Vue d’ensemble du déploiement Microsoft Defender pour Identity

Defender pour Identity utilise des capteurs pour collecter les signaux de votre infrastructure d’identité locale afin de détecter les menaces.

Defender pour Identity détecte les menaces telles que l’escalade de privilèges ou le mouvement latéral à haut risque, et signale les problèmes d’identité facilement exploités tels que la délégation Kerberos sans contrainte pour correction par l’équipe de sécurité.

Installez des capteurs Defender pour Identity sur tous les contrôleurs de domaine, y compris les contrôleurs de domaine en lecture seule (RODC). Si vous avez des serveurs AD FS, AD CS ou Microsoft Entra Connect dans votre environnement qui ne sont pas des contrôleurs de domaine, installez également le capteur v2.x sur chacun de ces serveurs.

Sélectionner votre méthode de déploiement

La version du capteur que vous déployez dépend du rôle serveur et du système d’exploitation. Utilisez le tableau suivant pour sélectionner le déploiement approprié pour chaque serveur de votre environnement.

Defender pour Identity prend en charge les environnements mixtes avec des capteurs v3.x et v2.x. Par exemple, vous pouvez déployer v3.x sur des contrôleurs de domaine exécutant Windows Server 2019 ou version ultérieure, et v2.x sur des contrôleurs de domaine plus anciens ou sur des serveurs AD FS, AD CS et Microsoft Entra Connect qui ne sont pas des contrôleurs de domaine. Les deux versions de capteur fonctionnent ensemble et sont liées au même espace de travail Defender pour Identity.

Avant d’activer le capteur Defender pour Identity v3.x, notez que v3.x :

• Nécessite le déploiement de Defender pour point de terminaison sur le serveur. Le déploiement du point de terminaison seul n’est pas un prérequis ; Defender pour point de terminaison doit être intégré sur le serveur sur lequel le capteur s’exécute.
• Ne prend pas en charge l’intégration VPN.
• Ne prend pas en charge les notifications syslog.
• Présente des limitations en ce qui concerne l’utilisation de Azure ExpressRoute. Pour plus d’informations, consultez Azure ExpressRoute pour Microsoft 365.

Étapes de déploiement du capteur v3.x

Procédez comme suit pour déployer le capteur v3.x sur des contrôleurs de domaine exécutant Windows Server 2019 ou version ultérieure, y compris les contrôleurs de domaine qui exécutent également les rôles AD FS, AD CS ou Microsoft Entra Connect :

1. Vérifier les conditions préalables
2. Activer le capteur
3. Configurer l’audit des événements Windows
4. Configurer l’audit RPC
5. Valider le déploiement

Étapes de déploiement du capteur v2.x

Procédez comme suit pour déployer le capteur v2.x sur des contrôleurs de domaine exécutant Windows Server 2016 ou version ultérieure, ou sur des serveurs AD FS, AD CS et Microsoft Entra Connect qui ne sont pas des contrôleurs de domaine :

1. Vérifier les conditions préalables
2. Planifier la capacité
3. Configurer la connectivité
4. Installer le capteur
5. Configurer le capteur
6. Configurer l’audit des événements Windows
7. Configurer des comptes de service d’annuaire
8. Configurer pour AD FS, AD CS ou Entra Connect (le cas échéant)
9. Valider le déploiement

Étapes suivantes

• Préparer votre environnement pour le capteur v3
• Préparer votre environnement pour le capteur v2