Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Implemente el sensor de Defender for Identity v3.x en los controladores de dominio admitidos. Complete las comprobaciones de requisitos previos antes de la activación y, después, configure los valores de auditoría e identidad.
Antes de activar
Complete estas comprobaciones antes de activar el sensor.
Limitaciones de la versión del sensor
Antes de activar el sensor de Defender for Identity v3.x, tenga en cuenta que v3.x:
- No admite la integración de VPN.
- No admite notificaciones de Syslog.
- Tiene limitaciones al trabajar con Azure ExpressRoute. Para obtener más información, consulte Azure ExpressRoute para Microsoft 365.
- No admite la migración de controladores de dominio que ejecutan Windows Server 2025 del sensor v2.x al sensor v3.x. Para obtener más información, Limitaciones conocidas. .
Requisitos de servidor
Asegúrese de que el servidor en el que está activando el sensor:
- Tiene Defender para punto de conexión implementado en el servidor. El componente Microsoft Defender Antivirus puede estar en modo activo o pasivo. Defender para punto de conexión debe incorporarse en el servidor donde se ejecuta el sensor; La implementación solo de punto de conexión no es suficiente.
- No tiene un sensor de Defender for Identity v2.x ya implementado.
- Se ejecuta Windows Server 2019 o posterior.
- Incluye la actualización acumulativa de marzo de 2026 o posterior .
Tipos de servidor admitidos
El sensor v3.x admite controladores de dominio, incluidos los controladores de dominio con estos roles de identidad:
- Servicios de federación de Active Directory (ADFS)
- Servicios de certificados de Active Directory (AD DS)
- Microsoft Entra Connect
Use el sensor de Defender for Identity v2.x para servidores que no sean controladores de dominio y ejecute AD FS, AD CS o Microsoft Entra Connect.
Requisitos de licencias
La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Seguridad
- Seguridad y cumplimiento de Microsoft 365 F5*
Ambas licencias F5 requieren Microsoft 365 F1/F3 o Office 365 F3 y Enterprise Mobility + Security E3. Compre licencias en el portal de Microsoft 365 o a través de licencias de Cloud Solution Partner (CSP). Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad.
Roles y permisos
Para crear el área de trabajo de Defender for Identity, necesita un inquilino de Microsoft Entra ID.
Debe ser administrador de seguridad o tener los siguientes permisos de RBAC unificados :
System settings (Read and manage)Security settings (All permissions)
Requisitos de red
El sensor de Defender for Identity usa los mismos URI que Microsoft Defender para punto de conexión. Revise los siguientes documentos de Defender para punto de conexión, en función de la conectividad del sistema, para encontrar la lista completa de puntos de conexión de servicio necesarios.
Microsoft Defender para punto de conexión direcciones URL de conectividad optimizadas
Microsoft Defender para punto de conexión direcciones URL de conectividad estándar
Requisitos de memoria
En la tabla siguiente se describen los requisitos de memoria en el servidor utilizado para el sensor de Defender for Identity, en función del tipo de virtualización que use:
| Máquina virtual en ejecución | Descripción |
|---|---|
| Hyper-V | Asegúrese de que Habilitar memoria dinámica no esté habilitado para la máquina virtual. |
| VMware | Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria de invitado (todo bloqueado) en la configuración de la máquina virtual. |
| Otro host de virtualización | Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria siempre está totalmente asignada a las máquinas virtuales. |
Importante
Cuando se ejecuta como una máquina virtual, asigne siempre toda la memoria a la máquina virtual.
La versión 3 del sensor impide que el sensor sobreutiliza la CPU o la memoria limitando el uso de la CPU al 30 % y el uso de memoria a 1,5 GB. Sin embargo, si cualquier otro servicio usa recursos sustanciales del sistema, es posible que el controlador de dominio siga experimentando una tensión de rendimiento.
Consulte la documentación de Planeamiento de capacidad de Defender for Identity para determinar si los servidores de controlador de dominio tienen suficientes recursos para un sensor de Microsoft Defender for Identity.
Requisitos de la cuenta de servicio
El sensor de Defender for Identity interactúa con Active Directory de dos maneras:
- Lectura de datos de AD (consulta de objetos, seguimiento de cambios, resolución de entidades). En v2.x, usa una cuenta de servicio de directorio (DSA). En v3.x, LocalSystem controla esto automáticamente.
- Realizar acciones de corrección (deshabilitar cuentas, restablecer contraseñas). En v2.x, usa una cuenta de acción. En v3.x, LocalSystem controla esto automáticamente.
El sensor v3.x usa la identidad del sistema local del servidor para ambos propósitos. No usa cuentas de servicio de directorio (DSA) ni cuentas de servicio administradas de grupo (gMSA). LocalSystem es la única identidad admitida para v3.x.
Si va a migrar desde sensor v2.x y anteriormente tenía una gMSA configurada para cuentas de acción, seleccione Usar automáticamente la cuenta del sistema local del sensor en el portal de Microsoft Defender (Identidades> de configuración>Microsoft Defender for Identity>Administrar cuentas de acción. Los sensores v3.x no usan cuentas gMSA configuradas para sensores v2.x.
Importante
Si alguno de los sensores es v3.x, seleccione Usar automáticamente la cuenta del sistema local del sensor para todos los sensores. Los sensores v3.x usan la cuenta del sistema local independientemente de la configuración de gMSA.
Alertas de estado de DSA y gMSA en entornos con sensores v2 y v3
Si el área de trabajo sigue teniendo configurada una cuenta de servicio de directorio (DSA) o una cuenta de servicio administrada de grupo (gMSA) porque los sensores v2 de AD FS, AD CS o Entra connect los servidores todavía lo requieren, las credenciales de DSA y gMSA siguen validándose en todos los sensores del área de trabajo, incluidos los sensores v3. Si se produce un error en la validación, aparecerán las credenciales de usuario de servicios de directorio incorrectas . Este comportamiento es una característica del diseño de la aplicación. Defender for Identity valida las credenciales de DSA y gMSA en el nivel de área de trabajo para todos los sensores siempre y cuando esas cuentas existan, independientemente de si los sensores individuales las usan para realizar acciones de auditoría o respuesta.
Los sensores V3 omiten la DSA y gMSA para las acciones de auditoría y respuesta, pero todavía se incluyen en la validación de credenciales de nivel de área de trabajo. Para dejar de recibir esta alerta de estado en los sensores v3, quite la DSA o gMSA de nivel de área de trabajo después de que todos los sensores se migren completamente a v3 y no lo requieran los sensores v2.
Prueba de los requisitos previos
Ejecute el script deTest-MdiReadiness.ps1 para comprobar si el entorno tiene los requisitos previos necesarios.
El script deTest-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Herramientas de identidades > (versión preliminar).
Activar el sensor
Después de confirmar todos los requisitos previos, active el sensor desde el portal de Microsoft Defender.
Después de activar
Complete estos pasos de configuración después de activar y ejecutar el sensor.
Configuración de la auditoría de eventos de Windows
Defender for Identity se basa en los registros de eventos de Windows para muchas detecciones. Para los sensores v3.x en controladores de dominio, habilite la auditoría automática, que controla todos los valores de auditoría sin configuración manual.
Si la auditoría automática no está disponible o no está disponible, configure la auditoría manualmente o use PowerShell.
Configuración de la auditoría rpc
Para mejorar la visibilidad de la seguridad y habilitar detecciones de identidad adicionales, aplique la etiqueta Auditoría RPC del sensor unificado a los dispositivos. Una vez aplicada, la configuración se aplica en todos los dispositivos existentes y futuros que coinciden con los criterios de regla. La etiqueta está visible en el inventario de dispositivos con fines de auditoría.
Requisitos previos
- Los dispositivos deben ejecutar el sensor de Defender for Identity versión 3.0.4 o posterior. Los dispositivos que ejecutan versiones anteriores no admiten esta característica y no generarán alertas de estado de auditoría rpc.
Para aplicar la etiqueta:
En el portal de Microsoft Defender, vaya a: Configuración del > sistema > Microsoft Defender XDR > Administración de reglas de recursos.
Seleccione Crear una nueva regla.
En el panel lateral:
- Escriba un nombre de regla y una descripción.
- Establezca condiciones de regla mediante
Device name,DomainoDevice tagpara dirigirse a las máquinas deseadas. Controladores de dominio de destino con el sensor v3.x instalado. - Asegúrese de que el sensor de Defender for Identity v3.x ya está implementado en los dispositivos seleccionados.
Agregue la etiqueta Auditoría RPC del sensor unificado a los dispositivos seleccionados.
Seleccione Siguiente para revisar y finalizar la creación de la regla y, a continuación, seleccione Enviar. La regla puede tardar hasta una hora en surtir efecto.
Obtenga más información sobre las reglas de administración de recursos.
Configuración recomendada
- Establezca la opción Power de la máquina que ejecuta el sensor de Defender for Identity en Alto rendimiento.
- Sincronice la hora en los servidores y controladores de dominio en los que instala el sensor en un plazo de cinco minutos entre sí.