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente dispone dei prerequisiti necessari.
Lo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).