Pré-requisitos do Microsoft Defender for Identity

Este artigo descreve os requisitos para uma implantação bem-sucedida do Microsoft Defender for Identity.

Requisitos de licenciamento

A implantação do Defender for Identity requer uma das seguintes licenças do Microsoft 365:

  • Mobilidade Empresarial + Segurança E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Segurança do Microsoft 365 E5/A5/G5/F5*
  • Segurança + Conformidade com o Microsoft 365 F5*
  • Uma licença independente do Defender for Identity

* Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.

Adquira licenças diretamente através do portal do Microsoft 365 ou utilize o modelo de licenciamento Cloud Solution Partner (CSP).

Para obter mais informações, consulte Perguntas frequentes sobre licenciamento e privacidade.

Permissões obrigatórias

Requisitos de conectividade

O sensor do Defender for Identity deve ser capaz de se comunicar com o serviço de nuvem do Defender for Identity, usando um dos seguintes métodos:

Método Description Considerações Mais informações
Configurar um proxy Os clientes que têm um proxy de encaminhamento implantado podem aproveitar o proxy para fornecer conectividade ao serviço de nuvem MDI.

Se você escolher essa opção, configurará seu proxy posteriormente no processo de implantação. As configurações de proxy incluem permitir o tráfego para a URL do sensor e configurar URLs do Defender for Identity para quaisquer listas de permissões explícitas usadas pelo seu proxy ou firewall.
Permite o acesso à internet para um único URL

A inspeção SSL não é suportada
Definir proxy de ponto de extremidade e configurações de conectividade com a Internet

Executar uma instalação silenciosa com uma configuração de proxy
ExpressRoute O ExpressRoute pode ser configurado para encaminhar o tráfego do sensor MDI pela rota expressa do cliente.

Para rotear o tráfego de rede destinado aos servidores de nuvem do Defender for Identity, use o emparelhamento Microsoft ExpressRoute e adicione a comunidade BGP do serviço Microsoft Defender for Identity (12076:5220) ao seu filtro de rota.
Requer Rota Expressa Serviço ao valor da comunidade BGP
Firewall, usando os endereços IP do Azure do Defender for Identity Os clientes que não têm um proxy ou ExpressRoute podem configurar seu firewall com os endereços IP atribuídos ao serviço de nuvem MDI. Isso requer que o cliente monitore a lista de endereços IP do Azure para quaisquer alterações nos endereços IP usados pelo serviço de nuvem MDI.

Se escolher esta opção, recomendamos que transfira o ficheiro Azure IP Ranges and Service Tags – Public Cloud e utilize a etiqueta de serviço AzureAdvancedThreatProtection para adicionar os endereços IP relevantes.
O cliente deve monitorar as atribuições de IP do Azure Etiquetas de serviço da rede virtual

Para obter mais informações, consulte Microsoft Defender for Identity architecture.

Requisitos e recomendações do sensor

A tabela a seguir resume os requisitos e recomendações para o controlador de domínio, AD FS, AD CS, servidor Entra Connect onde você instalará o sensor Defender for Identity.

Pré-requisito / Recomendação Description
Especificações Certifique-se de instalar o Defender for Identity no Windows versão 2016 ou superior, em um servidor de controlador de domínio com um mínimo de:

- 2 núcleos
- 6 GB de RAM
- 6 GB de espaço em disco necessário, 10 GB recomendados, incluindo espaço para binários e logs do Defender for Identity

O Defender for Identity suporta controladores de domínio somente leitura (RODC).
Desempenho Para um desempenho ideal, defina a opção de alimentação da máquina que executa o sensor Defender for Identity como Alto desempenho.
Configuração da interface de rede Se você estiver usando máquinas virtuais VMware, verifique se a configuração da NIC da máquina virtual tem o LSO (Large Send Offload) desabilitado. Consulte Problema do sensor de máquina virtual VMware para obter mais detalhes.
Janela de manutenção Recomendamos agendar uma janela de manutenção para seus controladores de domínio, pois uma reinicialização pode ser necessária se a instalação for executada e uma reinicialização já estiver pendente ou se o .NET Framework precisar ser instalado.

Se o .NET Framework versão 4.7 ou posterior ainda não for encontrado no sistema, o .NET Framework versão 4.7 está instalado e pode exigir uma reinicialização.

Requisitos mínimos do sistema operacional

Os sensores do Defender for Identity podem ser instalados nos seguintes sistemas operacionais:

  • Windows Server 2016
  • Windows Server 2019. Requer KB4487044 ou uma atualização cumulativa mais recente. Os sensores instalados no Server 2019 sem esta atualização serão automaticamente interrompidos se a versão do arquivo ntdsai.dll encontrada no diretório do sistema for mais antiga que 10.0.17763.316
  • Windows Server 2022

Para todos os sistemas operativos:

  • Ambos os servidores com experiência de desktop e núcleos de servidor são suportados.
  • Não há suporte para servidores Nano.
  • As instalações são suportadas para controladores de domínio, AD FS e servidores AD CS.

Sistemas operativos herdados

O Windows Server 2012 e o Windows Server 2012 R2 atingiram o fim estendido do suporte em 10 de outubro de 2023.

Recomendamos que você planeje atualizar esses servidores, pois a Microsoft não oferece mais suporte ao sensor Defender for Identity em dispositivos que executam o Windows Server 2012 e o Windows Server 2012 R2.

Os sensores que funcionam nesses sistemas operacionais continuarão a se reportar ao Defender for Identity e até mesmo receber as atualizações do sensor, mas algumas das novas funcionalidades não estarão disponíveis, pois podem depender dos recursos do sistema operacional.

Portas necessárias

Protocolo Transportes Porta De De
Portas de Internet
SSL (*.atp.azure.com)

Como alternativa, configure o acesso por meio de um proxy.
TCP 443 Sensor Defender for Identity Serviço de nuvem Defender for Identity
Portas internas
DNS TCP e UDP 53 Sensor Defender for Identity Servidores DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Sensor Defender for Identity Todos os dispositivos na rede
RAIO UDP 1813 RADIUS Sensor Defender for Identity
Portas Localhost: necessárias para o atualizador de serviço do sensor

Por padrão, o tráfego localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie.
SSL TCP 444 Serviço de sensores Serviço de atualização de sensores
Portas NNR (Network Name Resolution)

Para resolver endereços IP para nomes de computadores, recomendamos abrir todas as portas listadas. No entanto, apenas uma porta é necessária.
NTLM sobre RPC TCP Porta 135 Sensor Defender for Identity Todos os dispositivos na rede
NetBIOS UDP 137 Sensor Defender for Identity Todos os dispositivos na rede
PDR

Somente o primeiro pacote de saudação do cliente consulta o servidor DNS usando a pesquisa reversa de DNS do endereço IP (UDP 53)
TCP 3389 Sensor Defender for Identity Todos os dispositivos na rede

Se você estiver trabalhando com várias florestas, certifique-se de que as seguintes portas sejam abertas em qualquer máquina onde um sensor do Defender for Identity esteja instalado:

Protocolo Transporte Porta Para/De Direção
Portas de Internet
SSL (*.atp.azure.com) TCP 443 Serviço de nuvem Defender for Identity De Saída
Portas internas
LDAP TCP e UDP 389 Controladores de domínio De Saída
LDAP seguro (LDAPS) TCP 636 Controladores de domínio De Saída
LDAP para Catálogo Global TCP 3268 Controladores de domínio De Saída
LDAPS para Catálogo Global TCP 3269 Controladores de domínio De Saída

Requisitos de memória dinâmica

A tabela a seguir descreve os requisitos de memória no servidor usado para o sensor Defender for Identity, dependendo do tipo de virtualização que você está usando:

VM em execução Description
Hyper-V Certifique-se de que Ativar memória dinâmica não está habilitado para a VM.
VMware Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a opção Reservar toda a memória de convidado (Toda bloqueada) nas configurações da VM.
Outro host de virtualização Consulte a documentação fornecida pelo fornecedor sobre como garantir que a memória seja totalmente alocada para a VM em todos os momentos.

Importante

Quando executado como uma máquina virtual, toda a memória deve ser alocada para a máquina virtual em todos os momentos.

Sincronização de tempo

Os servidores e controladores de domínio nos quais o sensor está instalado devem ter o tempo sincronizado dentro de cinco minutos um do outro.

Teste seus pré-requisitos

Recomendamos executar o script Test-MdiReadiness.ps1 para testar e ver se seu ambiente tem os pré-requisitos necessários.

O link para o script Test-MdiReadiness.ps1 também está disponível no Microsoft Defender XDR, na página Ferramentas de Identidades > (Visualização).

Este artigo lista os pré-requisitos necessários para uma instalação básica. Pré-requisitos adicionais são necessários ao instalar em um servidor AD FS / AD CS ou Entra Connect, para dar suporte a várias florestas do Ative Directory ou ao instalar um sensor autônomo do Defender for Identity.

Para obter mais informações, consulte:

Próximo passo