Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Distribuire il sensore Defender per identità v3.x nei controller di dominio supportati. Completare i controlli dei prerequisiti prima dell'attivazione, quindi configurare le impostazioni di controllo e identità in seguito.
Prima di attivare
Completare questi controlli prima di attivare il sensore.
Limitazioni della versione del sensore
Prima di attivare il sensore defender per identità v3.x, tenere presente che v3.x:
- Non supporta l'integrazione VPN.
- Non supporta le notifiche syslog.
- Presenta limitazioni che funzionano con Azure ExpressRoute. Per altre informazioni, vedere Azure ExpressRoute per Microsoft 365.
Requisiti per i server
Assicurarsi che il server in cui si sta attivando il sensore:
- Defender per endpoint è stato distribuito nel server. Il componente antivirus Microsoft Defender può essere in modalità attiva o passiva. Defender per endpoint deve essere caricato nel server in cui viene eseguito il sensore; la distribuzione solo endpoint non è sufficiente.
- Non è già stato distribuito un sensore Defender per identità v2.x.
- È in esecuzione Windows Server 2019 o versioni successive.
- Include l'aggiornamento cumulativo di marzo 2026 o versione successiva .
Tipi di server supportati
Il sensore v3.x supporta i controller di dominio, inclusi i controller di dominio con questi ruoli di identità:
- Active Directory Federation Services (ADFS)
- Servizi certificati Active Directory (AD DS)
- Microsoft Entra Connect
Usare il sensore Defender per identità v2.x per i server che non sono controller di dominio ed eseguono AD FS, AD CS o Microsoft Entra Connect.
Requisiti di licenza
La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Sicurezza Microsoft 365 E5/A5/G5/F5*
- Sicurezza e conformità di Microsoft 365 F5*
Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3. Acquistare licenze nel portale di Microsoft 365 o tramite licenze Cloud Solution Partner (CSP). Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.
Ruoli e autorizzazioni
Per creare l'area di lavoro Defender per identità, è necessario un tenant Microsoft Entra ID.
È necessario essere un amministratore della sicurezza o disporre delle autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti:
System settings (Read and manage)Security settings (All permissions)
Requisiti di rete
Il sensore Defender per identità usa gli stessi URI di Microsoft Defender per endpoint. Esaminare i documenti seguenti per Defender per endpoint, in base alla connettività del sistema, per trovare l'elenco completo degli endpoint di servizio necessari.
Microsoft Defender per endpoint URL di connettività semplificata
MICROSOFT DEFENDER PER ENDPOINT URL di connettività standard
Requisiti di memoria
La tabella seguente descrive i requisiti di memoria nel server usato per il sensore Defender per identità, a seconda del tipo di virtualizzazione in uso:
| Macchina virtuale in esecuzione in | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| Vmware | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutto bloccato) nelle impostazioni della macchina virtuale. |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia sempre allocata completamente alle macchine virtuali. |
Importante
Quando viene eseguita come macchina virtuale, allocare sempre tutta la memoria alla macchina virtuale.
La versione 3 del sensore impedisce al sensore di sovrautilizzare la CPU o la memoria limitando l'utilizzo della CPU al 30% e l'utilizzo della memoria a 1,5 GB. Tuttavia, se qualsiasi altro servizio usa risorse di sistema sostanziali, il controller di dominio potrebbe comunque riscontrare un affaticamento delle prestazioni.
Per determinare se i server del controller di dominio dispongono di risorse sufficienti per un sensore di Microsoft Defender per identità, vedere la documentazione di Defender per la pianificazione della capacità delle identità.
Requisiti dell'account di servizio
Il sensore v3.x usa l'identità del sistema locale del server per Active Directory e le azioni di risposta. Non supporta gli account del servizio directory (DSA) o gli account del servizio gestito del gruppo (gMSA). LocalSystem è l'unica identità supportata per v3.x.
Se si esegue la migrazione dal sensore v2.x e in precedenza era configurato un account del servizio gestito di gruppo per gli account azione, è necessario rimuoverlo. Se gMSA rimane abilitato, le azioni di risposta, inclusa l'interruzione degli attacchi, non funzioneranno.
Importante
Negli ambienti che usano sensori v2 e v3, usare gli account di sistema locali per tutti i sensori.
Testare i prerequisiti
Eseguire lo script Test-MdiReadiness.ps1 per verificare se l'ambiente dispone dei prerequisiti necessari.
Lo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).
Attivare il sensore
Dopo aver confermato tutti i prerequisiti, attivare il sensore dal portale di Microsoft Defender.
Dopo l'attivazione
Completare questi passaggi di configurazione dopo l'attivazione e l'esecuzione del sensore.
Configurare il controllo degli eventi di Windows
Defender per identità si basa sui log eventi di Windows per molti rilevamenti. Per i sensori v3.x nei controller di dominio, abilitare il controllo automatico, che gestisce tutte le impostazioni di controllo senza configurazione manuale.
Se il controllo automatico non è disponibile o si è disattivato, configurare il controllo manualmente o usare PowerShell.
Configurare il controllo RPC
L'applicazione di tag di controllo RPC a un dispositivo migliora la visibilità della sicurezza e sblocca più rilevamenti di identità. Una volta applicata, la configurazione viene applicata a tutti i dispositivi esistenti e futuri che corrispondono ai criteri della regola. I tag sono visibili nell'inventario dei dispositivi per la trasparenza e le funzionalità di controllo.
Sono disponibili i tag seguenti:
- Controllo RPC del sensore unificato: abilita il controllo RPC avanzato per i rilevamenti avanzati delle identità.
- Controllo del sensore esteso (anteprima): abilita le funzionalità di controllo RPC estese per ulteriori rilevamenti avanzati delle identità. Richiede l'aggiornamento cumulativo più recente.
Per applicare un tag:
Nel portale di Microsoft Defender passare a: Impostazioni > di sistema > Microsoft Defender XDR > Gestione regole asset.
Selezionare Crea una nuova regola.
Nel pannello laterale:
- Immettere un nome di regola e una descrizione.
- Impostare le condizioni delle regole usando
Device name,DomainoDevice tagper impostare come destinazione i computer desiderati. Controller di dominio di destinazione con il sensore v3.x installato. - Assicurarsi che il sensore Defender per identità v3.x sia già distribuito nei dispositivi selezionati.
Aggiungere il tag desiderato (Unified Sensor RPC Audit o Extended Sensor Audit) ai dispositivi selezionati.
Selezionare Avanti per esaminare e completare la creazione della regola e quindi selezionare Invia. L'applicazione della regola potrebbe richiedere fino a un'ora.
Altre informazioni sulle regole di gestione degli asset.
Impostazioni consigliate
- Impostare l'opzione power del computer che esegue il sensore Defender per identità su Prestazioni elevate.
- Sincronizzare l'ora nei server e nei controller di dominio in cui si installa il sensore entro cinque minuti l'uno dall'altro.