Defender for Identity 센서 v3.x 배포

지원되는 도메인 컨트롤러에 Defender for Identity 센서 v3.x를 배포합니다. 활성화하기 전에 필수 구성 요소 검사를 완료한 다음, 나중에 감사 및 ID 설정을 구성합니다.

활성화하기 전에

센서를 활성화하기 전에 이러한 검사를 완료합니다.

센서 버전 제한 사항

Defender for Identity 센서 v3.x를 활성화하기 전에 v3.x:

VPN 통합을 지원하지 않습니다.
syslog 알림을 지원하지 않습니다.
Azure ExpressRoute로 작업하는 데 제한이 있습니다. 자세한 내용은 Microsoft 365용 ExpressRoute Azure 참조하세요.
센서 v2.x에서 센서 v3.x로 Windows Server 2025를 실행하는 도메인 컨트롤러의 마이그레이션은 지원하지 않습니다. 자세한 내용은 알려진 제한 사항입니다. .

서버 요구 사항

센서를 활성화하는 서버가 있는지 확인합니다.

엔드포인트용 Defender가 서버에 배포되어 있습니다. Microsoft Defender 바이러스 백신 구성 요소는 활성 또는 수동 모드일 수 있습니다. 엔드포인트용 Defender는 센서가 실행되는 서버에 온보딩되어야 합니다. 엔드포인트 전용 배포로는 충분하지 않습니다.
Defender for Identity 센서 v2.x가 이미 배포되어 있지 않습니다.
Windows Server 2019 이상을 실행하고 있습니다.
2026년 3월 이상 누적 업데이트를 포함합니다.

지원되는 서버 유형

v3.x 센서는 다음 ID 역할이 있는 도메인 컨트롤러를 포함하여 도메인 컨트롤러를 지원합니다.

AD FS(Active Directory Federation Services)
AD CS(Active Directory 인증서 서비스)
Microsoft Entra 연결

도메인 컨트롤러가 아닌 서버에 Defender for Identity 센서 v2.x를 사용하고 AD FS, AD CS 또는 Microsoft Entra Connect를 실행합니다.

라이선스 요구사항

Defender for Identity를 배포하려면 다음 Microsoft 365 라이선스 중 하나가 필요합니다.

Enterprise Mobility + Security E5(EMS E5/A5)
Microsoft 365 E5(Microsoft E5/A5/G5)
Microsoft 365 E5/A5/G5/F5* 보안
Microsoft 365 F5 보안 + 규정 준수*

두 F5 라이선스 모두 Microsoft 365 F1/F3 또는 Office 365 F3 및 Enterprise Mobility + Security E3 필요합니다. Microsoft 365 포털 또는 CSP(클라우드 솔루션 파트너) 라이선스를 통해 라이선스를 구매합니다. 자세한 내용은 라이선스 및 개인 정보 FAQ를 참조하세요.

역할 및 사용 권한

Defender for Identity 작업 영역을 만들려면 Microsoft Entra ID 테넌트가 필요합니다.
보안 관리자이거나 다음과 같은 통합 RBAC 권한이 있어야 합니다.
- System settings (Read and manage)
- Security settings (All permissions)

네트워크 요구 사항

Defender for Identity 센서는 엔드포인트용 Microsoft Defender 동일한 URI를 사용합니다. 시스템 연결에 따라 엔드포인트용 Defender에 대한 다음 문서를 검토하여 필요한 서비스 엔드포인트의 전체 목록을 찾습니다.

메모리 요구 사항

다음 표에서는 사용 중인 가상화 유형에 따라 Defender for Identity 센서에 사용되는 서버의 메모리 요구 사항을 설명합니다.

실행 중인 VM	설명
Hyper-V	VM에 동적 메모리 사용을 사용하도록 설정하지 않았는지 확인합니다.
Vm 웨어	구성된 메모리 양과 예약된 메모리가 동일한지 확인하거나 VM 설정에서 모든 게스트 메모리 예약(모든 잠금) 옵션을 선택합니다.
기타 가상화 호스트	메모리가 항상 VM에 완전히 할당되도록 하는 방법에 대한 공급업체 제공 설명서를 참조하세요.

중요

가상 머신으로 실행하는 경우 항상 모든 메모리를 가상 머신에 할당합니다.

센서 버전 3은 CPU 사용률을 30%로 제한하고 메모리 사용량을 1.5GB로 제한하여 센서가 CPU 또는 메모리를 과도하게 사용하지 못하도록 합니다. 그러나 다른 서비스에서 상당한 시스템 리소스를 사용하는 경우 도메인 컨트롤러는 여전히 성능에 부담을 줄 수 있습니다.

도메인 컨트롤러 서버에 Microsoft Defender for Identity 센서에 대한 충분한 리소스가 있는지 확인하려면 Defender for Identity Capacity Planning 설명서를 참조하세요.

서비스 계정 요구 사항

Defender for Identity 센서는 다음 두 가지 방법으로 Active Directory와 상호 작용합니다.

AD 데이터 읽기 (개체 쿼리, 변경 내용 추적, 엔터티 확인). v2.x에서는 DSA(디렉터리 서비스 계정)를 사용합니다. v3.x에서 LocalSystem은 이 작업을 자동으로 처리합니다.
수정 작업 수행 (계정 비활성화, 암호 재설정). v2.x에서는 작업 계정을 사용합니다. v3.x에서 LocalSystem은 이 작업을 자동으로 처리합니다.

v3.x 센서는 서버의 로컬 시스템 ID를 두 가지 용도로 모두 사용합니다. DSA(디렉터리 서비스 계정) 또는 gMSA(그룹 관리 서비스 계정)를 사용하지 않습니다. LocalSystem은 v3.x에 대해 지원되는 유일한 ID입니다.

센서 v2.x에서 마이그레이션하고 이전에 작업 계정에 대해 gMSA를 구성한 경우 Microsoft Defender 포털에서 센서의 로컬 시스템 계정 자동 사용을 선택합니다(설정>ID>Microsoft Defender for Identity>작업 계정 관리). v3.x 센서는 v2.x 센서에 대해 구성된 gMSA 계정을 사용하지 않습니다.

중요

센서가 v3.x인 경우 모든 센서에 대해 센서의 로컬 시스템 계정 자동 사용을 선택합니다. v3.x 센서는 gMSA 구성에 관계없이 로컬 시스템 계정을 사용합니다.

v2 및 v3 센서가 모두 있는 환경에서 DSA 및 gMSA 상태 경고

AD FS, AD CS 또는 Entra Connect 서버의 v2 센서에 여전히 필요하기 때문에 작업 영역에 DSA(디렉터리 서비스 계정) 또는 gMSA(그룹 관리 서비스 계정)가 구성되어 있는 경우 v3 센서를 포함한 작업 영역의 모든 센서에서 DSA 및 gMSA 자격 증명의 유효성이 계속 검사됩니다. 유효성 검사가 실패하면 디렉터리 서비스 사용자 자격 증명이 잘못된 상태 경고가 나타납니다. 이것은 의도적으로 설계된 동작입니다. Defender for Identity는 개별 센서가 감사 또는 응답 작업에 사용하는지 여부에 관계없이 해당 계정이 존재하는 한 모든 센서의 작업 영역 수준에서 DSA 및 gMSA 자격 증명의 유효성을 검사합니다.

V3 센서는 감사 및 응답 작업을 위해 DSA 및 gMSA를 무시하지만 여전히 작업 영역 수준 자격 증명 유효성 검사에 포함되어 있습니다. v3 센서에서 이 상태 경고 수신을 중지하려면 모든 센서가 v3으로 완전히 마이그레이션되고 v2 센서가 필요하지 않은 후 작업 영역 수준 DSA 또는 gMSA를 제거합니다.

필수 구성 요소 테스트

Test-MdiReadiness.ps1 스크립트를 실행하여 환경에 필요한 필수 구성 요소가 있는지 테스트합니다.

Test-MdiReadiness.ps1 스크립트는 ID 도구 페이지(미리 보기)의 Microsoft Defender XDR > 사용할 수도 있습니다.

센서 활성화

모든 필수 구성 요소를 확인한 후 Microsoft Defender 포털에서 센서를 활성화합니다.

정품 인증 후

센서가 활성화되고 실행된 후 이러한 구성 단계를 완료합니다.

Windows 이벤트 감사 구성

Defender for Identity는 많은 검색을 위해 Windows 이벤트 로그를 사용합니다. 도메인 컨트롤러의 v3.x 센서의 경우 수동 구성 없이 모든 감사 설정을 처리하는 자동 감사를 사용하도록 설정합니다.

자동 감사를 사용할 수 없거나 옵트아웃한 경우 감사를 수동으로 구성 하거나 PowerShell을 사용합니다.

RPC 감사 구성

보안 가시성을 개선하고 추가 ID 검색을 사용하도록 설정하려면 통합 센서 RPC 감사 태그를 디바이스에 적용합니다. 일단 적용되면 구성은 규칙 조건과 일치하는 모든 기존 및 향후 디바이스에 적용됩니다. 태그는 감사 목적으로 디바이스 인벤토리에 표시됩니다.

필수 구성 요소

디바이스는 Defender for Identity 센서 버전 3.0.4 이상을 실행해야 합니다. 이전 버전을 실행하는 디바이스는 이 기능을 지원하지 않으며 RPC 감사 상태 경고를 생성하지 않습니다.

태그를 적용하려면 다음을 수행합니다.

Microsoft Defender 포털에서 시스템 > 설정 > Microsoft Defender XDR > 자산 규칙 관리로 이동합니다.
새 규칙 만들기를 선택합니다.
측면 패널에서 다음을 수행합니다.
1. 규칙 이름 및 설명을 입력합니다.
2. , Domain또는 Device tag 를 사용하여 Device name원하는 머신을 대상으로 하는 규칙 조건을 설정합니다. 센서 v3.x가 설치된 도메인 컨트롤러를 대상으로 합니다.
3. Defender for Identity 센서 v3.x가 선택한 디바이스에 이미 배포되어 있는지 확인합니다.
선택한 디바이스에 통합 센서 RPC 감사 태그를 추가합니다.
다음을 선택하여 규칙 만들기를 검토하고 완료한 다음 제출을 선택합니다. 규칙이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

자산 관리 규칙에 대해 자세히 알아보세요.

권장 설정

Defender for Identity 센서를 실행하는 컴퓨터의 전원 옵션을고성능으로 설정합니다.
센서를 설치하는 서버 및 도메인 컨트롤러의 시간을 서로 5분 이내에 동기화합니다.

다음 단계

Microsoft Defender for Identity 센서 활성화

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-06-02