Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Разверните датчик Defender для удостоверений версии 3.x на поддерживаемых контроллерах домена. Выполните предварительные проверки перед активацией, а затем настройте параметры аудита и удостоверений.
Перед активацией
Выполните эти проверки перед активацией датчика.
Ограничения версий датчика
Прежде чем активировать датчик Defender для удостоверений версии 3.x, обратите внимание на следующее:
- Не поддерживает интеграцию VPN.
- Не поддерживает уведомления системного журнала.
- Имеет ограничения, связанные с Azure ExpressRoute. Дополнительные сведения см. в статье Azure ExpressRoute для Microsoft 365.
- Не поддерживает миграцию контроллеров домена под управлением Windows Server 2025 с датчика версии 2.x на датчик версии 3.x. Дополнительные сведения см. в статье Известные ограничения. .
Требования к серверу
Убедитесь, что сервер, на котором активируется датчик:
- На сервере развернут Defender для конечной точки. Компонент антивирусной программы Microsoft Defender может находиться в активном или пассивном режиме. Defender для конечной точки должен быть подключен на сервере, где работает датчик; Недостаточно развертывания только для конечной точки.
- Не развернут датчик Defender для удостоверений версии 2.x.
- Выполняется Windows Server 2019 или более поздней версии.
- Включает накопительное обновление за март 2026 г. или более поздней версии .
Поддерживаемые типы серверов
Датчик версии 3.x поддерживает контроллеры домена, включая контроллеры домена со следующими ролями удостоверений:
- Службы федерации Active Directory (AD FS)
- Служба сертификации Active Directory
- Microsoft Entra Connect
Используйте датчик Defender для удостоверений версии 2.x для серверов, которые не являются контроллерами домена и работают под управлением AD FS, AD CS или Microsoft Entra Connect.
Требования к лицензированию
Для развертывания Defender для удостоверений требуется одна из следующих лицензий Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- безопасность Microsoft 365 E5/A5/G5/F5*
- Безопасность и соответствие требованиям Microsoft 365 F5*
Для обеих лицензий F5 требуется Microsoft 365 F1/F3 или Office 365 F3 и Enterprise Mobility + Security E3. Приобретение лицензий на портале Microsoft 365 или в рамках лицензирования Cloud Solution Partner (CSP). Дополнительные сведения см. в разделе Вопросы и ответы о лицензировании и конфиденциальности.
Роли и разрешения
Чтобы создать рабочую область Defender для удостоверений, требуется клиент Microsoft Entra ID.
Вы должны быть администратором безопасности или иметь следующие разрешения единого RBAC :
System settings (Read and manage)Security settings (All permissions)
Требования к сети
Датчик Defender для удостоверений использует те же URI, что и Microsoft Defender для конечной точки. Чтобы найти полный список необходимых конечных точек службы, ознакомьтесь со следующими документами для Defender для конечной точки на основе подключения вашей системы.
Microsoft Defender для конечной точки оптимизированные URL-адреса подключения
Microsoft Defender для конечной точки URL-адреса стандартных подключений
Требования к памяти
В следующей таблице описаны требования к памяти на сервере, используемом для датчика Defender для удостоверений, в зависимости от типа используемой виртуализации:
| Виртуальная машина, запущенная на | Описание |
|---|---|
| Hyper-V | Убедитесь, что параметр Включить динамическую память не включен для виртуальной машины. |
| Vmware | Убедитесь, что настроенный объем памяти и зарезервированная память одинаковы, или выберите параметр Зарезервировать всю гостевую память (все заблокированы) в параметрах виртуальной машины. |
| Другой узел виртуализации | Сведения о том, как обеспечить полное выделение памяти для виртуальных машин, см. в документации, предоставленной поставщиком. |
Важно!
При запуске в качестве виртуальной машины всегда распределяйте всю память для виртуальной машины.
Версия 3 датчика предотвращает чрезмерное использование ЦП или памяти датчиком, ограничивая загрузку ЦП на уровне 30 %, а использование памяти — 1,5 ГБ. Однако если какая-либо другая служба использует значительные системные ресурсы, контроллер домена может по-прежнему испытывать нагрузку на производительность.
Ознакомьтесь с документацией по планированию емкости Defender для удостоверений, чтобы определить, есть ли у серверов контроллера домена достаточно ресурсов для Microsoft Defender для удостоверений датчика.
Требования к учетной записи службы
Датчик Defender для удостоверений взаимодействует с Active Directory двумя способами:
- Чтение данных AD (запрос объектов, отслеживание изменений, разрешение сущностей). В версии 2.x используется учетная запись службы каталогов (DSA). В версии 3.x localSystem обрабатывает это автоматически.
- Выполнение действий по исправлению (отключение учетных записей, сброс паролей). В версии 2.x используется учетная запись действия. В версии 3.x localSystem обрабатывает это автоматически.
Датчик версии 3.x использует удостоверение локальной системы сервера для обеих целей. В нем не используются учетные записи службы каталогов (DSA) или групповые управляемые учетные записи служб (gMSA). LocalSystem — это единственное поддерживаеме удостоверение для версии 3.x.
Если вы выполняете миграцию с датчика версии 2.x и ранее для учетных записей действий настроена gMSA, выберите Автоматически использовать учетную запись локальной системы датчика на портале Microsoft Defender (Параметры>Удостоверения>Microsoft Defender для удостоверений>Управление учетными записями действий). Датчики версии 3.x не используют учетные записи gMSA, настроенные для датчиков версии 2.x.
Важно!
Если какой-либо из ваших датчиков версии 3.x, выберите Автоматически использовать учетную запись локальной системы датчика для всех датчиков. Датчики версии 3.x используют учетную запись локальной системы независимо от конфигурации gMSA.
Оповещения о работоспособности DSA и gMSA в средах с датчиками версии 2 и 3
Если в рабочей области по-прежнему настроена учетная запись службы каталогов (DSA) или управляемая учетная запись групповой службы (gMSA), так как датчики версии 2 на серверах AD FS, AD CS или Entra Connect по-прежнему требуются, учетные данные DSA и gMSA по-прежнему проверяются на всех датчиках в рабочей области, включая датчики версии 3. Если проверка завершается ошибкой, отображается оповещение о работоспособности учетных данных пользователя служб каталогов . Такое поведение является особенностью данного продукта. Defender для удостоверений проверяет учетные данные DSA и gMSA на уровне рабочей области для всех датчиков, пока эти учетные записи существуют, независимо от того, используют ли их отдельные датчики для аудита или реагирования.
Датчики версии 3 игнорируют DSA и gMSA для действий аудита и реагирования, но они по-прежнему включены в проверку учетных данных на уровне рабочей области. Чтобы прекратить получать это оповещение о работоспособности на датчиках версии 3, удалите DSA или gMSA на уровне рабочей области после того, как все датчики будут полностью перенесены в версию 3 и датчики версии 2 не требуются.
Тестирование необходимых компонентов
Запустите сценарий Test-MdiReadiness.ps1 , чтобы проверить, есть ли в вашей среде необходимые предварительные требования.
Скрипт Test-MdiReadiness.ps1 также доступен в Microsoft Defender XDR на странице Средства удостоверений > (предварительная версия).
Активация датчика
После подтверждения всех предварительных требований активируйте датчик на портале Microsoft Defender.
После активации
Выполните эти действия по настройке после активации и запуска датчика.
Настройка аудита событий Windows
Defender для удостоверений использует журналы событий Windows для многих обнаружений. Для датчиков версии 3.x на контроллерах домена включите автоматический аудит, который обрабатывает все параметры аудита без настройки вручную.
Если автоматический аудит недоступен или вы отказались, настройте аудит вручную или используйте PowerShell.
Настройка аудита RPC
Чтобы улучшить видимость безопасности и включить дополнительные обнаружения удостоверений, примените к устройствам тег аудита RPC Unified Sensor . После применения конфигурация применяется ко всем существующим и будущим устройствам, которые соответствуют условиям правила. Тег отображается в инвентаризации устройств для целей аудита.
Предварительные условия
- На устройствах должен быть запущен датчик Defender для удостоверений версии 3.0.4 или более поздней. Устройства под управлением более ранних версий не поддерживают эту функцию и не создают оповещения о работоспособности аудита RPC.
Чтобы применить тег, выполните указанные ниже действия.
На портале Microsoft Defender перейдите в раздел Параметры > системы > Microsoft Defender XDR > Управление правилами активов.
Выберите Создать новое правило.
На боковой панели:
- Введите имя правила и описание.
- Задайте условия правила с помощью
Device name,DomainилиDevice tag, чтобы нацелиться на нужные компьютеры. Целевые контроллеры домена с установленным датчиком версии 3.x. - Убедитесь, что датчик Defender для удостоверений версии 3.x уже развернут на выбранных устройствах.
Добавьте тег Аудита RPC единого датчика на выбранные устройства.
Нажмите кнопку Далее , чтобы просмотреть и завершить создание правила, а затем нажмите кнопку Отправить. Для его действия может потребоваться до одного часа.
Дополнительные сведения о правилах управления ресурсами.
Рекомендуемые параметры
- Установите для параметра Питания компьютера, на котором работает датчик Defender для удостоверений , значение Высокая производительность.
- Синхронизируйте время на серверах и контроллерах домена, где устанавливается датчик, в течение пяти минут друг от друга.