Déployer le capteur Defender pour Identity v3.x

Déployez le capteur Defender pour Identity v3.x sur les contrôleurs de domaine pris en charge. Effectuez les vérifications des prérequis avant l’activation, puis configurez les paramètres d’audit et d’identité par la suite.

Avant d’activer

Effectuez ces vérifications avant d’activer le capteur.

Limitations de la version du capteur

Avant d’activer le capteur Defender pour Identity v3.x, notez que v3.x :

Configuration requise pour le serveur

Vérifiez que le serveur sur lequel vous activez le capteur :

  • Defender pour point de terminaison est déployé sur le serveur. Le composant antivirus Microsoft Defender peut être en mode actif ou passif. Defender pour point de terminaison doit être intégré sur le serveur sur lequel le capteur s’exécute ; Le déploiement de point de terminaison uniquement n’est pas suffisant.
  • Aucun capteur Defender pour Identity v2.x n’est déjà déployé.
  • Exécute Windows Server 2019 ou version ultérieure.
  • Inclut la mise à jour cumulative de mars 2026 ou ultérieure .

Types de serveurs pris en charge

Le capteur v3.x prend en charge les contrôleurs de domaine, y compris les contrôleurs de domaine avec les rôles d’identité suivants :

  • Services AD FS (Services ADFS)
  • Services de certificats Active Directory (AD CS)
  • Microsoft Entra Connect

Utilisez le capteur Defender pour Identity v2.x pour les serveurs qui ne sont pas des contrôleurs de domaine et exécutez AD FS, AD CS ou Microsoft Entra Connect.

Conditions d'octroi de licence

Le déploiement de Defender pour Identity nécessite l’une des licences Microsoft 365 suivantes :

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Sécurité Microsoft 365 E5/A5/G5/F5*
  • Microsoft 365 F5 Sécurité + Conformité*

Les deux licences F5 nécessitent Microsoft 365 F1/F3 ou Office 365 F3 et Enterprise Mobility + Security E3. Achetez des licences dans le portail Microsoft 365 ou via des licences Cloud Solution Partner (CSP). Pour plus d’informations, consultez FAQ sur les licences et la confidentialité.

Rôles et autorisations

  • Pour créer votre espace de travail Defender pour Identity, vous avez besoin d’un locataire Microsoft Entra ID.

  • Vous devez être administrateur de la sécurité ou disposer des autorisations RBAC unifiées suivantes :

    • System settings (Read and manage)
    • Security settings (All permissions)

Configuration requise pour le réseau

Le capteur Defender pour Identity utilise les mêmes URI que Microsoft Defender pour point de terminaison. Consultez les documents suivants pour Defender pour point de terminaison, en fonction de la connectivité de votre système, pour trouver la liste complète des points de terminaison de service requis.

Besoins en mémoire

Le tableau suivant décrit la mémoire requise sur le serveur utilisé pour le capteur Defender pour Identity, en fonction du type de virtualisation que vous utilisez :

Machine virtuelle en cours d’exécution sur Description
Hyper-V Vérifiez que l’option Activer la mémoire dynamique n’est pas activée pour la machine virtuelle.
Vmware Vérifiez que la quantité de mémoire configurée et la mémoire réservée sont identiques, ou sélectionnez l’option Réserver toute la mémoire invité (tout verrouillé) dans les paramètres de la machine virtuelle.
Autre hôte de virtualisation Reportez-vous à la documentation fournie par le fournisseur pour vous assurer que la mémoire est toujours entièrement allouée aux machines virtuelles.

Importante

Lors de l’exécution en tant que machine virtuelle, allouez toujours toute la mémoire à la machine virtuelle.

La version 3 du capteur empêche le capteur de surutilisation du processeur ou de la mémoire en limitant l’utilisation du processeur à 30 % et l’utilisation de la mémoire à 1,5 Go. Toutefois, si un autre service utilise des ressources système substantielles, le contrôleur de domaine peut toujours rencontrer des contraintes de performances.

Pour déterminer si vos serveurs de contrôleur de domaine disposent de suffisamment de ressources pour un capteur Microsoft Defender pour Identity, reportez-vous à la documentation relative à la planification de la capacité de Defender pour Identity.

Conditions requises pour les comptes de service

Le capteur v3.x utilise l’identité système locale du serveur pour les actions Active Directory et de réponse. Il ne prend pas en charge les comptes de service d’annuaire (DSA) ou les comptes de service administrés de groupe (gMSA). LocalSystem est la seule identité prise en charge pour v3.x.

Si vous effectuez une migration à partir du capteur v2.x et que vous aviez précédemment un compte gMSA configuré pour les comptes d’action, vous devez le supprimer. Si gMSA reste activé, les actions de réponse, y compris l’interruption des attaques, ne fonctionneront pas.

Importante

Dans les environnements qui utilisent des capteurs v2 et v3, utilisez des comptes système locaux pour tous vos capteurs.

Tester vos prérequis

Exécutez le script Test-MdiReadiness.ps1 pour tester si votre environnement a les prérequis nécessaires.

Le script Test-MdiReadiness.ps1 est également disponible à partir de Microsoft Defender XDR, dans la page Outils Identités > (préversion).

Activer le capteur

Après avoir confirmé toutes les conditions préalables, activez le capteur à partir du portail Microsoft Defender.

Après l’activation

Effectuez ces étapes de configuration une fois que le capteur est activé et en cours d’exécution.

Configurer l’audit des événements Windows

Defender pour Identity s’appuie sur les journaux des événements Windows pour de nombreuses détections. Pour les capteurs v3.x sur les contrôleurs de domaine, activez l’audit automatique, qui gère tous les paramètres d’audit sans configuration manuelle.

Si l’audit automatique n’est pas disponible ou si vous avez choisi de le faire, configurez l’audit manuellement ou utilisez PowerShell.

Configurer l’audit RPC

L’application d’étiquettes d’audit RPC à un appareil améliore la visibilité de la sécurité et déverrouille davantage de détections d’identité. Une fois appliquée, la configuration est appliquée sur tous les appareils existants et futurs qui correspondent aux critères de la règle. Les balises sont visibles dans l’inventaire des appareils pour les fonctionnalités de transparence et d’audit.

Les balises suivantes sont disponibles :

  • Audit RPC du capteur unifié : active l’audit RPC amélioré pour les détections d’identité avancées.
  • Audit étendu du capteur (préversion) : active des fonctionnalités d’audit RPC étendues pour des détections d’identité avancées supplémentaires. Nécessite la dernière mise à jour cumulative.

Pour appliquer une balise :

  1. Dans le portail Microsoft Defender, accédez à : Paramètres > système > Microsoft Defender XDR > Gestion des règles de ressources.

  2. Sélectionnez Créer une règle.

    Capture d’écran montrant comment ajouter une nouvelle règle.

  3. Dans le panneau latéral :

    1. Entrez un nom de règle et une description.
    2. Définissez des conditions de règle à l’aide Device namede , Domainou Device tag pour cibler les machines souhaitées. Ciblez les contrôleurs de domaine avec le capteur v3.x installé.
    3. Assurez-vous que le capteur Defender pour Identity v3.x est déjà déployé sur les appareils sélectionnés.

  4. Ajoutez la balise souhaitée (Audit RPC du capteur unifié ou Audit de capteur étendu) aux appareils sélectionnés.

    Capture d’écran montrant la balise d’audit RPC du capteur unifié appliquée à un appareil dans Asset Rule Management.

  5. Sélectionnez Suivant pour passer en revue et terminer la création de la règle, puis sélectionnez Envoyer. L’application de la règle peut prendre jusqu’à une heure.

En savoir plus sur les règles de gestion des ressources.

  • Définissez l’option d’alimentation de l’ordinateur exécutant le capteur Defender pour Identity sur Hautes performances.
  • Synchronisez l’heure sur les serveurs et les contrôleurs de domaine où vous installez le capteur à moins de cinq minutes les uns des autres.

Étape suivante

Activer le capteur Microsoft Defender pour Identity

  • Last updated on