Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie den Defender for Identity-Sensor v3.x auf unterstützten Domänencontrollern bereit. Führen Sie die Voraussetzungsprüfungen vor der Aktivierung aus, und konfigurieren Sie anschließend die Überwachungs- und Identitätseinstellungen.
Vor der Aktivierung
Führen Sie diese Überprüfungen aus, bevor Sie den Sensor aktivieren.
Einschränkungen der Sensorversion
Bevor Sie den Defender for Identity-Sensor v3.x aktivieren, beachten Sie, dass v3.x:
- Unterstützt keine VPN-Integration.
- Unterstützt keine Syslog-Benachrichtigungen.
- Hat Einschränkungen beim Arbeiten mit Azure ExpressRoute. Weitere Informationen finden Sie unter Azure ExpressRoute für Microsoft 365.
- Unterstützt nicht die Migration von Domänencontrollern, auf denen Windows Server 2025 ausgeführt wird, von Sensor v2.x zu Sensor v3.x. Weitere Informationen finden Sie unter Bekannte Einschränkungen. .
Serveranforderungen
Stellen Sie sicher, dass der Server, auf dem Sie den Sensor aktivieren:
- Hat Defender für Endpunkt auf dem Server bereitgestellt. Die komponente Microsoft Defender Antivirus kann sich entweder im aktiven oder passiven Modus befinden. Defender für Endpunkt muss auf dem Server integriert werden, auf dem der Sensor ausgeführt wird. Die reine Endpunktbereitstellung ist nicht ausreichend.
- Es wurde noch kein Defender for Identity-Sensor v2.x bereitgestellt.
- Wird Windows Server 2019 oder höher ausgeführt.
- Enthält das kumulative Update märz 2026 oder höher .
Unterstützte Servertypen
Der v3.x-Sensor unterstützt Domänencontroller, einschließlich Domänencontrollern mit den folgenden Identitätsrollen:
- Active Directory-Verbunddienste (AD FS)
- Active Directory-Zertifikatdienste (AD CS, Active Directory Certificate Services)
- Microsoft Entra Connect
Verwenden Sie den Defender for Identity-Sensor v2.x für Server, die keine Domänencontroller sind, und führen Sie AD FS, AD CS oder Microsoft Entra Connect aus.
Lizenzierungsanforderungen
Für die Bereitstellung von Defender for Identity ist eine der folgenden Microsoft 365-Lizenzen erforderlich:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicherheit
- Microsoft 365 F5 Security + Compliance*
Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3. Erwerben Sie Lizenzen im Microsoft 365-Portal oder über CSP-Lizenzierung (Cloud Solution Partner). Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Lizenzierung und Datenschutz.
Rollen und Berechtigungen
Zum Erstellen Ihres Defender for Identity-Arbeitsbereichs benötigen Sie einen Microsoft Entra ID Mandanten.
Sie müssen entweder Sicherheitsadministrator sein oder über die folgenden einheitlichen RBAC-Berechtigungen verfügen:
System settings (Read and manage)Security settings (All permissions)
Netzwerkanforderungen
Der Defender for Identity-Sensor verwendet dieselben URIs wie Microsoft Defender for Endpoint. Lesen Sie die folgenden Dokumente für Defender für Endpunkt basierend auf der Konnektivität Ihres Systems, um die vollständige Liste der erforderlichen Dienstendpunkte zu finden.
Speicheranforderungen
In der folgenden Tabelle werden die Arbeitsspeicheranforderungen auf dem Server beschrieben, der für den Defender for Identity-Sensor verwendet wird, je nachdem, welche Art der Virtualisierung Sie verwenden:
| VIRTUELLER Computer, der auf ausgeführt wird | Beschreibung |
|---|---|
| Hyper-V | Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist. |
| Vmware | Stellen Sie sicher, dass die konfigurierte Arbeitsspeichermenge und der reservierte Arbeitsspeicher identisch sind, oder wählen Sie in den VM-Einstellungen die Option Alle Gastspeicher reservieren (Alle gesperrt) aus. |
| Anderer Virtualisierungshost | In der vom Hersteller bereitgestellten Dokumentation erfahren Sie, wie Sie sicherstellen können, dass arbeitsspeicher immer vollständig den VMs zugeordnet ist. |
Wichtig
Wenn Sie als virtueller Computer ausgeführt werden, weisen Sie dem virtuellen Computer immer den gesamten Arbeitsspeicher zu.
Version 3 des Sensors verhindert, dass der Sensor CPU oder Arbeitsspeicher überlasten kann, indem die CPU-Auslastung auf 30 % und die Arbeitsspeicherauslastung auf 1,5 GB begrenzt wird. Wenn jedoch ein anderer Dienst erhebliche Systemressourcen verwendet, kann die Leistung des Domänencontrollers weiterhin beeinträchtigt werden.
Informationen dazu, ob Ihre Domänencontrollerserver über genügend Ressourcen für einen Microsoft Defender for Identity Sensor verfügen, finden Sie in der Dokumentation zur Kapazitätsplanung von Defender for Identity.
Dienstkontoanforderungen
Der Defender for Identity-Sensor interagiert auf zwei Arten mit Active Directory:
- Lesen von AD-Daten (Abfragen von Objekten, Nachverfolgen von Änderungen, Auflösen von Entitäten). In v2.x wird hierfür ein Verzeichnisdienstkonto (Directory Service Account, DSA) verwendet. In v3.x verarbeitet LocalSystem dies automatisch.
- Durchführen von Korrekturaktionen (Deaktivieren von Konten, Zurücksetzen von Kennwörtern). In v2.x wird hierfür ein Aktionskonto verwendet. In v3.x verarbeitet LocalSystem dies automatisch.
Der v3.x-Sensor verwendet die lokale Systemidentität des Servers für beide Zwecke. Es werden keine Verzeichnisdienstkonten (Directory Service Accounts, DSA) oder gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA) verwendet. LocalSystem ist die einzige unterstützte Identität für v3.x.
Wenn Sie von Sensor v2.x migrieren und zuvor ein gMSA für Aktionskonten konfiguriert haben, wählen Sie im Microsoft Defender-Portal (Einstellungen>Identitäten>Microsoft Defender for Identity>Aktionskonten verwalten) die Option Automatisches Verwenden des lokalen Systemkontos des Sensors aus. Die v3.x-Sensoren verwenden keine gMSA-Konten, die für v2.x-Sensoren konfiguriert sind.
Wichtig
Wenn einer Ihrer Sensoren v3.x ist, wählen Sie Automatisch das lokale Systemkonto des Sensors für alle Sensoren verwenden aus. Die v3.x-Sensoren verwenden das lokale Systemkonto unabhängig von der gMSA-Konfiguration.
DSA- und gMSA-Integritätswarnungen in Umgebungen mit v2- und v3-Sensoren
Wenn für Ihren Arbeitsbereich weiterhin ein Verzeichnisdienstkonto (Directory Service Account, GMSA) oder ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) konfiguriert ist, da v2-Sensoren auf AD FS-, AD CS- oder Entra Connect-Servern dies weiterhin benötigen, werden DSA- und gMSA-Anmeldeinformationen weiterhin auf allen Sensoren im Arbeitsbereich überprüft, einschließlich v3-Sensoren. Wenn die Überprüfung fehlschlägt, wird die Warnung zu den Anmeldeinformationen des Verzeichnisdienstbenutzers falsch angezeigt. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Defender for Identity überprüft DSA- und gMSA-Anmeldeinformationen auf Arbeitsbereichsebene für alle Sensoren, solange diese Konten vorhanden sind, unabhängig davon, ob einzelne Sensoren sie für Überwachungs- oder Reaktionsaktionen verwenden.
V3-Sensoren ignorieren die DSA und gMSA für Überwachungs- und Antwortaktionen, sind aber weiterhin in der Überprüfung von Anmeldeinformationen auf Arbeitsbereichsebene enthalten. Um diese Integritätswarnung auf v3-Sensoren zu beenden, entfernen Sie die DSA oder gMSA auf Arbeitsbereichsebene, nachdem alle Sensoren vollständig zu v3 migriert wurden und keine v2-Sensoren dies erfordern.
Testen Der Voraussetzungen
Führen Sie das Test-MdiReadiness.ps1-Skript aus, um zu testen, ob Ihre Umgebung über die erforderlichen Voraussetzungen verfügt.
Das Test-MdiReadiness.ps1-Skript ist auch auf Microsoft Defender XDR auf der Seite Identitätstools > (Vorschau) verfügbar.
Aktivieren des Sensors
Nachdem Sie alle Voraussetzungen bestätigt haben, aktivieren Sie den Sensor über das Microsoft Defender-Portal.
Nach der Aktivierung
Führen Sie diese Konfigurationsschritte aus, nachdem der Sensor aktiviert und ausgeführt wurde.
Konfigurieren der Windows-Ereignisüberwachung
Defender for Identity basiert auf Windows-Ereignisprotokollen für viele Erkennungen. Aktivieren Sie für v3.x-Sensoren auf Domänencontrollern die automatische Überwachung, die alle Überwachungseinstellungen ohne manuelle Konfiguration verarbeitet.
Wenn die automatische Überwachung nicht verfügbar ist oder Sie sich abgemeldet haben, konfigurieren Sie die Überwachung manuell , oder verwenden Sie PowerShell.
Konfigurieren der RPC-Überwachung
Um die Sichtbarkeit der Sicherheit zu verbessern und zusätzliche Identitätserkennungen zu ermöglichen, wenden Sie das RPC-Überwachungstag unified sensor auf Ihre Geräte an. Nach der Anwendung wird die Konfiguration auf allen vorhandenen und zukünftigen Geräten erzwungen, die den Regelkriterien entsprechen. Das Tag wird zu Überwachungszwecken im Gerätebestand angezeigt.
Voraussetzungen
- Auf Geräten muss der Defender for Identity-Sensor version 3.0.4 oder höher ausgeführt werden. Geräte mit früheren Versionen unterstützen dieses Feature nicht und generieren keine RPC-Überwachungsintegritätswarnungen.
So wenden Sie das Tag an:
Navigieren Sie im Microsoft Defender-Portal zu Systemeinstellungen >> Microsoft Defender XDR > Verwaltung von Ressourcenregeln.
Wählen Sie Neue Regel erstellen aus.
Im Seitenbereich:
- Geben Sie einen Regelnamen und eine Beschreibung ein.
- Legen Sie Regelbedingungen mit
Device name,DomainoderDevice tagfest, um die gewünschten Computer als Ziel festzulegen. Zieldomänencontroller, auf denen der Sensor v3.x installiert ist. - Stellen Sie sicher, dass der Defender for Identity-Sensor v3.x bereits auf den ausgewählten Geräten bereitgestellt wurde.
Fügen Sie den ausgewählten Geräten das Tag Unified Sensor RPC Audit hinzu.
Wählen Sie Weiter aus, um die Regel zu überprüfen und fertigzustellen, und wählen Sie dann Übermitteln aus. Es kann bis zu einer Stunde dauern, bis die Regel wirksam wird.
Erfahren Sie mehr über Ressourcenverwaltungsregeln.
Empfohlene Einstellungen
- Legen Sie die Energieoption des Computers, auf dem der Defender for Identity-Sensor ausgeführt wird, auf Hohe Leistung fest.
- Synchronisieren Sie die Zeit auf Servern und Domänencontrollern, auf denen Sie den Sensor installieren, innerhalb von fünf Minuten voneinander.