Prerequisiti del sensore v2.x di Microsoft Defender per l'identità

Il sensore Defender for Identity v2.x ha i seguenti requisiti. Il sensore v2.x supporta:

  • Controller di dominio che eseguono Windows Server 2016 o versioni precedenti
  • AD FS, AD CS e Microsoft Entra Connect server che non sono controller di dominio

Consiglio

Per i controller di dominio che eseguono Windows Server 2019 o versioni successive, è consigliabile distribuire invece il sensore v3.x.

Requisiti di licenza

La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Sicurezza
  • Microsoft 365 F5 Sicurezza + conformità*
  • Una licenza autonoma di Defender for Identity

* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3.

Acquisire licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).

Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.

Ruoli e autorizzazioni

Requisiti di rete

Il sensore Defender per identità deve essere in grado di comunicare con il servizio cloud Defender per identità usando uno dei metodi seguenti:

Metodo Descrizione Considerazioni Ulteriori informazioni
Proxy I clienti che hanno distribuito un proxy di inoltro possono sfruttare il proxy per fornire connettività al servizio cloud MDI.

Se si sceglie questa opzione, sarà necessario configurare il proxy più avanti nel processo di distribuzione. Le configurazioni del proxy includono la possibilità di consentire il traffico verso l'URL del sensore e di configurare gli URL di Defender for Identity in qualsiasi elenco esplicito di elementi consentiti usato dal proxy o dal firewall.
Consente l'accesso a Internet per un singolo URL

L'ispezione SSL non è supportata
Configurare le impostazioni di connettività Internet e proxy dell'endpoint

Eseguire un'installazione invisibile all'utente con una configurazione proxy
ExpressRoute ExpressRoute può essere configurato per inoltrare il traffico del sensore MDI sulla express route del cliente.

Per instradare il traffico di rete diretto ai server cloud di Defender for Identity, utilizzare il peering Microsoft di ExpressRoute e aggiungere la community BGP del servizio Microsoft Defender per identità (12076:5220) al filtro di routing.
Richiede ExpressRoute Valore della community da servizio a BGP
Firewall che usa gli indirizzi IP di Defender for Identity Azure I clienti che non hanno un proxy o ExpressRoute possono configurare il firewall con gli indirizzi IP assegnati al servizio cloud MDI. Ciò richiede che il cliente monitori l'elenco di indirizzi IP Azure per eventuali modifiche negli indirizzi IP usati dal servizio cloud MDI.

Se hai scelto questa opzione, ti consigliamo di scaricare il file Azure IP Ranges and Service Tags – Public Cloud e di usare il tag di servizio AzureAdvancedThreatProtection per aggiungere gli indirizzi IP pertinenti.
Il cliente deve monitorare le assegnazioni IP Azure Tag del servizio di rete virtuale

Requisiti per i server

La tabella seguente riassume i requisiti del server e le raccomandazioni per il sensore Defender per l'identità.

Prerequisito/raccomandazione Descrizione
Specifiche Assicurarsi di installare Defender for Identity in Windows versione 2016 o successiva in un server controller di dominio con almeno:

- due nuclei
- 6 GB di RAM
- 6 GB di spazio su disco richiesto, 10 GB consigliati, incluso lo spazio per i file binari e i log di Defender per identità

Microsoft Defender for Identity supporta i controller di dominio di sola lettura (RODC).
Prestazioni Per ottenere prestazioni ottimali, impostare l'opzione power del computer che esegue il sensore Defender per identità su Prestazioni elevate.
Configurazione dell'interfaccia di rete Se si utilizzano macchine virtuali VMware, assicurarsi che la scheda di rete della macchina virtuale sia configurata con Large Send Offload (LSO) disabilitato. Per altre informazioni, vedere Problema del sensore di macchine virtuali VMware per altri dettagli.
Finestra di manutenzione È consigliabile pianificare una finestra di manutenzione per i controller di dominio, perché potrebbe essere necessario un riavvio se l'installazione viene eseguita e un riavvio è già in sospeso o se .NET Framework deve essere installato.

Se .NET Framework versione 4.7 o successiva non è già stato trovato nel sistema, .NET Framework versione 4.7 viene installato e potrebbe richiedere un riavvio.
Server di federazione AD FS Negli ambienti AD FS, i sensori Defender per identità sono supportati solo sui server federativi. Non sono necessari nei server web Application Proxy (WAP).
server di Microsoft Entra Connect Per Microsoft Entra server Connect, è necessario installare i sensori sia nei server attivi che in quello di staging.
Server AD CS (Servizi certificati di Active Directory) Il sensore di Defender per identità per AD CS supporta solo i server AD CS con il servizio ruolo Autorità di certificazione. Non è necessario installare sensori su alcun server AD CS offline.
Sincronizzazione dell'ora I server e i controller di dominio in cui è installato il sensore devono avere un tempo sincronizzato entro cinque minuti l'uno dall'altro.

Requisiti minimi del sistema operativo

I sensori di Defender for Identity possono essere installati nei seguenti sistemi operativi:

  • Windows Server 2016
  • Windows Server 2019. Richiede KB4487044 o un aggiornamento cumulativo più recente. I sensori installati nel server 2019 senza questo aggiornamento verranno arrestati automaticamente se la versione del ntdsai.dll file trovata nella directory di sistema è precedente than 10.0.17763.316
  • Windows Server 2022
  • Windows Server 2025

Per tutti i sistemi operativi:

  • Sono supportati sia i server con interfaccia desktop sia le installazioni Server Core.
  • I nano server non sono supportati.
  • Le installazioni sono supportate sui controller di dominio, sui server AD FS, AD CS e Entra Connect.

Sistemi operativi obsoleti

Windows Server 2012 e Windows Server 2012 R2 hanno raggiunto la fine estesa del supporto il 10 ottobre 2023. I sensori in esecuzione su questi sistemi operativi continuano a inviare dati a Defender for Identity e a ricevere anche gli aggiornamenti dei sensori, ma alcune funzionalità che dipendono dalle capacità del sistema operativo potrebbero non essere disponibili. È consigliabile aggiornare tutti i server usando questi sistemi operativi.

Porte richieste

Per consentire al sensore di Defender for Identity di comunicare con il servizio cloud, consenti il traffico HTTPS in uscita verso l'URL dell'API del sensore dell'area di lavoro nel formato seguente: https://<your-workspace-name>sensorapi.atp.azure.com. Ad esempio, se il nome dell'area di lavoro è "Contoso", consentire il traffico a https://contoso-corpsensorapi.atp.azure.com.

Protocollo Trasporto Porta Da A Note
Porte Internet
SSL (*.atp.azure.com) TCP 443 sensore di Defender for Identity Servizio cloud Defender per identità In alternativa, configurare l'accesso tramite un proxy.
Porte interne
DNS TCP e UDP 53 Sensore di Defender per l'identità Server DNS
RAGGIO UDP 1813 RAGGIO Sensore di Defender for Identity
Porta localhost Obbligatorio per l'aggiornamento del servizio sensore. Per impostazione predefinita, il traffico da localhost a localhost è consentito a meno che un criterio firewall personalizzato non lo blocchi.
SSL TCP 444 Servizio sensore Servizio di aggiornamento del sensore
Porte NNR (Network Name Resolution) Per risolvere gli indirizzi IP in nomi di computer, è consigliabile aprire tutte le porte elencate. Tuttavia, è necessaria una sola porta.
NTLM su RPC TCP Porta 135 Sensore di Defender for Identity Tutti i dispositivi in rete (DC, ADFS, ADCS e Microsoft Entra Connect)
Netbios UDP 137 Sensore di Defender for Identity Tutti i dispositivi in rete (DC, ADFS, ADCS e Microsoft Entra Connect)
RDP TCP 3389 Sensore di Defender for Identity Tutti i dispositivi in rete (DC, ADFS, ADCS e Microsoft Entra Connect) Solo il primo pacchetto di Client hello esegue query sul server DNS usando la ricerca DNS inversa dell'indirizzo IP (UDP 53)

Se si lavora con foreste multiple, assicurarsi che le porte seguenti siano aperte su qualsiasi computer in cui è installato un sensore di Defender for Identity:

Protocollo Trasporto Porta Da/verso Direzione
Porte Internet
SSL (*.atp.azure.com) TCP 443 Servizio cloud Defender per identità In uscita
Porte interne
LDAP TCP e UDP 389 Controller di dominio In uscita
LDAP sicuro (LDAPS) TCP 636 Controller di dominio In uscita
Da LDAP a Global Catalog TCP 3268 Controller di dominio In uscita
LDAPS al Catalogo globale TCP 3269 Controller di dominio In uscita

Consiglio

Per impostazione predefinita, i sensori di Defender for Identity interrogano la directory tramite LDAP sulle porte 389 e 3268. Per passare a LDAPS sulle porte 636 e 3269, aprire un ticket di supporto. Per altre informazioni, vedi supporto per Microsoft Defender per identità.

Requisiti di memoria

La tabella seguente descrive i requisiti di memoria nel server usato per il sensore Defender per identità, a seconda del tipo di virtualizzazione in uso:

VM in esecuzione su Descrizione
Hyper-V Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale.
Vmware Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutto bloccato) nelle impostazioni della macchina virtuale.
Altro host di virtualizzazione Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia allocata completamente alla macchina virtuale in qualsiasi momento.

Importante

Quando viene eseguita come macchina virtuale, tutta la memoria deve essere allocata alla macchina virtuale in qualsiasi momento.

Configurare il controllo degli eventi di Windows

I rilevamenti di Defender per identità si basano su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che eseguono azioni specifiche, ad esempio gli accessi NTLM e le modifiche ai gruppi di sicurezza.

Configura il controllo eventi di Windows sul controller di dominio per supportare i rilevamenti di Defender for Identity nel portale di Defender o tramite PowerShell.

Verifica i prerequisiti

È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente dispone dei prerequisiti necessari.

Lo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).

Passaggio successivo

Pianificare la capacità per Microsoft Defender per identità