Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Defender for Identity gebruikt sensoren om signalen van uw on-premises identiteitsinfrastructuur te verzamelen om bedreigingen te detecteren.
Defender for Identity detecteert bedreigingen zoals escalatie van bevoegdheden of laterale verplaatsingen met een hoog risico en rapporteert over eenvoudig misbruikte identiteitsproblemen, zoals niet-getrainde Kerberos-delegatie voor correctie door het beveiligingsteam.
Installeer Defender for Identity-sensoren op alle domeincontrollers, inclusief alleen-lezen domeincontrollers (RODC's). Als u AD FS-, AD CS- of Microsoft Entra Connect-servers in uw omgeving hebt die geen domeincontrollers zijn, installeert u de v2.x-sensor ook op elk van deze servers.
Selecteer uw implementatiemethode
De sensorversie die u implementeert, is afhankelijk van de serverfunctie en het besturingssysteem. Gebruik de volgende tabel om de juiste implementatie te selecteren voor elke server in uw omgeving.
| Serverconfiguratie | Serverbesturingssysteem | Aanbevolen implementatie |
|---|---|---|
| Domeincontroller | Windows Server 2019 of hoger met ten minste de cumulatieve update van maart 2026 | Defender for Identity-sensor v3.x |
| Domeincontroller met AD FS-, AD CS- of Microsoft Entra Connect-identiteitsrollen | Windows Server 2019 of hoger met ten minste de cumulatieve update van maart 2026 | Defender for Identity-sensor v3.x |
| Domeincontroller | Windows Server 2016 of eerder | Defender for Identity-sensor v2.x |
| AD FS-server die geen domeincontroller is | Windows Server 2016 of hoger | Defender for Identity-sensor v2.x |
| AD CS-server die geen domeincontroller is | Windows Server 2016 of hoger | Defender for Identity-sensor v2.x |
| Microsoft Entra Connect-server die geen domeincontroller is | Windows Server 2016 of hoger | Defender for Identity-sensor v2.x |
Defender for Identity ondersteunt gemengde omgevingen met zowel v3.x- als v2.x-sensoren. U kunt bijvoorbeeld v3.x implementeren op domeincontrollers met Windows Server 2019 of hoger en v2.x op oudere domeincontrollers of op AD FS-, AD CS- en Microsoft Entra Connect-servers die geen domeincontrollers zijn. Beide sensorversies werken samen en rapporteren aan dezelfde Defender for Identity-werkruimte.
Belangrijk
Als een van uw sensoren v3.x is, selecteert u Automatisch het lokale systeemaccount van de sensor gebruiken voor alle sensoren. De v3.x-sensoren maken geen gebruik van gMSA-accounts die zijn geconfigureerd voor v2.x-sensoren; ze gebruiken altijd het lokale systeemaccount. Zie Vereisten voor sensor v3.x-serviceaccounts voor meer informatie.
Voordat u de Defender for Identity-sensor v3.x activeert, moet u rekening houden met het volgende:
- Vereist Defender voor Eindpunt dat op de server is geïmplementeerd. De eindpuntimplementatie alleen is geen vereiste; Defender voor Eindpunt moet worden ge onboardd op de server waarop de sensor wordt uitgevoerd.
- Biedt geen ondersteuning voor VPN-integratie.
- Biedt geen ondersteuning voor Syslog-meldingen.
- Heeft beperkingen voor het werken met Azure ExpressRoute. Zie Azure ExpressRoute voor Microsoft 365 voor meer informatie.
Implementatiestappen voor sensor v3.x
Volg deze stappen om de sensor v3.x te implementeren op domeincontrollers met Windows Server 2019 of hoger, inclusief domeincontrollers waarop ook AD FS-, AD CS- of Microsoft Entra Connect-rollen worden uitgevoerd:
- Vereisten controleren
- De sensor activeren
- Windows-gebeurteniscontrole configureren
- RPC-controle configureren
- Implementatie valideren
Implementatiestappen voor sensor v2.x
Volg deze stappen om de sensor v2.x te implementeren op domeincontrollers met Windows Server 2016 of eerder, of op AD FS-, AD CS- en Microsoft Entra Connect-servers die geen domeincontrollers zijn:
- Vereisten controleren
- Capaciteit plannen
- Connectiviteit configureren
- De sensor installeren
- De sensor configureren
- Windows-gebeurteniscontrole configureren
- Directory Service-accounts configureren
- Configureren voor AD FS, AD CS of Entra Connect (indien van toepassing)
- Implementatie valideren