Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los requisitos para instalar el sensor de Microsoft Defender for Identity v2.x.
Requisitos de licencias
La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Seguridad
- Cumplimiento + Seguridad de Microsoft 365 F5*
- Una licencia independiente de Defender for Identity
* Ambas licencias F5 requieren Microsoft 365 F1/F3 o Office 365 F3 y Enterprise Mobility + Security E3.
Adquiera licencias directamente a través del portal de Microsoft 365 o use el modelo de licencias de Cloud Solution Partner (CSP).
Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad.
Roles y permisos
- Para crear el área de trabajo de Defender for Identity, necesita un inquilino de Microsoft Entra ID.
- Debe tener un usuario con un rol de administrador de seguridad . Para obtener más información, consulte Microsoft Defender for Identity grupos de roles.
- Se recomienda usar al menos una cuenta de servicio de directorio, con acceso de lectura a todos los objetos de los dominios supervisados. Para obtener más información, consulte Configuración de una cuenta de servicio de directorio para Microsoft Defender for Identity.
Requisitos de conectividad
El sensor de Defender for Identity debe poder comunicarse con el servicio en la nube de Defender for Identity mediante uno de los métodos siguientes:
| Método | Descripción | Consideraciones | Más información |
|---|---|---|---|
| Proxy | Los clientes que tienen implementado un proxy de reenvío pueden aprovechar el proxy para proporcionar conectividad al servicio en la nube MDI. Si elige esta opción, tendrá que configurar el proxy más adelante en el proceso de implementación. Las configuraciones de proxy incluyen permitir el tráfico a la dirección URL del sensor y configurar direcciones URL de Defender for Identity a las listas de permitidos explícitas usadas por el proxy o el firewall. |
Permite el acceso a Internet para una sola dirección URL No se admite la inspección SSL |
Configuración del proxy de punto de conexión y la conectividad a Internet Ejecución de una instalación silenciosa con una configuración de proxy |
| ExpressRoute | ExpressRoute se puede configurar para reenviar el tráfico del sensor MDI a través de la ruta rápida del cliente. Para enrutar el tráfico de red destinado a los servidores en la nube de Defender for Identity, use el emparejamiento de Microsoft de ExpressRoute y agregue la comunidad BGP del servicio Microsoft Defender for Identity (12076:5220) al filtro de ruta. |
Requiere ExpressRoute | Valor de la comunidad de servicio a BGP |
| Firewall, con las direcciones IP de Defender for Identity Azure | Los clientes que no tienen un proxy o ExpressRoute pueden configurar su firewall con las direcciones IP asignadas al servicio en la nube MDI. Esto requiere que el cliente supervise la lista de direcciones IP de Azure para detectar cualquier cambio en las direcciones IP usadas por el servicio en la nube MDI. Si eligió esta opción, se recomienda descargar el archivo Azure intervalos IP y etiquetas de servicio: nube pública y usar la etiqueta de servicio AzureAdvancedThreatProtection para agregar las direcciones IP pertinentes. |
El cliente debe supervisar Azure asignaciones ip | Etiquetas de servicio de red virtual |
Para obtener más información, consulte arquitectura de Microsoft Defender for Identity.
Requisitos y recomendaciones del sensor
En la tabla siguiente se resumen los requisitos y recomendaciones del servidor para el sensor de Defender for Identity.
| Requisito previo o recomendación | Descripción |
|---|---|
| Especificaciones | Asegúrese de instalar Defender for Identity en Windows versión 2016 o posterior, en un servidor de controlador de dominio con un mínimo de: - dos núcleos - 6 GB de RAM : se necesitan 6 GB de espacio en disco, se recomiendan 10 GB, incluido el espacio para los archivos binarios y los registros de Defender for Identity. Defender for Identity admite controladores de dominio de solo lectura (RODC). |
| Rendimiento | Para un rendimiento óptimo, establezca la opción Power de la máquina que ejecuta el sensor de Defender for Identity en Alto rendimiento. |
| Configuración de la interfaz de red | Si usa máquinas virtuales de VMware, asegúrese de que la configuración de NIC de la máquina virtual tiene deshabilitada la descarga de envío grande (LSO). Consulte Problema del sensor de máquina virtual de VMware para obtener más detalles. |
| Ventana de mantenimiento | Se recomienda programar una ventana de mantenimiento para los controladores de dominio, ya que es posible que sea necesario reiniciar si la instalación se ejecuta y un reinicio ya está pendiente o si es necesario instalar .NET Framework. Si .NET Framework versión 4.7 o posterior aún no se encuentra en el sistema, se instala la versión 4.7 de .NET Framework y es posible que sea necesario reiniciar. |
| Servidores de federación de AD FS | En entornos de AD FS, los sensores de Defender for Identity solo se admiten en los servidores de federación. No son necesarios en servidores de Application Proxy web (WAP). |
| servidores de Microsoft Entra Connect | Para los servidores de Microsoft Entra Connect, debe instalar los sensores en servidores activos y provisionales. |
| Servidores de AD CS | El sensor de Defender for Identity para AD CS solo admite servidores de AD CS con el servicio de rol de entidad de certificación. No es necesario instalar sensores en ningún servidor de AD CS sin conexión. |
| Sincronización de hora | Los servidores y controladores de dominio en los que está instalado el sensor deben tener tiempo sincronizado entre sí en un plazo de cinco minutos. |
Requisitos mínimos del sistema operativo
Los sensores de Defender for Identity se pueden instalar en los siguientes sistemas operativos:
- Windows Server 2016
-
Windows Server 2019. Requiere KB4487044 o una actualización acumulativa más reciente. Los sensores instalados en Server 2019 sin esta actualización se detendrán automáticamente si la versión del
ntdsai.dllarchivo que se encuentra en el directorio del sistema es anteriorthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Para todos los sistemas operativos:
- Se admiten ambos servidores con experiencia de escritorio y núcleos de servidor.
- No se admiten los servidores Nano.
- Las instalaciones son compatibles con controladores de dominio, AD FS, AD CS y servidores Entra Connect.
Sistemas operativos heredados
el 10 de octubre de 2023, Windows Server 2012 y Windows Server 2012 R2 alcanzaron el final extendido del soporte técnico. Los sensores que se ejecutan en estos sistemas operativos siguen informando a Defender for Identity e incluso reciben las actualizaciones del sensor, pero es posible que algunas funciones que se basan en las funcionalidades del sistema operativo no estén disponibles. Se recomienda actualizar cualquier servidor con estos sistemas operativos.
Puertos necesarios
| Protocolo | Transport | Puerto | From | To | Notas |
|---|---|---|---|---|---|
| Puertos de Internet | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Sensor de Defender for Identity | Servicio en la nube de Defender for Identity | Como alternativa, configure el acceso a través de un proxy. |
| Puertos internos | |||||
| DNS | TCP y UDP | 53 | Sensor de Defender for Identity | Servidores DNS | |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor de Defender for Identity | Todos los dispositivos de la red (controladores de dominio, ADFS, ADCS y Entra Connect) | |
| RADIO | UDP | 1813 | RADIO | Sensor de Defender for Identity | |
| Puerto localhost | Necesario para el actualizador del servicio de sensor. De forma predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de firewall personalizada lo bloquee. | ||||
| SSL | TCP | 444 | Servicio de sensor | Servicio de actualizador de sensores | |
| Puertos de resolución de nombres de red (NNR) | Para resolver las direcciones IP de los nombres de equipo, se recomienda abrir todos los puertos enumerados. Sin embargo, solo se requiere un puerto. | ||||
| NTLM a través de RPC | TCP | Puerto 135 | Sensor de Defender for Identity | Todos los dispositivos en la red (controladores de dominio, ADFS, ADCS y Entra Connect) | |
| NetBIOS | UDP | 137 | Sensor de Defender for Identity | Todos los dispositivos en la red (controladores de dominio, ADFS, ADCS y Entra Connect) | |
| RDP | TCP | 3389 | Sensor de Defender for Identity | Todos los dispositivos en la red (controladores de dominio, ADFS, ADCS y Entra Connect) | Solo el primer paquete de cliente hello consulta el servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53) |
Si está trabajando con varios bosques, asegúrese de que se abren los siguientes puertos en cualquier máquina en la que esté instalado un sensor de Defender for Identity:
| Protocolo | Transport | Puerto | Hacia/Desde | Dirección |
|---|---|---|---|---|
| Puertos de Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Servicio en la nube de Defender for Identity | Salida |
| Puertos internos | ||||
| LDAP | TCP y UDP | 389 | Controladores de dominio | Salida |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de dominio | Salida |
| LDAP al catálogo global | TCP | 3268 | Controladores de dominio | Salida |
| LDAPS al catálogo global | TCP | 3269 | Controladores de dominio | Salida |
Sugerencia
De forma predeterminada, los sensores de Defender for Identity consultan el directorio mediante LDAP en los puertos 389 y 3268. Para cambiar a LDAPS en los puertos 636 y 3269, abra un caso de soporte técnico. Para obtener más información, consulte Microsoft Defender for Identity soporte técnico.
Requisitos de memoria dinámica
En la tabla siguiente se describen los requisitos de memoria en el servidor utilizado para el sensor de Defender for Identity, en función del tipo de virtualización que use:
| Máquina virtual en ejecución | Description |
|---|---|
| Hyper-V | Asegúrese de que Habilitar memoria dinámica no esté habilitado para la máquina virtual. |
| VMware | Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria de invitado (todo bloqueado) en la configuración de la máquina virtual. |
| Otro host de virtualización | Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento. |
Importante
Cuando se ejecuta como una máquina virtual, toda la memoria debe asignarse a la máquina virtual en todo momento.
Configuración de la auditoría de eventos de Windows
Las detecciones de Defender for Identity se basan en entradas específicas del registro de eventos de Windows para mejorar las detecciones y proporcionar información adicional sobre los usuarios que realizan acciones específicas, como inicios de sesión NTLM y modificaciones de grupos de seguridad.
Configure la auditoría de eventos de Windows en el controlador de dominio para admitir las detecciones de Defender for Identity en el portal de Defender o mediante PowerShell.
Prueba de los requisitos previos
Se recomienda ejecutar el script deTest-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.
El script deTest-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Herramientas de identidades > (versión preliminar).