Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Implementeer de Defender for Identity-sensor v3.x op ondersteunde domeincontrollers. Voltooi de vereiste controles vóór activering en configureer vervolgens controle- en identiteitsinstellingen.
Voordat u activeert
Voer deze controles uit voordat u de sensor activeert.
Beperkingen van sensorversies
Voordat u de Defender for Identity-sensor v3.x activeert, moet u rekening houden met het volgende:
- Biedt geen ondersteuning voor VPN-integratie.
- Biedt geen ondersteuning voor Syslog-meldingen.
- Heeft beperkingen voor het werken met Azure ExpressRoute. Zie Azure ExpressRoute voor Microsoft 365 voor meer informatie.
- Biedt geen ondersteuning voor de migratie van domeincontrollers met Windows Server 2025 van sensor v2.x naar sensor v3.x. Zie Bekende beperkingen voor meer informatie. .
Serververeisten
Zorg ervoor dat de server waarop u de sensor activeert:
- Defender voor Eindpunt is geïmplementeerd op de server. Het onderdeel Microsoft Defender Antivirus kan actief of passief zijn. Defender voor Eindpunt moet worden ge onboardd op de server waarop de sensor wordt uitgevoerd; implementatie met alleen eindpunten is niet voldoende.
- Er is nog geen Defender for Identity-sensor v2.x geïmplementeerd.
- Wordt uitgevoerd Windows Server 2019 of hoger.
- Bevat de cumulatieve update van maart 2026 of hoger .
Ondersteunde servertypen
De v3.x-sensor ondersteunt domeincontrollers, inclusief domeincontrollers met deze identiteitsrollen:
- Active Directory Federation Services (AD FS)
- Active Directory Certificate Services (AD CS)
- Microsoft Entra Connect
Gebruik de Defender for Identity-sensor v2.x voor servers die geen domeincontrollers zijn en voer AD FS, AD CS of Microsoft Entra Connect uit.
Licentievereisten
Voor het implementeren van Defender for Identity is een van de volgende Microsoft 365-licenties vereist:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Beveiliging
- Microsoft 365 F5 Beveiliging en naleving*
Voor beide F5-licenties is Microsoft 365 F1/F3 of Office 365 F3 en Enterprise Mobility + Security E3 vereist. Koop licenties in de Microsoft 365-portal of via CSP-licenties (Cloud Solution Partner). Zie Veelgestelde vragen over licenties en privacy voor meer informatie.
Rollen en machtigingen
Als u uw Defender for Identity-werkruimte wilt maken, hebt u een Microsoft Entra ID-tenant nodig.
U moet een beveiligingsbeheerder zijn of de volgende Unified RBAC-machtigingen hebben:
System settings (Read and manage)Security settings (All permissions)
Vereisten voor netwerkfirewall
De Defender for Identity-sensor gebruikt dezelfde URI's als Microsoft Defender voor Eindpunt. Bekijk de volgende documenten voor Defender voor Eindpunt, op basis van de connectiviteit van uw systeem, om de volledige lijst met vereiste service-eindpunten te vinden.
Microsoft Defender voor Eindpunt gestroomlijnde connectiviteits-URL's
URL's voor standaardconnectiviteit Microsoft Defender voor Eindpunt
Geheugenvereisten
In de volgende tabel worden de geheugenvereisten beschreven op de server die wordt gebruikt voor de Defender for Identity-sensor, afhankelijk van het type virtualisatie dat u gebruikt:
| VM die wordt uitgevoerd op | Beschrijving |
|---|---|
| Hyper-V | Zorg ervoor dat Dynamisch geheugen inschakelen niet is ingeschakeld voor de VM. |
| Vmware | Zorg ervoor dat de hoeveelheid geconfigureerd geheugen en het gereserveerde geheugen hetzelfde zijn, of selecteer de optie Alle gastgeheugen reserveren (Alle vergrendelde) in de VM-instellingen. |
| Andere virtualisatiehost | Raadpleeg de door de leverancier geleverde documentatie over hoe u ervoor kunt zorgen dat geheugen altijd volledig is toegewezen aan de VM's. |
Belangrijk
Wanneer u als een virtuele machine wordt uitgevoerd, wijst u altijd al het geheugen toe aan de virtuele machine.
Versie 3 van de sensor voorkomt dat de sensor de CPU of het geheugen te veel gebruikt door het CPU-gebruik te beperken tot 30% en het geheugengebruik tot 1,5 GB. Als een andere service echter aanzienlijke systeembronnen gebruikt, kan de domeincontroller nog steeds prestatiebelasting ondervinden.
Raadpleeg de documentatie voor Defender for Identity Capacity Planning om te bepalen of uw domeincontrollerservers voldoende resources hebben voor een Microsoft Defender for Identity sensor.
Vereisten voor serviceaccounts
De v3.x-sensor maakt gebruik van de lokale systeemidentiteit van de server voor Active Directory- en antwoordacties. Het biedt geen ondersteuning voor Directory Service-accounts (DSA) of beheerde serviceaccounts voor groepen (gMSA). LocalSystem is de enige ondersteunde identiteit voor v3.x.
Als u migreert van sensor v2.x en eerder een gMSA hebt geconfigureerd voor actieaccounts, moet u deze verwijderen. Als gMSA ingeschakeld blijft, werken reactieacties, waaronder onderbreking van aanvallen, niet.
Belangrijk
In omgevingen waarin zowel v2- als v3-sensoren worden gebruikt, gebruikt u lokale systeemaccounts voor al uw sensoren.
Uw vereisten testen
Voer het Test-MdiReadiness.ps1-script uit om te testen of uw omgeving aan de vereiste vereisten voldoet.
Het Test-MdiReadiness.ps1 script is ook beschikbaar via Microsoft Defender XDR op de pagina Hulpmiddelen voor identiteiten > (preview).
De sensor activeren
Nadat u alle vereisten hebt bevestigd, activeert u de sensor vanuit de Microsoft Defender-portal.
Nadat u hebt geactiveerd
Voltooi deze configuratiestappen nadat de sensor is geactiveerd en wordt uitgevoerd.
Windows-gebeurteniscontrole configureren
Defender for Identity is voor veel detecties afhankelijk van Windows-gebeurtenislogboeken. Voor v3.x-sensoren op domeincontrollers schakelt u automatische controle in, waarmee alle controle-instellingen worden verwerkt zonder handmatige configuratie.
Als automatische controle niet beschikbaar is of als u zich hebt afgemeld, configureert u de controle handmatig of gebruikt u PowerShell.
RPC-controle configureren
Het toepassen van RPC-controletags op een apparaat verbetert de zichtbaarheid van de beveiliging en ontgrendelt meer identiteitsdetecties. Zodra de configuratie is toegepast, wordt de configuratie afgedwongen op alle bestaande en toekomstige apparaten die voldoen aan de regelcriteria. De tags zijn zichtbaar in de apparaatinventaris voor transparantie en controlemogelijkheden.
De volgende tags zijn beschikbaar:
- Unified Sensor RPC-controle: maakt verbeterde RPC-controle mogelijk voor geavanceerde identiteitsdetecties.
- Uitgebreide sensorcontrole (preview): maakt uitgebreide RPC-controlemogelijkheden mogelijk voor aanvullende geavanceerde identiteitsdetecties. Vereist de meest recente cumulatieve update.
Een tag toepassen:
Navigeer in de Microsoft Defender-portal naar: Systeeminstellingen >> Microsoft Defender XDR > Asset Rule Management.
Selecteer Een nieuwe regel maken.
In het zijpaneel:
- Voer een regelnaam en beschrijving in.
- Stel regelvoorwaarden in met behulp van
Device name,DomainofDevice tagom de gewenste machines te gebruiken. Doeldomeincontrollers waarop de sensor v3.x is geïnstalleerd. - Zorg ervoor dat de Defender for Identity-sensor v3.x al is geïmplementeerd op de geselecteerde apparaten.
Voeg de gewenste tag (Unified Sensor RPC Audit of Extended Sensor Audit) toe aan de geselecteerde apparaten.
Selecteer Volgende om het maken van de regel te controleren en te voltooien en selecteer vervolgens Verzenden. Het kan tot één uur duren voordat de regel van kracht wordt.
Meer informatie over assetbeheerregels.
Aanbevolen instellingen
- Stel de aan/uit-optie van de computer waarop de Defender for Identity-sensor wordt uitgevoerd in op Hoge prestaties.
- Synchroniseer de tijd op servers en domeincontrollers waarop u de sensor installeert binnen vijf minuten na elkaar.