Guia de instalação rápida

Este artigo descreve as etapas necessárias ao instalar os sensores do Microsoft Defender para Identidade em servidores do Active Directory, de Serviços de Federação do Active Directory (AD FS) ou de Serviços de Certificados do Active Directory (AD CS). Para obter instruções mais detalhadas, consulte Implantar o Microsoft Defender para Identidade com o Microsoft Defender XDR.

Assista ao vídeo a seguir para uma demonstração passo a passo e para saber mais sobre:

  • A importância de instalar sensores do Defender para Identidade para proteger sua organização contra ataques baseados em identidade
  • Como baixar e instalar o sensor
  • Como encontrar possíveis problemas de integridade e configuração no sensor
  • Como exibir avaliações de postura relacionadas à identidade no Microsoft Secure Score

Pré-requisitos

Esta seção lista os pré-requisitos necessários antes de instalar o sensor do Defender para Identidade, incluindo:

  • Licenciamento
  • Permissões
  • Requisitos do sistema
  • Recomendações de melhores práticas

Cada espaço de trabalho do Defender para Identidade oferece suporte a vários limites de floresta do Active Directory e ao FFL (Nível Funcional da Floresta) do Windows 2003 e posterior.

Requisitos de licenciamento

Verifique se você tem uma das seguintes licenças:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Microsoft 365 E5/A5/G5/F5* Security
  • Segurança + Conformidade no Microsoft 365 F5*
  • Uma licença autônoma do Defender para Identidade

* Ambas as licenças F5 requerem o Microsoft 365 F1/F3 ou Office 365 F3 e o Enterprise Mobility + Security E3.

Adquira licenças diretamente pelo portal do Microsoft 365 ou use o modelo de licenciamento CSP (Parceiro de Soluções na Nuvem).

Para obter mais informações, confira Perguntas frequentes sobre licenciamento e privacidade.

Permissões necessárias

Para criar seu espaço de trabalho do Defender para Identidade, você precisa de um locatário do Microsoft Entra ID com pelo menos um administrador de segurança.

Você precisa pelo menos de acesso de administrador de segurança no locatário para acessar a seção Identidade na área Configurações do Microsoft Defender XDR para criar o espaço de trabalho.

Para obter mais informações, consulte Grupos de funções do Microsoft Defender para Identidade.

Requisitos mínimos do sistema

Esta seção descreve os sistemas operacionais compatíveis para instalações do sensor do Defender para Identidade. A instalação de um sensor do Defender para Identidade exige, no mínimo, dois núcleos, 6 GB de RAM e 6 GB de espaço em disco instalados no controlador de domínio.

Ao executar como uma máquina virtual, toda a memória deve ser sempre alocada para a máquina virtual. Para obter mais informações, confira Planejar a capacidade para implantação do Microsoft Defender para Identidade.

Os sensores do Defender para Identidade podem ser instalados nos seguintes sistemas operacionais:

  • Windows Server 2016
  • Windows Server 2019. Requer a atualização cumulativa KB4487044 ou mais recente. Os sensores instalados no Server 2019 sem essa atualização serão automaticamente interrompidos se a versão do arquivo ntdsai.dll encontrada no diretório do sistema for anterior à versão 10.0.17763.316
  • Windows Server 2022

Para todos os sistemas operacionais:

  • Há suporte para os dois servidores com experiência desktop e núcleos de servidores.
  • Não há suporte para servidores nano.
  • Há suporte para instalações de servidores de controladores de domínio, AD FS e AD CS.

Verifique a conectividade de rede

Verifique se os servidores nos quais você pretende instalar os sensores do Defender para Identidade conseguem acessar o serviço de nuvem do Defender para Identidade. Em cada servidor, tente acessar: https://*your-workspace-name*sensorapi.atp.azure.com.

Agendar uma janela de manutenção (opcional)

Durante a instalação, se o .NET Framework 4.7, ou posterior, não estiver instalado, o .NET Framework 4.7 será instalado e poderá exigir uma reinicialização do servidor. Uma reinicialização também poderá ser necessária se já houver uma reinicialização pendente.

Ao instalar os sensores, considere agendar uma janela de manutenção para os controladores de domínio.

Instalar o Defender para Identidade

Este procedimento descreve como instalar o sensor do Defender para Identidade em um Windows Server versão 2016 ou posterior. Certifique-se de que o seu servidor tenha os requisitos mínimos do sistema.

Observação

Os sensores do Defender para Identidade devem ser instalados em todos os controladores de domínio, incluindo os controladores de domínio somente leitura (RODC). Se você estiver instalando em um farm ou cluster de AD FS/AD CS, recomendamos instalar o sensor em cada servidor de AD FS/AD CS.

Para baixar e instalar o sensor:

  1. Baixe o sensor do Defender para Identidade no portal do Microsoft Defender.

  2. Navegue até Sistema>Configurações>Identidades>Sensores>Adicionar sensor

  3. Selecione Download do instalador e salve o arquivo em um local que possa ser acessado pelo controlador de domínio.

  4. Copie o valor da Chave de acesso, que você precisará para a instalação.

    Dica

    Você só precisa baixar o instalador uma vez, pois ele pode ser usado para cada servidor no locatário. Certifique-se de que nenhum bloqueador de pop-ups esteja bloqueando o download.

  5. No controlador de domínio, execute o instalador que você baixou do Microsoft Defender XDR e siga as instruções na tela.

Próxima etapa

Para obter instruções da instalação completa com detalhes adicionais, consulte Implantar o Microsoft Defender para Identidade com o Microsoft Defender XDR. Por exemplo, para implantar em vários controladores de domínio, recomendamos usar a instalação silenciosa.