Pré-requisitos do Microsoft Defender para Identidade

Este artigo descreve os requisitos para uma implantação bem-sucedida do Microsoft Defender para Identidade.

Requisitos de licenciamento

A implantação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Segurança + Conformidade no Microsoft 365 F5*
  • Uma licença autônoma do Defender para Identidade

* Ambas as licenças F5 requerem o Microsoft 365 F1/F3 ou Office 365 F3 e o Enterprise Mobility + Security E3.

Adquira licenças diretamente pelo portal do Microsoft 365 ou use o modelo de licenciamento CSP (Parceiro de Soluções na Nuvem).

Para obter mais informações, confira Perguntas frequentes sobre licenciamento e privacidade.

Permissões necessárias

Requisitos de conectividade

O sensor do Defender para Identidade deve poder se comunicar com o serviço de nuvem do Defender para Identidade usando um dos seguintes métodos:

Método Descrição Considerações Saiba mais
Configurar um proxy Os clientes que têm um proxy de encaminhamento implantado podem aproveitar o proxy para fornecer conectividade ao serviço de nuvem do MDI.

Se escolher essa opção, você fará a configuração do proxy mais tarde durante o processo de implantação. As configurações de proxy incluem permitir o tráfego para a URL do sensor e configurar as URLs do Defender para Identidade para quaisquer listas de permissões explícitas usadas pelo seu proxy ou firewall.
Permite o acesso à internet para uma única URL

Não há suporte para a inspeção SSL
Definir proxy de ponto de extremidade e configurações de conectividade com a Internet

Executar uma instalação silenciosa com uma configuração de proxy
ExpressRoute O ExpressRoute pode ser configurado para encaminhar o tráfego do sensor do MDI pela rota expressa do cliente.

Para rotear o tráfego de rede destinado aos servidores em nuvem do Defender para Identidade, use o emparelhamento da Microsoft do ExpressRoute e adicione a comunidade BGP do serviço do Microsoft Defender para Identidade (12076:5220) ao filtro de rotas.
Requer ExpressRoute Serviço para valor de comunidade BGP
Firewall, usando os endereços IP do Azure do Defender para Identidade Os clientes que não têm um proxy ou ExpressRoute podem configurar seu firewall com os endereços IP atribuídos ao serviço de nuvem MDI. Isso requer que o cliente monitore a lista de endereços IP do Azure quanto a alterações nos endereços IP usados pelo serviço de nuvem do MDI.

Se você escolher essa opção, recomendamos baixar o arquivo Intervalos de IP do Azure e marcas de serviço – Nuvem Pública e usar a marca de serviço AzureAdvancedThreatProtection para adicionar os endereços IP relevantes.
O cliente deve monitorar as atribuições de IP do Azure Marcas de serviço de rede virtual

Para obter mais informações, consulte Arquitetura do Microsoft Defender para Identidade.

Requisitos e recomendações do sensor

A tabela a seguir resume os requisitos e as recomendações para o controlador de domínio, AD FS, AD CS e servidor Entra Connect onde você instalará o sensor do Defender para Identidade.

Pré-requisito/Recomendação Descrição
Especificações Certifique-se de instalar o Defender para Identidade no Windows versão 2016, ou posterior, em um servidor de controlador de domínio com no mínimo:

- 2 núcleos
- 6 GB de RAM
- 6 GB de espaço em disco necessários, 10 GB recomendados, incluindo espaço para binários e logs do Defender para Identidade

O Defender para Identidade oferece suporte a RODC (Controladores de Domínio Somente Leitura).
Desempenho Para obter um desempenho ideal, defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Alto Desempenho.
Configuração do adaptador de rede Se você estiver usando máquinas virtuais VMware, certifique-se de que a configuração da NIC da máquina virtual tenha o Descarregamento de Envio Grande (LSO) desabilitado. Consulte Problema do sensor da máquina virtual VMware para mais detalhes.
Janela de manutenção Recomendamos agendar uma janela de manutenção para os controladores de domínio, pois uma reinicialização pode ser necessária se a instalação for executada e uma reinicialização já estiver pendente, ou se o .NET Framework precisar ser instalado.

Se o .NET Framework versão 4.7 ou posterior ainda não estiver no sistema, o .NET Framework versão 4.7 será instalado e poderá exigir uma reinicialização.

Requisitos mínimos do sistema operacional

Os sensores do Defender para Identidade podem ser instalados nos seguintes sistemas operacionais:

  • Windows Server 2016
  • Windows Server 2019. Requer a atualização cumulativa KB4487044 ou mais recente. Os sensores instalados no Server 2019 sem essa atualização serão automaticamente interrompidos se a versão do arquivo ntdsai.dll encontrada no diretório do sistema for anterior à versão 10.0.17763.316
  • Windows Server 2022

Para todos os sistemas operacionais:

  • Há suporte para os dois servidores com experiência desktop e núcleos de servidores.
  • Não há suporte para servidores nano.
  • Há suporte para instalações de servidores de controladores de domínio, AD FS e AD CS.

Sistemas operacionais herdados

O Windows Server 2012 e o Windows Server 2012 R2 chegaram ao fim do suporte estendido em 10 de outubro de 2023.

Recomendamos que você planeje atualizar esses servidores, pois a Microsoft não oferece mais suporte ao sensor do Defender para Identidade em dispositivos que executam o Windows Server 2012 e o Windows Server 2012 R2.

Os sensores executados nesses sistemas operacionais continuarão a se reportar ao Defender para Identidade e até mesmo receber as atualizações de sensor, mas algumas das novas funcionalidades não estarão disponíveis, uma vez que talvez dependam de recursos do sistema operacional.

Portas obrigatórias

Protocolo Transporte Porta De Para
Portas da Internet
SSL (*.atp.azure.com)

Como alternativa, configure o acesso por meio de um proxy.
TCP 443 Sensor do Defender para Identidade Serviço de nuvem do Defender para Identidade
Portas internas
DNS TCP e UDP 53 Sensor do Defender para Identidade Servidores DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Sensor do Defender para Identidade Todos os dispositivos na rede
RAIO UDP 1813 RAIO Sensor do Defender para Identidade
Portas localhost: necessárias para o atualizador do serviço do sensor

Por padrão, o tráfego de localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie.
SSL TCP 444 Serviço de sensor Serviço do atualizador de sensor
Portas da NNR (Resolução de Nomes de Rede)

Para resolver endereços IP para nomes de computador, recomendamos abrir todas as portas listadas. No entanto, apenas uma porta é necessária.
NTLM por RPC TCP Porta 135 Sensor do Defender para Identidade Todos os dispositivos na rede
NetBIOS UDP 137 Sensor do Defender para Identidade Todos os dispositivos na rede
RDP

Somente o primeiro pacote de Client hello consulta o servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53)
TCP 3389 Sensor do Defender para Identidade Todos os dispositivos na rede

Se você estiver trabalhando com várias florestas, certifique-se de que as seguintes portas estejam abertas em qualquer computador em que um sensor do Defender para Identidade esteja instalado:

Protocolo Transporte Porta Para/De Direção
Portas da Internet
SSL (*.atp.azure.com) TCP 443 Serviço de nuvem do Defender para Identidade Saída
Portas internas
LDAP TCP e UDP 389 Controladores de domínio Saída
LDAPS (LDAP Seguro) TCP 636 Controladores de domínio Saída
LDAP para catálogo global TCP 3268 Controladores de domínio Saída
LDAPS para catálogo global TCP 3269 Controladores de domínio Saída

Requisitos de memória dinâmica

A tabela a seguir descreve os requisitos de memória no servidor usado para o sensor do Defender para Identidade, dependendo do tipo de virtualização que você está usando:

VM em execução Descrição
Hyper-V Certifique-se de que a opção Habilitar memória dinâmica não esteja habilitada para a VM.
VMware Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas configurações da VM.
Outro host de virtualização Veja a documentação do fornecedor sobre como garantir que a memória seja alocada totalmente para a VM em todos os momentos.

Importante

Ao executar como uma máquina virtual, toda a memória deve ser sempre alocada para a máquina virtual.

Sincronização da hora

Os servidores e os controladores de domínio em que o sensor é instalado devem ter a hora sincronizada com até cinco minutos de diferença entre um e outro.

Teste os pré-requisitos

Recomendamos executar o script Test-MdiReadiness.ps1 para testar seu ambiente e descobrir se ele tem os pré-requisitos necessários.

O link para o script Test-MdiReadiness.ps1 também está disponível no Microsoft Defender XDR, na página Ferramentas de >Identidades (versão prévia).

Este artigo lista os pré-requisitos necessários para uma instalação básica. Pré-requisitos adicionais são necessários ao instalar em um servidor de AD FS/AD CS, ou Entra Connect para oferecer suporte a várias florestas do Active Directory ou ao instalar um sensor autônomo do Defender para Identidade.

Para saber mais, veja:

Próxima etapa