이 문서에서는 Microsoft Defender for Identity 센서 v3.x를 설치하기 위한 요구 사항을 설명합니다.
센서 버전 제한 사항
Defender for Identity 센서 v3.x를 활성화하기 전에 센서를 활성화하기 전에 이러한 제한 사항을 염두에 두어야 합니다. Defender for Identity 센서 v3.x:
- 엔드포인트용 Defender를 배포하고 Microsoft Defender 바이러스 백신 구성 요소가 활성 모드 또는 수동 모드에서 실행되고 있어야 합니다.
- Defender for Identity 센서 V2.x가 이미 배포된 서버에서는 활성화할 수 없습니다.
- 현재 VPN 통합을 지원하지 않습니다.
- 현재 ExpressRoute를 지원하지 않습니다.
라이선스 요구사항
Defender for Identity를 배포하려면 다음 Microsoft 365 라이선스 중 하나가 필요합니다.
- Enterprise Mobility + Security E5(EMS E5/A5)
- Microsoft 365 E5(Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* 안전
- Microsoft 365 F5 보안 + 규정 준수*
- 독립 실행형 Defender for Identity 라이선스
* 두 F5 라이선스 모두 Microsoft 365 F1/F3 또는 Office 365 F3 및 Enterprise Mobility + Security E3 필요합니다.
Microsoft 365 포털을 통해 직접 라이선스를 획득하거나 CSP(클라우드 솔루션 파트너) 라이선스 모델을 사용합니다.
자세한 내용은 라이선스 및 개인 정보 FAQ를 참조하세요.
역할 및 사용 권한
- Defender for Identity 작업 영역을 만들려면 Microsoft Entra ID 테넌트가 필요합니다.
-
보안 관리자이거나 다음과 같은 통합 RBAC 권한이 있어야 합니다.
System settings (Read and manage)Security settings (All permissions)
센서 요구 사항 및 권장 사항
다음 표에는 Defender for Identity 센서에 대한 서버 요구 사항 및 권장 사항이 요약되어 있습니다.
| 필수 구성 요소/권장 사항 | 설명 |
|---|---|
| 운영 체제 | 도메인 컨트롤러에는 다음이 모두 있어야 합니다. - Windows Server 2019 이상 - 2025년 10월 누적 업데이트 이상. |
| 이전 설치 | 도메인 컨트롤러에서 센서를 활성화하기 전에 도메인 컨트롤러에 Defender for Identity 센서 V2.x가 이미 배포되어 있지 않은지 확인합니다. |
| 사양 | 최소 다음을 사용하는 도메인 컨트롤러 서버: - 코어 2개 - 6GB RAM |
| 성능 | 최적의 성능을 위해 Defender for Identity 센서를 실행하는 컴퓨터의 전원 옵션을고성능으로 설정합니다. |
| 연결성 | 엔드포인트용 Microsoft Defender 배포가 필요합니다. 엔드포인트용 Microsoft Defender 도메인 컨트롤러에 설치된 경우 추가 연결 요구 사항이 없습니다. |
| 서버 시간 동기화 | 센서가 설치된 서버 및 도메인 컨트롤러는 서로 5분 이내에 동기화된 시간이 있어야 합니다. |
| ExpressRoute | 이 버전의 센서는 ExpressRoute를 지원하지 않습니다. 사용자 환경에서 ExpressRoute를 사용하는 경우 Defender for Identity 센서 v2.x를 배포하는 것이 좋습니다. |
| ID 및 응답 작업 | 센서는 포털에서 자격 증명을 제공할 필요가 없습니다. 자격 증명을 입력하더라도 센서는 서버의 로컬 시스템 ID 를 사용하여 Active Directory를 쿼리하고 응답 작업을 수행합니다. gMSA(그룹 관리 서비스 계정)가 응답 작업에 대해 구성된 경우 응답 작업은 사용하지 않도록 설정됩니다. |
동적 메모리 요구 사항
다음 표에서는 사용 중인 가상화 유형에 따라 Defender for Identity 센서에 사용되는 서버의 메모리 요구 사항을 설명합니다.
| 실행 중인 VM | 설명 |
|---|---|
| Hyper-V | VM에 동적 메모리 사용을 사용하도록 설정하지 않았는지 확인합니다. |
| VMware | 구성된 메모리 양과 예약된 메모리가 동일한지 확인하거나 VM 설정에서 모든 게스트 메모리 예약(모든 잠금) 옵션을 선택합니다. |
| 기타 가상화 호스트 | 항상 메모리가 VM에 완전히 할당되도록 하는 방법에 대한 공급업체 제공 설명서를 참조하세요. |
중요
가상 머신으로 실행하는 경우 항상 모든 메모리를 가상 머신에 할당해야 합니다.
고급 ID 검색을 지원하도록 V3.x 센서에서 RPC 구성
통합 센서 RPC 감사 태그를 적용하면 컴퓨터에서 테스트된 새로운 기능을 사용하여 보안 가시성을 개선하고 추가 ID 검색을 잠금 해제할 수 있습니다. 일단 적용되면 구성은 규칙 조건과 일치하는 기존 및 향후 디바이스 에 적용됩니다. 태그 자체는 디바이스 인벤토리에 표시되어 관리자에게 투명성 및 감사 기능을 제공합니다.
구성을 적용하는 단계:
Microsoft Defender 포털에서 시스템 > 설정 > Microsoft Defender XDR > 자산 규칙 관리로 이동합니다.
새 규칙 만들기를 선택합니다.
측면 패널에서 다음을 수행합니다.
규칙 이름 및 설명을 입력합니다.
,
Domain또는Device tag를 사용하여Device name원하는 머신을 대상으로 하는 규칙 조건을 설정합니다.Defender for Identity V3.x 센서가 선택한 디바이스에 이미 배포되어 있는지 확인합니다.
일치는 주로 V3.x 센서 가 설치된 도메인 컨트롤러 를 대상으로 해야 합니다.
태그
Unified Sensor RPC Audit추가 선택한 디바이스로 이동합니다.
다음을 선택하여 규칙 만들기를 검토하고 완료한 다음 제출을 선택합니다.
규칙 업데이트
이 구성에서 디바이스를 오프보딩하는 작업은 자산 규칙을 삭제하거나 디바이스가 더 이상 일치하지 않도록 규칙 조건을 수정하는것에서만 수행할 수 있습니다.
참고
변경 내용이 포털에 반영되려면 최대 1시간이 걸릴 수 있습니다.
여기에서 자산 관리 규칙에 대해 자세히 알아보세요.
Windows 감사 구성
Defender for Identity 검색은 특정 Windows 이벤트 로그 항목을 사용하여 검색을 향상시키고 NTLM 로그인 및 보안 그룹 수정과 같은 특정 작업을 수행하는 사용자에 대한 추가 정보를 제공합니다.
Defender for Identity 검색을 지원하도록 도메인 컨트롤러에서 Windows 이벤트 컬렉션을 구성합니다. 자세한 내용은 Microsoft Defender for Identity 있는 이벤트 컬렉션 및 Windows 이벤트 로그에 대한 감사 정책 구성을 참조하세요.
Defender for Identity PowerShell 모듈을 사용하여 필요한 설정을 구성할 수 있습니다. 예를 들어 다음 명령은 도메인에 대한 모든 설정을 정의하고, 그룹 정책 개체를 만들고, 연결합니다.
Set-MDIConfiguration -Mode Domain -Configuration All
자세한 내용은 다음 항목을 참조하세요.
필수 구성 요소 테스트
Test-MdiReadiness.ps1 스크립트를 실행하여 환경에 필요한 필수 구성 요소가 있는지 테스트하고 확인하는 것이 좋습니다.
Test-MdiReadiness.ps1 스크립트는 ID 도구 페이지(미리 보기)의 Microsoft Defender XDR > 사용할 수도 있습니다.