Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os requisitos para instalar o sensor Microsoft Defender para Identidade v3.x.
Limitações da versão do sensor
Antes de ativar o sensor do Defender para Identidade v3.x, tenha estas considerações em mente antes de ativar o sensor. O sensor do Defender para Identidade v3.x:
- Requer que o Defender para Endpoint esteja implementado e que o componente antivírus do Microsoft Defender esteja em execução no modo ativo ou passivo.
- Não é possível ativar num servidor que tenha um sensor do Defender para Identidade V2.x já implementado.
- Atualmente, não suporta a integração de VPN.
- Atualmente, não suporta o ExpressRoute.
Requisitos de licenciamento
A implementação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
Enterprise Mobility + Security E5 (EMS E5/A5) Microsoft 365 E5 (Microsoft E5/A5/G5) Microsoft 365 E5/A5/G5/F5* Segurança do Microsoft 365 F5 + Conformidade*
- Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.
Pode comprar licenças no portal do Microsoft 365 ou com o licenciamento do Parceiro de Solução Cloud (CSP).
Para obter mais informações, veja FAQs sobre licenciamento e privacidade.
Funções e permissões
- Para criar a área de trabalho do Defender para Identidade, precisa de um inquilino Microsoft Entra ID.
- Tem de ser um Administrador de Segurança ou ter as seguintes permissões RBAC Unificadas :
System settings (Read and manage)Security settings (All permissions)
Requisitos e recomendações do sensor
A tabela seguinte resume os requisitos e recomendações do servidor para o sensor do Defender para Identidade.
| Pré-requisito/Recomendação | Descrição |
|---|---|
| Sistema Operativo | O controlador de domínio tem de ter ambos: - Windows Server 2019 ou posterior - Atualização Cumulativa de outubro de 2025 ou posterior. |
| Instalações anteriores | Antes de ativar o sensor num controlador de domínio, certifique-se de que o controlador de domínio não tem o sensor V2.x do Defender para Identidade já implementado. |
| Especificações | Um servidor de controlador de domínio com um mínimo de: - dois núcleos - 6 GB de RAM |
| Desempenho | Para um desempenho ideal, defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Elevado Desempenho. |
| Conectividade | Requer uma implementação Microsoft Defender para Endpoint. Se Microsoft Defender para Endpoint estiver instalado no controlador de domínio, não existem requisitos de conectividade adicionais. |
| Sincronização da hora do servidor | Os servidores e controladores de domínio nos quais o sensor está instalado têm de ter o tempo sincronizado para um período de cinco minutos entre si. |
| ExpressRoute | Esta versão do sensor não suporta o ExpressRoute. Se o seu ambiente utilizar o ExpressRoute, recomendamos que implemente o sensor do Defender para Identidade v2.x. |
| Ações de identidade e resposta | O sensor não requer que as credenciais sejam fornecidas no portal. Mesmo que sejam introduzidas credenciais, o sensor utiliza a identidade do Sistema Local no servidor para consultar o Active Directory e realizar ações de resposta. Se uma Conta de Serviço Gerida de Grupo (gMSA) estiver configurada para ações de resposta, as ações de resposta serão desativadas. |
Requisitos de memória dinâmicos
A tabela seguinte descreve os requisitos de memória no servidor utilizado para o sensor do Defender para Identidade, consoante o tipo de virtualização que está a utilizar:
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas definições da VM. |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada à VM. |
Importante
Ao executar como uma máquina virtual, toda a memória tem de ser sempre alocada à máquina virtual.
Configurar a auditoria RPC nos sensores v3.x para suportar deteções de identidade avançadas
A aplicação da etiqueta Auditoria RPC do Sensor Unificado permite uma nova capacidade testada no computador, melhorando a visibilidade de segurança e desbloqueando deteções de identidade adicionais. Depois de aplicada, a configuração é imposta em dispositivos existentes e futuros que correspondam aos critérios da regra. A etiqueta em si é visível no Inventário de Dispositivos, fornecendo aos administradores capacidades de transparência e auditoria.
Passos para aplicar a configuração:
No portal do Microsoft Defender, navegue para: Definições > do Sistema > Microsoft Defender XDR > Gestão de Regras de Recursos.
Selecione Criar uma nova regra.
No painel lateral:
Introduza um Nome da regra e uma Descrição.
Defina as condições da regra com
Device name,DomainouDevice tagpara direcionar as máquinas virtuais pretendidas.Certifique-se de que o sensor v3.x do Defender para Identidade já está implementado nos dispositivos selecionados.
A correspondência deve visar principalmente controladores de domínio com o sensor v3.x instalado.
Adicionar a etiqueta
Unified Sensor RPC Auditpara os dispositivos selecionados.
Selecione Seguinte para rever e concluir a criação da regra e, em seguida, selecione Submeter.
A atualizar regras
A exclusão de um dispositivo desta configuração só pode ser feita após eliminar a regra de recurso ou modificar as condições da regra para que o dispositivo deixe de corresponder.
Nota
Pode demorar até 1 hora para que as alterações sejam refletidas no portal.
Saiba mais sobre a Regra de Gestão de Recursos aqui.
Configurar a auditoria de eventos do Windows
As deteções do Defender para Identidade dependem de entradas específicas do registo de eventos do Windows para melhorar as deteções e fornecer informações adicionais sobre os utilizadores que efetuam ações específicas, como inícios de sessão NTLM e modificações de grupos de segurança.
Para obter mais informações sobre como configurar a auditoria de eventos do Windows no portal do Defender ou com o PowerShell, veja Configurar a auditoria de eventos do Windows.
Testar os pré-requisitos
Recomendamos que execute o scriptTest-MdiReadiness.ps1 para testar e ver se o seu ambiente tem os pré-requisitos necessários.
O scriptTest-MdiReadiness.ps1 também está disponível a partir de Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).