部署 Defender for Identity 传感器 v3.x

在支持的域控制器上部署 Defender for Identity 传感器 v3.x。 在激活前完成先决条件检查,然后配置审核和标识设置。

激活之前

在激活传感器之前完成这些检查。

传感器版本限制

在激活 Defender for Identity 传感器 v3.x 之前,请注意 v3.x:

服务器要求

确保要激活传感器的服务器:

  • 已在服务器上部署 Defender for Endpoint。 Microsoft Defender防病毒组件可以处于主动或被动模式。 必须在运行传感器的服务器上加入 Defender for Endpoint;仅终结点部署是不够的。
  • 尚未部署 Defender for Identity 传感器 v2.x。
  • 正在运行 Windows Server 2019 或更高版本。
  • 包括 2026 年 3 月或更高版本 的累积更新。

支持的服务器类型

v3.x 传感器支持域控制器,包括具有以下标识角色的域控制器:

  • Active Directory 联合身份验证服务 (AD FS)
  • Active Directory 证书服务 (AD CS)
  • Microsoft Entra Connect

Defender for Identity 传感器 v2.x 用于非域控制器的服务器,并运行 AD FS、AD CS 或 Microsoft Entra Connect。

许可要求

部署 Defender for Identity 需要以下Microsoft 365 个许可证之一:

  • 企业移动性 + 安全性 E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* 安全性
  • Microsoft 365 F5 安全性 + 合规性*

这两个 F5 许可证都需要 Microsoft 365 F1/F3 或 Office 365 F3 和 企业移动性 + 安全性 E3。 在 Microsoft 365 门户中或通过云解决方案合作伙伴 (CSP) 许可购买许可证。 有关详细信息,请参阅 许可和隐私常见问题解答

角色和权限

  • 若要创建 Defender for Identity 工作区,需要Microsoft Entra ID租户。

  • 必须是 安全管理员,或具有以下 统一 RBAC 权限:

    • System settings (Read and manage)
    • Security settings (All permissions)

网络要求

Defender for Identity 传感器使用与Microsoft Defender for Endpoint相同的 URI。 根据系统连接性查看 Defender for Endpoint 的以下文档,查找所需服务终结点的完整列表。

内存要求

下表描述了用于 Defender for Identity 传感器的服务器上的内存要求,具体取决于所使用的虚拟化类型:

在 上运行的 VM 说明
Hyper-V 确保未为 VM 启用 动态内存
Vmware 确保配置的内存量与预留内存相同,或在 VM 设置中选择“ 保留所有来宾内存 (所有锁定) ”选项。
其他虚拟化主机 请参阅供应商提供的文档,了解如何确保始终将内存完全分配给 VM。

重要

作为虚拟机运行时,始终将所有内存分配给虚拟机。

传感器版本 3 将 CPU 使用率限制为 30%,内存使用率限制为 1.5 GB,从而防止传感器过度使用 CPU 或内存。 但是,如果任何其他服务使用大量系统资源,则域控制器可能仍会遇到性能压力。

请参阅 Defender for Identity Capacity Planning 文档,以确定域控制器服务器是否有足够的资源用于Microsoft Defender for Identity传感器。

服务帐户要求

v3.x 传感器使用服务器的本地系统标识进行 Active Directory 和响应操作。 它不支持目录服务帐户 (DSA) 或组托管服务帐户 (gMSA) 。 LocalSystem 是 v3.x 唯一支持的标识。

如果要从传感器 v2.x 迁移,并且以前为 操作帐户配置了 gMSA,则必须将其删除。 如果 gMSA 保持启用状态,响应操作(包括 攻击中断)将不起作用。

重要

在使用 v2 和 v3 传感器的环境中,对所有传感器使用本地系统帐户。

测试先决条件

运行 Test-MdiReadiness.ps1 脚本以测试环境是否具有必要的先决条件。

Test-MdiReadiness.ps1 脚本也可在“标识>工具”页上Microsoft Defender XDR (预览) 。

激活传感器

确认所有先决条件后,从Microsoft Defender门户激活传感器

激活后

激活并运行传感器后,完成这些配置步骤。

配置 Windows 事件审核

Defender for Identity 依赖于 Windows 事件日志进行许多检测。 对于域控制器上的 v3.x 传感器, 启用自动审核,无需手动配置即可处理所有审核设置。

如果自动审核不可用或你选择退出,请手动配置审核或使用 PowerShell

配置 RPC 审核

将 RPC 审核标记应用于设备可提高安全可见性并解锁更多标识检测。 应用后,将在符合规则条件的所有现有和未来设备上强制实施配置。 这些标记在设备清单中可见,以获取透明度和审核功能。

以下标记可用:

  • 统一传感器 RPC 审核:为高级标识检测启用增强的 RPC 审核。
  • 扩展传感器审核 (预览版) :为其他高级标识检测启用扩展 RPC 审核功能。 需要最新的累积更新。

应用标记:

  1. Microsoft Defender门户中,导航到“系统>设置”>Microsoft Defender XDR>“资产规则管理”。

  2. 选择“ 创建新规则”。

    显示如何添加新规则的屏幕截图。

  3. 在侧面板中:

    1. 输入 “规则名称”“说明”。
    2. 使用 Device nameDomainDevice tag 设置规则条件,以面向所需的计算机。 安装了传感器 v3.x 的目标域控制器。
    3. 确保已在所选设备上部署 Defender for Identity 传感器 v3.x

  4. 将所需标记 (统一传感器 RPC 审核扩展传感器审核) 添加到所选设备。

    显示已应用于资产规则管理中的设备的统一传感器 RPC 审核标记的屏幕截图。

  5. 选择“ 下一步 ”查看并完成规则创建,然后选择“ 提交”。 该规则可能需要长达一小时才能生效。

详细了解 资产管理规则

  • 将运行 Defender for Identity 传感器的计算机的 电源选项 设置为 “高性能”。
  • 将安装传感器的服务器和域控制器上的时间同步到五分钟内。

后续步骤

激活Microsoft Defender for Identity传感器

  • Last updated on