Requisitos previos de Microsoft Defender for Identity
En este artículo se describen los requisitos para una implementación correcta de Microsoft Defender for Identity.
Requisitos de licencia
La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Seguridad de* Microsoft 365 E5/A5/G5/F5
- Seguridad y cumplimiento de Microsoft 365 F5*
- Licencias de Defender for Identity independientes
* Ambas licencias de F5 requieren Microsoft 365 F1/F3 u Office 365 F3 y Enterprise Mobility + Security E3.
Adquiera una licencia directamente a través del portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP).
Para obtener más información sobre licencias y precios, consulte Preguntas y respuestas frecuentes sobre Licencias y privacidad.
Permisos necesarios
Para crear el área de trabajo de Defender for Identity necesita una cuenta empresarial de Microsoft Entra ID con al menos un administrador de seguridad.
Necesita al menos acceso de Administrador de seguridad en su cuenta empresarial para acceder a la sección Identidad del área de Configuraciones de Microsoft Defender XDR y crear el área de trabajo.
Para más información, consulte Grupos de roles de Microsoft Defender for Identity.
Recomendamos utilizar al menos una cuenta de Servicio de directorio con acceso de lectura a todos los objetos de los dominios supervisados. Para obtener más información, vea Configurar una cuenta de Servicio de directorio para Microsoft Defender for Identity.
Requisitos de conectividad
El sensor de Defender for Identity debe poder comunicarse con el servicio en la nube de Defender for Identity mediante uno de los métodos siguientes:
| Method | Descripción | Consideraciones | Saber más |
|---|---|---|---|
| Configurar un proxy | Los clientes que tienen implementado un proxy de reenvío pueden aprovechar el proxy para proporcionar conectividad al servicio en la nube MDI. Si elige esta opción, configurará el proxy más adelante en el proceso de implementación. Las configuraciones de proxy incluyen permitir el tráfico a la dirección URL del sensor y configurar las direcciones URL de Defender for Identity en las listas de permitidos explícitas que usa el proxy o el firewall. |
Permite el acceso a Internet para una sola dirección URL No se admite la inspección SSL |
Configure el proxy del punto de conexión y la conectividad de Internet Ejecute una instalación silenciosa con una configuración de proxy |
| ExpressRoute | ExpressRoute se puede configurar para reenviar el tráfico del sensor MDI a través de la ruta rápida del cliente. Para enrutar el tráfico de red destinado a los servidores en la nube de Defender for Identity, use el emparejamiento de Microsoft de ExpressRoute y agregue la comunidad BGP del servicio de Microsoft Defender for Identity (12076:5220) al filtro de ruta. |
Requiere ExpressRoute | Valor de comunidad de BGP del servicio |
| Servidor de seguridad, mediante las direcciones IP de Azure de Defender for Identity | Los clientes que no tienen un proxy o ExpressRoute pueden configurar su servidor de seguridad con las direcciones IP asignadas al servicio en la nube MDI. Esto requiere que el cliente supervise la lista de direcciones IP de Azure para ver los cambios en las direcciones IP usadas por el servicio en la nube MDI. Si eligió esta opción, se recomienda descargar los intervalos IP de Azure y las etiquetas de servicio: archivo de nube pública y usar la etiqueta de servicio AzureAdvancedThreatProtection para agregar las direcciones IP pertinentes. |
El cliente debe supervisar las asignaciones de IP de Azure | Etiquetas de servicio de red virtual |
Para más información, consulte arquitectura de Microsoft Defender for Identity.
Recomendaciones y requisitos del servidor
En la tabla siguiente se resumen los requisitos y recomendaciones para el controlador de dominio, AD FS, AD CS o Entra Connect donde instalará el sensor de Defender for Identity.
| Requisitos previos / Recomendaciones | Descripción |
|---|---|
| Especificaciones | Asegúrese de instalar Defender for Identity en Windows versión 2016 o posterior, en un servidor de controlador de dominio con un mínimo de: - 2 núcleos - 6 GB de RAM - Se requieren 6 GB de espacio en disco pero se recomiendan 10 GB, teniendo en cuenta el espacio para los archivos binarios y registros de Defender for Identity. Defender for Identity admite controladores de dominio de solo lectura (RODC). |
| Rendimiento | Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la máquina en la que se ejecuta el sensor de Defender for Identity en Alto rendimiento. |
| Configuración de la interfaz de red | Si usa máquinas virtuales de VMware, asegúrese de que la configuración de NIC de la máquina virtual tenga deshabilitada la descarga de envío grande (LSO). Consulte Problema con el sensor de máquina virtual de VMware para obtener más información. |
| Ventana de mantenimiento | Se recomienda programar una ventana de mantenimiento para los controladores de dominio, ya que es posible que se requiera un reinicio si la instalación se ejecuta y ya hay un reinicio pendiente, o si es necesario instalar .NET Framework. Si la versión 4.7 o posterior de .NET Framework aún no se encuentra en el sistema, se instala .NET Framework versión 4.7 y puede ser necesario reiniciar los equipos. |
Requisitos mínimos del sistema operativo
Los sensores de Defender for Identity se pueden instalar en los siguientes sistemas operativos:
- Windows Server 2016
- Windows Server 2019. Requiere KB4487044 o una actualización acumulativa más reciente. Los sensores instalados en Server 2019 sin esta actualización se detendrán automáticamente si la versión del archivo ntdsai.dll que se encuentra en el directorio del sistema es anterior a la 10.0.17763.316
- Windows Server 2022
Para todos los sistemas operativos:
- Se admiten ambos servidores con experiencia de escritorio y servidores de núcleo.
- No se admiten servidores nano.
- Las instalaciones son compatibles con controladores de dominio, y servidores AD FS y AD CS.
Sistemas operativos antiguos
Windows Server 2012 y Windows Server 2012 R2 dejaron de prestar soporte técnico el 10 de octubre de 2023.
Se recomienda que planee actualizar esos servidores, ya que Microsoft no seguirá admitiendo el sensor de Defender for Identity en dispositivos que ejecutan Windows Server 2012 y Windows Server 2012 R2.
Los sensores que se ejecutan en estos sistemas operativos seguirán informando a Defender for Identity e incluso recibirán las actualizaciones del sensor, pero algunas de las nuevas funcionalidades no estarán disponibles, ya que podrían depender de las funcionalidades del sistema operativo.
Puertos necesarios
| Protocolo | Transporte | Puerto | From | Para |
|---|---|---|---|---|
| Puertos de Internet | ||||
| SSL (*.atp.azure.com) Como alternativa, configure el acceso a través de un proxy. |
TCP | 443 | Sensor de Defender for Identity | Servicio en la nube de Defender for Identity |
| Puertos internos | ||||
| DNS | TCP y UDP | 53 | Sensor de Defender for Identity | Servidores DNS |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor de Defender for Identity | Todos los dispositivos en la red |
| RADIUS | UDP | 1813 | RADIUS | Sensor de Defender for Identity |
| Puertos localhost: necesario para el actualizador del servicio de sensor De manera predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de servidor de seguridad lo bloquee. |
||||
| SSL | TCP | 444 | Servicio de sensores | Servicio del actualizador de sensores |
| Puertos de resolución de nombres de red (NNR) Para resolver las direcciones IP en los nombres de equipo, se recomienda abrir todos los puertos enumerados. Sin embargo, solo se requiere un puerto. |
||||
| NTLM sobre RPC | TCP | Puerto 135 | Sensor de Defender for Identity | Todos los dispositivos en la red |
| NetBIOS | UDP | 137 | Sensor de Defender for Identity | Todos los dispositivos en la red |
| RDP Solo el primer paquete de bienvenida al Cliente consulta el servidor DNS mediante la búsqueda inversa de DNS de la dirección IP (UDP 53) |
TCP | 3389 | Sensor de Defender for Identity | Todos los dispositivos en la red |
Si está trabajando con varios bosques, asegúrese de que los puertos siguientes se abran en cualquier máquina en la que esté instalado un sensor de Defender for Identity:
| Protocolo | Transporte | Port | Hacia/Desde | Dirección |
|---|---|---|---|---|
| Puertos de Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Servicio en la nube de Defender for Identity | Salida |
| Puertos internos | ||||
| LDAP | TCP y UDP | 389 | Controladores de dominios | Salida |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de dominios | Salida |
| LDAP al Catálogo global | TCP | 3268 | Controladores de dominios | Salida |
| LDAPS al Catálogo global | TCP | 3269 | Controladores de dominios | Salida |
Requisitos de memoria dinámica
En la tabla siguiente se describen los requisitos de memoria del servidor usado para el sensor de Defender for Identity, en función del tipo de virtualización que esté utilizando:
| VM en ejecución | Descripción |
|---|---|
| Hyper-V | Asegúrese de que no esté habilitada la función Habilitar memoria dinámica para la máquina virtual. |
| VMware | Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria invitada (Todas bloqueadas) en la configuración de la máquina virtual. |
| Otros host de virtualización | Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento. |
Importante
Cuando se ejecuta como una máquina virtual, toda la memoria debe asignarse a la máquina virtual en todo momento.
Sincronización de tiempo
Los servidores y controladores de dominio en los que está instalado el sensor deben tener el tiempo sincronizado en cinco minutos de separación.
Pruebe los requisitos previos
Se recomienda ejecutar el script Test-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.
El vínculo al script Test-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Identidades > Herramientas (versión preliminar).
Contenido relacionado
En este artículo se enumeran los requisitos previos necesarios para una instalación básica. Se requieren requisitos previos adicionales al realizar una instalación en un servidor de AD FS, AD CS o Entra Connect para admitir varios bosques de Active Directory o al instalar un sensor independiente de Defender for Identity.
Para más información, vea:
- Implementación de Microsoft Defender for Identity en servidores de AD FS / AD CS
- Soporte de varios bosques de Microsoft Defender for Identity
- Requisitos previos del sensor independiente de Microsoft Defender for Identity
- Arquitectura de Defender for Identity