Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los requisitos para instalar el sensor de Microsoft Defender for Identity v3.x.
Limitaciones de la versión del sensor
Antes de activar el sensor de Defender for Identity v3.x, tenga en cuenta estas consideraciones antes de activar el sensor. El sensor de Defender for Identity v3.x:
- Requiere que Se implemente Defender para punto de conexión y que el componente antivirus de Microsoft Defender se ejecute en modo activo o en modo pasivo.
- No se puede activar en un servidor que tenga un sensor de Defender for Identity V2.x ya implementado.
- Actualmente no admite la integración de VPN.
- Actualmente no admite ExpressRoute.
Requisitos de licencias
La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* Seguridad y cumplimiento de Microsoft 365 F5*
- Ambas licencias F5 requieren Microsoft 365 F1/F3 o Office 365 F3 y Enterprise Mobility + Security E3.
Puede comprar licencias en el portal de Microsoft 365 o con licencias de Cloud Solution Partner (CSP).
Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad.
Roles y permisos
- Para crear el área de trabajo de Defender for Identity, necesita un inquilino de Microsoft Entra ID.
- Debe ser administrador de seguridad o tener los siguientes permisos de RBAC unificados :
System settings (Read and manage)Security settings (All permissions)
Requisitos y recomendaciones del sensor
En la tabla siguiente se resumen los requisitos y recomendaciones del servidor para el sensor de Defender for Identity.
| Requisito previo o recomendación | Description |
|---|---|
| Sistema operativo | El controlador de dominio debe tener las dos opciones: - Windows Server 2019 o posterior - Actualización acumulativa de octubre de 2025 o posterior. |
| Instalaciones anteriores | Antes de activar el sensor en un controlador de dominio, asegúrese de que el controlador de dominio no tenga ya implementado el sensor de Defender for Identity V2.x. |
| Especificaciones | Un servidor de controlador de dominio con un mínimo de: - dos núcleos - 6 GB de RAM |
| Rendimiento | Para un rendimiento óptimo, establezca la opción Power de la máquina que ejecuta el sensor de Defender for Identity en Alto rendimiento. |
| Conectividad | Requiere una implementación de Microsoft Defender para punto de conexión. Si Microsoft Defender para punto de conexión está instalado en el controlador de dominio, no hay requisitos de conectividad adicionales. |
| Sincronización de la hora del servidor | Los servidores y controladores de dominio en los que está instalado el sensor deben tener tiempo sincronizado entre sí en un plazo de cinco minutos. |
| ExpressRoute | Esta versión del sensor no admite ExpressRoute. Si el entorno usa ExpressRoute, se recomienda implementar el sensor de Defender for Identity v2.x. |
| Acciones de identidad y respuesta | El sensor no requiere que se proporcionen credenciales en el portal. Incluso si se escriben credenciales, el sensor usa la identidad del sistema local en el servidor para consultar Active Directory y realizar acciones de respuesta. Si se configura una cuenta de servicio administrada de grupo (gMSA) para acciones de respuesta, las acciones de respuesta se deshabilitan. |
Requisitos de memoria dinámica
En la tabla siguiente se describen los requisitos de memoria en el servidor utilizado para el sensor de Defender for Identity, en función del tipo de virtualización que use:
| Máquina virtual en ejecución | Description |
|---|---|
| Hyper-V | Asegúrese de que Habilitar memoria dinámica no esté habilitado para la máquina virtual. |
| VMware | Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria de invitado (todo bloqueado) en la configuración de la máquina virtual. |
| Otro host de virtualización | Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento. |
Importante
Cuando se ejecuta como una máquina virtual, toda la memoria debe asignarse a la máquina virtual en todo momento.
Configuración de la auditoría rpc en sensores v3.x para admitir detecciones de identidad avanzadas
La aplicación de la etiqueta Auditoría RPC del sensor unificado permite una nueva funcionalidad probada en la máquina, lo que mejora la visibilidad de la seguridad y desbloquea detecciones de identidad adicionales. Una vez aplicada, la configuración se aplica en dispositivos existentes y futuros que coinciden con los criterios de regla. La etiqueta en sí es visible en el inventario de dispositivos, lo que proporciona a los administradores funcionalidades de transparencia y auditoría.
Pasos para aplicar la configuración:
En el portal de Microsoft Defender, vaya a: Configuración del > sistema > Microsoft Defender XDR > Administración de reglas de recursos.
Seleccione Crear una nueva regla.
En el panel lateral:
Escriba un nombre de regla y una descripción.
Establezca condiciones de regla mediante
Device name,DomainoDevice tagpara dirigirse a las máquinas deseadas.Asegúrese de que el sensor de Defender for Identity v3.x ya está implementado en los dispositivos seleccionados.
La coincidencia debe dirigirse principalmente a controladores de dominio con el sensor v3.x instalado.
Agregar la etiqueta
Unified Sensor RPC Audita los dispositivos seleccionados.
Seleccione Siguiente para revisar y terminar de crear la regla y, a continuación, seleccione Enviar.
Actualizar reglas
La eliminación de un dispositivo de esta configuración solo se puede realizar mediante la eliminación de la regla de recursos o la modificación de las condiciones de regla para que el dispositivo ya no coincida.
Nota:
Los cambios pueden tardar hasta 1 hora en reflejarse en el portal.
Obtenga más información sobre la regla de administración de recursos aquí.
Configuración de la auditoría de eventos de Windows
Las detecciones de Defender for Identity se basan en entradas específicas del registro de eventos de Windows para mejorar las detecciones y proporcionar información adicional sobre los usuarios que realizan acciones específicas, como inicios de sesión NTLM y modificaciones de grupos de seguridad.
Para obtener más información sobre cómo configurar la auditoría de eventos de Windows en el portal de Defender o mediante PowerShell, consulte Configuración de la auditoría de eventos de Windows.
Prueba de los requisitos previos
Se recomienda ejecutar el script deTest-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.
El script deTest-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Herramientas de identidades > (versión preliminar).