Schnellinstallationsanleitung

  • Artikel

Dieser Artikel beschreibt die Schritte, die für die Installation von Microsoft Defender für Identitätssensoren auf Active Directory-, Active Directory Federation Services (AD FS)- oder Active Directory Certification Services (AD CS)-Servern erforderlich sind. Ausführlichere Anweisungen finden Sie unter Bereitstellen von Microsoft Defender for Identity mit Microsoft Defender XDR.

Sehen Sie sich das folgende Video für eine schrittweise Demo an und erfahren Sie mehr über:

  • Die Bedeutung der Installation von Defender for Identity-Sensoren zum Schutz Ihrer Organisation vor identitätsbasierten Angriffen
  • Herunterladen und Installieren des Clients
  • Suchen potenzieller Sensor- und Konfigurationsintegritätsprobleme
  • Anzeigen identitätsbezogener Haltungsbewertungen in der Microsoft-Sicherheitsbewertung

Voraussetzungen

In diesem Abschnitt werden die voraussetzungen aufgeführt, die vor der Installation des Defender for Identity-Sensors erforderlich sind, einschließlich:

  • Lizenzierung
  • Berechtigungen
  • Systemanforderungen
  • Empfehlungen und bewährte Methoden

Jede Defender for Identity-Instanz unterstützt mehrere Active Directory-Gesamtstrukturbegrenzungen und die Gesamtstrukturfunktionsebene (Forest Functional Level, FFL) von Windows 2003 und höher.

Lizenzanforderungen

Stellen Sie sicher, dass Sie über eine der folgenden erforderlichen Lizenzen verfügen:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Microsoft 365 F5 Security + Compliance*
  • Eine eigenständige Defender for Identity-Lizenzen

* Beide F5-Lizenzen erfordern Microsoft 365 F1/F3 oder Office 365 F3 und Enterprise Mobility + Security E3.

Erwerben Sie Lizenzen direkt über das Microsoft 365-Portal oder verwenden Sie das Cloud Solution Partner (CSP)-Lizenzierungsmodell.

Weitere Informationen finden Sie in den FAQs zu Lizenzierung und Datenschutz.

Erforderliche Berechtigungen

Um Ihren Defender for Identity-Arbeitsbereich zu erstellen, benötigen Sie einen Microsoft Entra ID-Mandanten mit mindestens einem Sicherheitsadministrator.

Sie benötigen mindestens Sicherheitsadministratorzugriff auf Ihren Mandanten, um auf den Identitätsbereich des Microsoft Defender XDR-bereichs Einstellungen zuzugreifen und den Arbeitsbereich zu erstellen.

Weitere Informationen finden Sie unter Microsoft Defender for Identity-Rollengruppen.

Mindestsystemanforderungen

In diesem Abschnitt werden die Betriebssysteme beschrieben, die für Defender for Identity-Sensorinstallationen unterstützt werden. Für die Installation eines Defender for Identity-Sensors sind mindestens 2 Kerne, 6 GB RAM und 6 GB Festplattenspeicher auf Ihrem Domänencontroller erforderlich.

Wenn sie als virtueller Computer ausgeführt wird, muss der virtuelle Computer jederzeit alle Arbeitsspeicher zugewiesen werden. Weitere Informationen finden Sie unter Planen der Kapazität für die Bereitstellung von Microsoft Defender for Identity.

Defender for Identity-Sensoren können auf den folgenden Servern direkt installiert werden:

  • Windows Server 2016
  • Windows Server 2019. Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die auf Server 2019 ohne dieses Update installiert sind, werden automatisch gestoppt, wenn die im Systemverzeichnis gefundene Version der Datei ntdsai.dll älter als 10.0.17763.316 ist
  • Windows Server 2022

Alle Betriebssysteme:

  • Unterstützt für Server Core, Server mit Desktopdarstellung.
  • Nano-Server werden nicht unterstützt.
  • Installationen werden für Domänencontroller, AD FS- und AD CS-Server unterstützt.

Netzwerkverbindung überprüfen

Stellen Sie sicher, dass die Server, auf denen Sie Defender for Identity-Sensoren installieren möchten, den Defender for Identity-Clouddienst erreichen können. Versuchen Sie von jedem Server aus, auf Folgendes zuzugreifen: https://*your-workspace-name*sensorapi.atp.azure.com.

Planen Sie ein Wartungsfenster (optional)

Wenn .NET Framework 4.7 oder höher nicht installiert ist, wird .NET Framework 4.7 während der Installation installiert und erfordert möglicherweise einen Neustart des Servers. Ein Neustart ist möglicherweise auch erforderlich, wenn bereits ein Neustart aussteht.

Bei der Installation der Sensoren sollten Sie also ein Wartungsfenster für die Domänencontroller planen.

Installieren von Defender for Identity

In diesem Verfahren wird beschrieben, wie Sie den Defender for Identity-Sensor auf einer Windows Server-Version 2016 oder höher installieren. Stellen Sie sicher, dass Ihr Server über die minimalen Systemanforderungen verfügt.

Hinweis

Defender for Identity-Sensoren sollten auf allen Domänencontrollern, einschließlich schreibgeschützter Domänencontroller (RODC), installiert werden. Wenn Sie eine AD FS/AD CS-Farm oder einen AD FS/AD CS-Cluster installieren, empfehlen wir die Installation des Sensors auf jedem AD FS/AD CS-Server.

So laden Sie den Sensor herunter und installieren ihn:

  1. Laden Sie den Defender for Identity-Sensor aus dem Microsoft Defender-Portal herunter. Wählen Sie Einstellungen ->Identitäten - >Sensoren ->Sensor hinzufügen und kopieren Sie den Zugriffsschlüssel-Wert, den Sie für die Installation benötigen.

    Tipp

    Sie müssen das Installationsprogramm nur einmal herunterladen, da es für jeden Server im Mandanten verwendet werden kann. Stellen Sie sicher, dass kein Popupblocker den Download blockiert.

  2. Führen Sie vom Do Standard-Controller das Installationsprogramm aus, das Sie von Microsoft Defender XDR heruntergeladen haben, und folgen Sie den Anweisungen auf dem Bildschirm.

Nächster Schritt

Vollständige Installationsanweisungen mit zusätzlichen Details finden Sie unter Bereitstellen von Microsoft Defender for Identity mit Microsoft Defender XDR. Um z. B. auf mehreren Do-Controllern bereitzustellen Standard empfehlen wir stattdessen die Verwendung der automatischen Installation.