Pré-requisitos do Microsoft Defender para Identidade
Este artigo descreve os requisitos para uma implantação bem-sucedida do Microsoft Defender para Identidade.
Requisitos de licenciamento
A implantação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Segurança + Conformidade no Microsoft 365 F5*
- Uma licença autônoma do Defender para Identidade
* Ambas as licenças F5 requerem o Microsoft 365 F1/F3 ou Office 365 F3 e o Enterprise Mobility + Security E3.
Adquira licenças diretamente pelo portal do Microsoft 365 ou use o modelo de licenciamento CSP (Parceiro de Soluções na Nuvem).
Para obter mais informações, confira Perguntas frequentes sobre licenciamento e privacidade.
Permissões necessárias
Para criar seu espaço de trabalho do Defender para Identidade, você precisa de um locatário do Microsoft Entra ID com pelo menos um administrador de segurança.
Você precisa pelo menos de acesso de administrador de segurança no locatário para acessar a seção Identidade na área Configurações do Microsoft Defender XDR para criar o espaço de trabalho.
Para obter mais informações, consulte Grupos de funções do Microsoft Defender para Identidade.
Recomendamos usar pelo menos uma conta de Serviço de Diretório com acesso de leitura a todos os objetos nos domínios monitorados. Para obter mais informações, consulte Configurar uma conta de Serviço de Diretório para o Microsoft Defender para Identidade.
Requisitos de conectividade
O sensor do Defender para Identidade deve poder se comunicar com o serviço de nuvem do Defender para Identidade usando um dos seguintes métodos:
| Método | Descrição | Considerações | Saiba mais |
|---|---|---|---|
| Configurar um proxy | Os clientes que têm um proxy de encaminhamento implantado podem aproveitar o proxy para fornecer conectividade ao serviço de nuvem do MDI. Se escolher essa opção, você fará a configuração do proxy mais tarde durante o processo de implantação. As configurações de proxy incluem permitir o tráfego para a URL do sensor e configurar as URLs do Defender para Identidade para quaisquer listas de permissões explícitas usadas pelo seu proxy ou firewall. |
Permite o acesso à internet para uma única URL Não há suporte para a inspeção SSL |
Definir proxy de ponto de extremidade e configurações de conectividade com a Internet Executar uma instalação silenciosa com uma configuração de proxy |
| ExpressRoute | O ExpressRoute pode ser configurado para encaminhar o tráfego do sensor do MDI pela rota expressa do cliente. Para rotear o tráfego de rede destinado aos servidores em nuvem do Defender para Identidade, use o emparelhamento da Microsoft do ExpressRoute e adicione a comunidade BGP do serviço do Microsoft Defender para Identidade (12076:5220) ao filtro de rotas. |
Requer ExpressRoute | Serviço para valor de comunidade BGP |
| Firewall, usando os endereços IP do Azure do Defender para Identidade | Os clientes que não têm um proxy ou ExpressRoute podem configurar seu firewall com os endereços IP atribuídos ao serviço de nuvem MDI. Isso requer que o cliente monitore a lista de endereços IP do Azure quanto a alterações nos endereços IP usados pelo serviço de nuvem do MDI. Se você escolher essa opção, recomendamos baixar o arquivo Intervalos de IP do Azure e marcas de serviço – Nuvem Pública e usar a marca de serviço AzureAdvancedThreatProtection para adicionar os endereços IP relevantes. |
O cliente deve monitorar as atribuições de IP do Azure | Marcas de serviço de rede virtual |
Para obter mais informações, consulte Arquitetura do Microsoft Defender para Identidade.
Requisitos e recomendações do sensor
A tabela a seguir resume os requisitos e as recomendações para o controlador de domínio, AD FS, AD CS e servidor Entra Connect onde você instalará o sensor do Defender para Identidade.
| Pré-requisito/Recomendação | Descrição |
|---|---|
| Especificações | Certifique-se de instalar o Defender para Identidade no Windows versão 2016, ou posterior, em um servidor de controlador de domínio com no mínimo: - 2 núcleos - 6 GB de RAM - 6 GB de espaço em disco necessários, 10 GB recomendados, incluindo espaço para binários e logs do Defender para Identidade O Defender para Identidade oferece suporte a RODC (Controladores de Domínio Somente Leitura). |
| Desempenho | Para obter um desempenho ideal, defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Alto Desempenho. |
| Configuração do adaptador de rede | Se você estiver usando máquinas virtuais VMware, certifique-se de que a configuração da NIC da máquina virtual tenha o Descarregamento de Envio Grande (LSO) desabilitado. Consulte Problema do sensor da máquina virtual VMware para mais detalhes. |
| Janela de manutenção | Recomendamos agendar uma janela de manutenção para os controladores de domínio, pois uma reinicialização pode ser necessária se a instalação for executada e uma reinicialização já estiver pendente, ou se o .NET Framework precisar ser instalado. Se o .NET Framework versão 4.7 ou posterior ainda não estiver no sistema, o .NET Framework versão 4.7 será instalado e poderá exigir uma reinicialização. |
Requisitos mínimos do sistema operacional
Os sensores do Defender para Identidade podem ser instalados nos seguintes sistemas operacionais:
- Windows Server 2016
- Windows Server 2019. Requer a atualização cumulativa KB4487044 ou mais recente. Os sensores instalados no Server 2019 sem essa atualização serão automaticamente interrompidos se a versão do arquivo ntdsai.dll encontrada no diretório do sistema for anterior à versão 10.0.17763.316
- Windows Server 2022
Para todos os sistemas operacionais:
- Há suporte para os dois servidores com experiência desktop e núcleos de servidores.
- Não há suporte para servidores nano.
- Há suporte para instalações de servidores de controladores de domínio, AD FS e AD CS.
Sistemas operacionais herdados
O Windows Server 2012 e o Windows Server 2012 R2 chegaram ao fim do suporte estendido em 10 de outubro de 2023.
Recomendamos que você planeje atualizar esses servidores, pois a Microsoft não oferece mais suporte ao sensor do Defender para Identidade em dispositivos que executam o Windows Server 2012 e o Windows Server 2012 R2.
Os sensores executados nesses sistemas operacionais continuarão a se reportar ao Defender para Identidade e até mesmo receber as atualizações de sensor, mas algumas das novas funcionalidades não estarão disponíveis, uma vez que talvez dependam de recursos do sistema operacional.
Portas obrigatórias
| Protocolo | Transporte | Porta | De | Para |
|---|---|---|---|---|
| Portas da Internet | ||||
| SSL (*.atp.azure.com) Como alternativa, configure o acesso por meio de um proxy. |
TCP | 443 | Sensor do Defender para Identidade | Serviço de nuvem do Defender para Identidade |
| Portas internas | ||||
| DNS | TCP e UDP | 53 | Sensor do Defender para Identidade | Servidores DNS |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
| RAIO | UDP | 1813 | RAIO | Sensor do Defender para Identidade |
| Portas localhost: necessárias para o atualizador do serviço do sensor Por padrão, o tráfego de localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie. |
||||
| SSL | TCP | 444 | Serviço de sensor | Serviço do atualizador de sensor |
| Portas da NNR (Resolução de Nomes de Rede) Para resolver endereços IP para nomes de computador, recomendamos abrir todas as portas listadas. No entanto, apenas uma porta é necessária. |
||||
| NTLM por RPC | TCP | Porta 135 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
| NetBIOS | UDP | 137 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
| RDP Somente o primeiro pacote de Client hello consulta o servidor DNS usando a pesquisa de DNS reverso do endereço IP (UDP 53) |
TCP | 3389 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
Se você estiver trabalhando com várias florestas, certifique-se de que as seguintes portas estejam abertas em qualquer computador em que um sensor do Defender para Identidade esteja instalado:
| Protocolo | Transporte | Porta | Para/De | Direção |
|---|---|---|---|---|
| Portas da Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Serviço de nuvem do Defender para Identidade | Saída |
| Portas internas | ||||
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| LDAPS (LDAP Seguro) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para catálogo global | TCP | 3268 | Controladores de domínio | Saída |
| LDAPS para catálogo global | TCP | 3269 | Controladores de domínio | Saída |
Requisitos de memória dinâmica
A tabela a seguir descreve os requisitos de memória no servidor usado para o sensor do Defender para Identidade, dependendo do tipo de virtualização que você está usando:
| VM em execução | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Habilitar memória dinâmica não esteja habilitada para a VM. |
| VMware | Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas configurações da VM. |
| Outro host de virtualização | Veja a documentação do fornecedor sobre como garantir que a memória seja alocada totalmente para a VM em todos os momentos. |
Importante
Ao executar como uma máquina virtual, toda a memória deve ser sempre alocada para a máquina virtual.
Sincronização da hora
Os servidores e os controladores de domínio em que o sensor é instalado devem ter a hora sincronizada com até cinco minutos de diferença entre um e outro.
Teste os pré-requisitos
Recomendamos executar o script Test-MdiReadiness.ps1 para testar seu ambiente e descobrir se ele tem os pré-requisitos necessários.
O link para o script Test-MdiReadiness.ps1 também está disponível no Microsoft Defender XDR, na página Ferramentas de >Identidades (versão prévia).
Conteúdo relacionado
Este artigo lista os pré-requisitos necessários para uma instalação básica. Pré-requisitos adicionais são necessários ao instalar em um servidor de AD FS/AD CS, ou Entra Connect para oferecer suporte a várias florestas do Active Directory ou ao instalar um sensor autônomo do Defender para Identidade.
Para saber mais, veja:
- Implantar o Microsoft Defender para Identidade em servidores de AD FS e AD CS
- Suporte a várias florestas do Microsoft Defender para Identidade
- Pré-requisitos do sensor autônomo do Microsoft Defender para Identidade
- Arquitetura do Defender para Identidade