Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os requisitos para instalar o sensor de Microsoft Defender para Identidade v2.x.
Requisitos de licenciamento
A implementação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Segurança
- Segurança + Conformidade do Microsoft 365 F5*
- Uma licença autónoma do Defender para Identidade
* Ambas as licenças F5 necessitam de Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.
Adquira licenças diretamente através do portal do Microsoft 365 ou utilize o modelo de licenciamento do Parceiro de Solução Cloud (CSP).
Para obter mais informações, veja FAQs sobre licenciamento e privacidade.
Funções e permissões
- Para criar a área de trabalho do Defender para Identidade, precisa de um inquilino Microsoft Entra ID.
- Tem de ter um utilizador com uma função de Administrador de segurança . Para obter mais informações, veja Microsoft Defender para Identidade grupos de funções.
- Recomendamos que utilize, pelo menos, uma conta do Serviço de Diretório, com acesso de leitura a todos os objetos nos domínios monitorizados. Para obter mais informações, veja Configurar uma conta de Serviço de Diretório para Microsoft Defender para Identidade.
Requisitos de conectividade
O sensor do Defender para Identidade tem de conseguir comunicar com o serviço cloud do Defender para Identidade através de um dos seguintes métodos:
| Método | Descrição | Considerações | Saiba mais |
|---|---|---|---|
| Proxy | Os clientes que têm um proxy de reencaminhamento implementado podem tirar partido do proxy para fornecer conectividade ao serviço cloud MDI. Se escolher esta opção, terá de configurar o proxy mais tarde no processo de implementação. As configurações de proxy incluem permitir o tráfego para o URL do sensor e configurar URLs do Defender para Identidade para quaisquer listas de permissões explícitas utilizadas pelo seu proxy ou firewall. |
Permite o acesso à Internet para um único URL A inspeção SSL não é suportada |
Configurar as definições de proxy de pontos finais e de conectividade à Internet Executar uma instalação automática com uma configuração de proxy |
| ExpressRoute | O ExpressRoute pode ser configurado para reencaminhar o tráfego do sensor MDI através da rota rápida do cliente. Para encaminhar o tráfego de rede destinado aos servidores cloud do Defender para Identidade, utilize o peering da Microsoft do ExpressRoute e adicione a comunidade BGP do serviço Microsoft Defender para Identidade (12076:5220) ao filtro de rota. |
Requer o ExpressRoute | Valor da comunidade serviço a BGP |
| Firewall, com o Defender para Identidade Azure endereços IP | Os clientes que não têm um proxy ou o ExpressRoute podem configurar a firewall com os endereços IP atribuídos ao serviço cloud MDI. Isto requer que o cliente monitorize a lista de endereços IP Azure para quaisquer alterações nos endereços IP utilizados pelo serviço cloud MDI. Se tiver escolhido esta opção, recomendamos que transfira o ficheiro Azure Intervalos de IP e Etiquetas de Serviço – Cloud Pública e utilize a etiqueta de serviço AzureAdvancedThreatProtection para adicionar os endereços IP relevantes. |
O cliente tem de monitorizar Azure atribuições de IP | Etiquetas de serviço de rede virtual |
Para obter mais informações, veja arquitetura Microsoft Defender para Identidade.
Requisitos e recomendações do sensor
A tabela seguinte resume os requisitos e recomendações do servidor para o sensor do Defender para Identidade.
| Pré-requisito/Recomendação | Descrição |
|---|---|
| Especificações | Certifique-se de que instala o Defender para Identidade no Windows, versão 2016 ou superior, num servidor de controlador de domínio com um mínimo de: - dois núcleos - 6 GB de RAM - 6 GB de espaço em disco necessário, 10 GB recomendado, incluindo espaço para binários e registos do Defender para Identidade O Defender para Identidade suporta controladores de domínio só de leitura (RODC). |
| Desempenho | Para um desempenho ideal, defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Elevado Desempenho. |
| Configuração da interface de rede | Se estiver a utilizar máquinas virtuais VMware, confirme que a configuração nic da máquina virtual tem a Descarga de Envio Grande (LSO) desativada. Veja Problema do sensor da máquina virtual VMware para obter mais detalhes. |
| Janela de manutenção | Recomendamos que agende uma janela de manutenção para os controladores de domínio, uma vez que poderá ser necessário reiniciar se a instalação for executada e se já estiver pendente um reinício ou se .NET Framework precisar de ser instalada. Se .NET Framework versão 4.7 ou posterior ainda não se encontrar no sistema, .NET Framework versão 4.7 está instalada e poderá ser necessário reiniciar. |
| Servidores de federação do AD FS | Nos ambientes do AD FS, os sensores do Defender para Identidade são suportados apenas nos servidores de federação. Não são necessários em servidores de Proxy de Aplicações Web (WAP). |
| servidores do Microsoft Entra Connect | Para os servidores do Microsoft Entra Connect, tem de instalar os sensores nos servidores ativos e de teste. |
| Servidores do AD CS | O sensor do Defender para Identidade para AD CS suporta apenas servidores do AD CS com o Serviço de Função de Autoridade de Certificação. Não precisa de instalar sensores em servidores do AD CS que estejam offline. |
| Sincronização de hora | Os servidores e controladores de domínio nos quais o sensor está instalado têm de ter o tempo sincronizado para um período de cinco minutos entre si. |
Requisitos mínimos do sistema operativo
Os sensores do Defender para Identidade podem ser instalados nos seguintes sistemas operativos:
- Windows Server 2016
-
Windows Server 2019. Requer KB4487044 ou uma atualização cumulativa mais recente. Os sensores instalados no Server 2019 sem esta atualização serão automaticamente parados se a versão do
ntdsai.dllficheiro encontrada no diretório do sistema for mais antigathan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Para todos os sistemas operativos:
- Ambos os servidores com experiência de ambiente de trabalho e núcleos de servidor são suportados.
- Os servidores Nano não são suportados.
- As instalações são suportadas para controladores de domínio, servidores do AD FS, AD CS e Entra Connect.
Sistemas operativos legados
Windows Server 2012 e Windows Server 2012 R2 atingiram o fim do suporte alargado a 10 de outubro de 2023. Os sensores em execução nestes sistemas operativos continuam a reportar ao Defender para Identidade e até recebem as atualizações do sensor, mas algumas funcionalidades que dependem das capacidades do sistema operativo podem não estar disponíveis. Recomendamos que atualize todos os servidores que utilizem estes sistemas operativos.
Portas necessárias
| Protocol | Transporte | Porta | De | Para | Notas |
|---|---|---|---|---|---|
| Portas da Internet | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Sensor do Defender para Identidade | Serviço cloud do Defender para Identidade | Em alternativa, configure o acesso através de um proxy. |
| Portas internas | |||||
| DNS | TCP e UDP | 53 | Sensor do Defender para Identidade | Servidores DNS | |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor do Defender para Identidade | Todos os dispositivos na rede (DCs, ADFS, ADCS e Entra Connect) | |
| RADIUS | UDP | 1813 | RADIUS | Sensor do Defender para Identidade | |
| Porta localhost | Necessário para o atualizador do serviço de sensor. Por predefinição, o tráfego localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie. | ||||
| SSL | TCP | 444 | Serviço de sensores | Serviço do atualizador de sensores | |
| Portas de Resolução de Nomes de Rede (NNR) | Para resolver endereços IP para nomes de computadores, recomendamos que abra todas as portas listadas. No entanto, só é necessária uma porta. | ||||
| NTLM através de RPC | TCP | Porta 135 | Sensor do Defender para Identidade | Todos os dispositivos na rede (DCs, ADFS, ADCS e Entra Connect) | |
| NetBIOS | UDP | 137 | Sensor do Defender para Identidade | Todos os dispositivos na rede (DCs, ADFS, ADCS e Entra Connect) | |
| RDP | TCP | 3389 | Sensor do Defender para Identidade | Todos os dispositivos na rede (DCs, ADFS, ADCS e Entra Connect) | Apenas o primeiro pacote do Client Hello consulta o servidor DNS através da pesquisa DNS inversa do endereço IP (UDP 53) |
Se estiver a trabalhar com várias florestas, certifique-se de que as seguintes portas estão abertas em qualquer computador onde esteja instalado um sensor do Defender para Identidade:
| Protocol | Transporte | Porta | De/Para | Direção |
|---|---|---|---|---|
| Portas da Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Serviço cloud do Defender para Identidade | Saída |
| Portas internas | ||||
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| Secure LDAP (LDAPS) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para Catálogo Global | TCP | 3268 | Controladores de domínio | Saída |
| LDAPS para Catálogo Global | TCP | 3269 | Controladores de domínio | Saída |
Sugestão
Por predefinição, os sensores do Defender para Identidade consultam o diretório com LDAP nas portas 389 e 3268. Para mudar para LDAPS nas portas 636 e 3269, abra um pedido de suporte. Para obter mais informações, veja Microsoft Defender para Identidade suporte.
Requisitos de memória dinâmicos
A tabela seguinte descreve os requisitos de memória no servidor utilizado para o sensor do Defender para Identidade, consoante o tipo de virtualização que está a utilizar:
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas definições da VM. |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada à VM. |
Importante
Ao executar como uma máquina virtual, toda a memória tem de ser sempre alocada à máquina virtual.
Configurar a auditoria de eventos do Windows
As deteções do Defender para Identidade dependem de entradas específicas do registo de eventos do Windows para melhorar as deteções e fornecer informações adicionais sobre os utilizadores que efetuam ações específicas, como inícios de sessão NTLM e modificações de grupos de segurança.
Configure a auditoria de eventos do Windows no controlador de domínio para suportar deteções do Defender para Identidade no portal do Defender ou com o PowerShell.
Testar os pré-requisitos
Recomendamos que execute o scriptTest-MdiReadiness.ps1 para testar e ver se o seu ambiente tem os pré-requisitos necessários.
O scriptTest-MdiReadiness.ps1 também está disponível a partir de Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).