Pré-requisitos do Microsoft Defender for Identity
Este artigo descreve os requisitos para uma implantação bem-sucedida do Microsoft Defender for Identity.
Requisitos de licenciamento
A implantação do Defender for Identity requer uma das seguintes licenças do Microsoft 365:
- Mobilidade Empresarial + Segurança E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Segurança do Microsoft 365 E5/A5/G5/F5*
- Segurança + Conformidade com o Microsoft 365 F5*
- Uma licença independente do Defender for Identity
* Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.
Adquira licenças diretamente através do portal do Microsoft 365 ou utilize o modelo de licenciamento Cloud Solution Partner (CSP).
Para obter mais informações, consulte Perguntas frequentes sobre licenciamento e privacidade.
Permissões obrigatórias
Para criar seu espaço de trabalho do Defender for Identity, você precisa de um locatário do Microsoft Entra ID com pelo menos um administrador de segurança.
Você precisa de pelo menos acesso de administrador de segurança em seu locatário para acessar a seção Identidade da área Configurações do Microsoft Defender XDR e criar o espaço de trabalho.
Para obter mais informações, consulte Microsoft Defender for Identity role groups.
Recomendamos o uso de pelo menos uma conta do Serviço de Diretório, com acesso de leitura a todos os objetos nos domínios monitorados. Para obter mais informações, consulte Configurar uma conta de serviço de diretório para o Microsoft Defender for Identity.
Requisitos de conectividade
O sensor do Defender for Identity deve ser capaz de se comunicar com o serviço de nuvem do Defender for Identity, usando um dos seguintes métodos:
| Método | Description | Considerações | Mais informações |
|---|---|---|---|
| Configurar um proxy | Os clientes que têm um proxy de encaminhamento implantado podem aproveitar o proxy para fornecer conectividade ao serviço de nuvem MDI. Se você escolher essa opção, configurará seu proxy posteriormente no processo de implantação. As configurações de proxy incluem permitir o tráfego para a URL do sensor e configurar URLs do Defender for Identity para quaisquer listas de permissões explícitas usadas pelo seu proxy ou firewall. |
Permite o acesso à internet para um único URL A inspeção SSL não é suportada |
Definir proxy de ponto de extremidade e configurações de conectividade com a Internet Executar uma instalação silenciosa com uma configuração de proxy |
| ExpressRoute | O ExpressRoute pode ser configurado para encaminhar o tráfego do sensor MDI pela rota expressa do cliente. Para rotear o tráfego de rede destinado aos servidores de nuvem do Defender for Identity, use o emparelhamento Microsoft ExpressRoute e adicione a comunidade BGP do serviço Microsoft Defender for Identity (12076:5220) ao seu filtro de rota. |
Requer Rota Expressa | Serviço ao valor da comunidade BGP |
| Firewall, usando os endereços IP do Azure do Defender for Identity | Os clientes que não têm um proxy ou ExpressRoute podem configurar seu firewall com os endereços IP atribuídos ao serviço de nuvem MDI. Isso requer que o cliente monitore a lista de endereços IP do Azure para quaisquer alterações nos endereços IP usados pelo serviço de nuvem MDI. Se escolher esta opção, recomendamos que transfira o ficheiro Azure IP Ranges and Service Tags – Public Cloud e utilize a etiqueta de serviço AzureAdvancedThreatProtection para adicionar os endereços IP relevantes. |
O cliente deve monitorar as atribuições de IP do Azure | Etiquetas de serviço da rede virtual |
Para obter mais informações, consulte Microsoft Defender for Identity architecture.
Requisitos e recomendações do sensor
A tabela a seguir resume os requisitos e recomendações para o controlador de domínio, AD FS, AD CS, servidor Entra Connect onde você instalará o sensor Defender for Identity.
| Pré-requisito / Recomendação | Description |
|---|---|
| Especificações | Certifique-se de instalar o Defender for Identity no Windows versão 2016 ou superior, em um servidor de controlador de domínio com um mínimo de: - 2 núcleos - 6 GB de RAM - 6 GB de espaço em disco necessário, 10 GB recomendados, incluindo espaço para binários e logs do Defender for Identity O Defender for Identity suporta controladores de domínio somente leitura (RODC). |
| Desempenho | Para um desempenho ideal, defina a opção de alimentação da máquina que executa o sensor Defender for Identity como Alto desempenho. |
| Configuração da interface de rede | Se você estiver usando máquinas virtuais VMware, verifique se a configuração da NIC da máquina virtual tem o LSO (Large Send Offload) desabilitado. Consulte Problema do sensor de máquina virtual VMware para obter mais detalhes. |
| Janela de manutenção | Recomendamos agendar uma janela de manutenção para seus controladores de domínio, pois uma reinicialização pode ser necessária se a instalação for executada e uma reinicialização já estiver pendente ou se o .NET Framework precisar ser instalado. Se o .NET Framework versão 4.7 ou posterior ainda não for encontrado no sistema, o .NET Framework versão 4.7 está instalado e pode exigir uma reinicialização. |
Requisitos mínimos do sistema operacional
Os sensores do Defender for Identity podem ser instalados nos seguintes sistemas operacionais:
- Windows Server 2016
- Windows Server 2019. Requer KB4487044 ou uma atualização cumulativa mais recente. Os sensores instalados no Server 2019 sem esta atualização serão automaticamente interrompidos se a versão do arquivo ntdsai.dll encontrada no diretório do sistema for mais antiga que 10.0.17763.316
- Windows Server 2022
Para todos os sistemas operativos:
- Ambos os servidores com experiência de desktop e núcleos de servidor são suportados.
- Não há suporte para servidores Nano.
- As instalações são suportadas para controladores de domínio, AD FS e servidores AD CS.
Sistemas operativos herdados
O Windows Server 2012 e o Windows Server 2012 R2 atingiram o fim estendido do suporte em 10 de outubro de 2023.
Recomendamos que você planeje atualizar esses servidores, pois a Microsoft não oferece mais suporte ao sensor Defender for Identity em dispositivos que executam o Windows Server 2012 e o Windows Server 2012 R2.
Os sensores que funcionam nesses sistemas operacionais continuarão a se reportar ao Defender for Identity e até mesmo receber as atualizações do sensor, mas algumas das novas funcionalidades não estarão disponíveis, pois podem depender dos recursos do sistema operacional.
Portas necessárias
| Protocolo | Transportes | Porta | De | De |
|---|---|---|---|---|
| Portas de Internet | ||||
| SSL (*.atp.azure.com) Como alternativa, configure o acesso por meio de um proxy. |
TCP | 443 | Sensor Defender for Identity | Serviço de nuvem Defender for Identity |
| Portas internas | ||||
| DNS | TCP e UDP | 53 | Sensor Defender for Identity | Servidores DNS |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor Defender for Identity | Todos os dispositivos na rede |
| RAIO | UDP | 1813 | RADIUS | Sensor Defender for Identity |
| Portas Localhost: necessárias para o atualizador de serviço do sensor Por padrão, o tráfego localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie. |
||||
| SSL | TCP | 444 | Serviço de sensores | Serviço de atualização de sensores |
| Portas NNR (Network Name Resolution) Para resolver endereços IP para nomes de computadores, recomendamos abrir todas as portas listadas. No entanto, apenas uma porta é necessária. |
||||
| NTLM sobre RPC | TCP | Porta 135 | Sensor Defender for Identity | Todos os dispositivos na rede |
| NetBIOS | UDP | 137 | Sensor Defender for Identity | Todos os dispositivos na rede |
| PDR Somente o primeiro pacote de saudação do cliente consulta o servidor DNS usando a pesquisa reversa de DNS do endereço IP (UDP 53) |
TCP | 3389 | Sensor Defender for Identity | Todos os dispositivos na rede |
Se você estiver trabalhando com várias florestas, certifique-se de que as seguintes portas sejam abertas em qualquer máquina onde um sensor do Defender for Identity esteja instalado:
| Protocolo | Transporte | Porta | Para/De | Direção |
|---|---|---|---|---|
| Portas de Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Serviço de nuvem Defender for Identity | De Saída |
| Portas internas | ||||
| LDAP | TCP e UDP | 389 | Controladores de domínio | De Saída |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de domínio | De Saída |
| LDAP para Catálogo Global | TCP | 3268 | Controladores de domínio | De Saída |
| LDAPS para Catálogo Global | TCP | 3269 | Controladores de domínio | De Saída |
Requisitos de memória dinâmica
A tabela a seguir descreve os requisitos de memória no servidor usado para o sensor Defender for Identity, dependendo do tipo de virtualização que você está usando:
| VM em execução | Description |
|---|---|
| Hyper-V | Certifique-se de que Ativar memória dinâmica não está habilitado para a VM. |
| VMware | Verifique se a quantidade de memória configurada e a memória reservada são as mesmas ou selecione a opção Reservar toda a memória de convidado (Toda bloqueada) nas configurações da VM. |
| Outro host de virtualização | Consulte a documentação fornecida pelo fornecedor sobre como garantir que a memória seja totalmente alocada para a VM em todos os momentos. |
Importante
Quando executado como uma máquina virtual, toda a memória deve ser alocada para a máquina virtual em todos os momentos.
Sincronização de tempo
Os servidores e controladores de domínio nos quais o sensor está instalado devem ter o tempo sincronizado dentro de cinco minutos um do outro.
Teste seus pré-requisitos
Recomendamos executar o script Test-MdiReadiness.ps1 para testar e ver se seu ambiente tem os pré-requisitos necessários.
O link para o script Test-MdiReadiness.ps1 também está disponível no Microsoft Defender XDR, na página Ferramentas de Identidades > (Visualização).
Conteúdos relacionados
Este artigo lista os pré-requisitos necessários para uma instalação básica. Pré-requisitos adicionais são necessários ao instalar em um servidor AD FS / AD CS ou Entra Connect, para dar suporte a várias florestas do Ative Directory ou ao instalar um sensor autônomo do Defender for Identity.
Para obter mais informações, consulte:
- Implantando o Microsoft Defender for Identity em servidores AD FS e AD CS
- Suporte a várias florestas do Microsoft Defender for Identity
- Pré-requisitos do sensor autônomo do Microsoft Defender for Identity
- Arquitetura do Defender for Identity