pré-requisitos do Microsoft Defender para Identidade
Este artigo descreve os requisitos para uma implementação de Microsoft Defender para Identidade bem-sucedida.
Requisitos de licenciamento
A implementação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Segurança
- Segurança + Conformidade do Microsoft 365 F5*
- Uma licença autónoma do Defender para Identidade
* Ambas as licenças F5 necessitam de Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3.
Adquira licenças diretamente através do portal do Microsoft 365 ou utilize o modelo de licenciamento do Parceiro de Solução Cloud (CSP).
Para obter mais informações, veja FAQs sobre licenciamento e privacidade.
Permissões necessárias
Para criar a área de trabalho do Defender para Identidade, precisa de um inquilino Microsoft Entra ID com, pelo menos, um Administrador de segurança.
Precisa de, pelo menos, acesso de Administrador de segurança no seu inquilino para aceder à secção Identidade da área definições do Microsoft Defender XDR e criar a área de trabalho.
Para obter mais informações, veja Microsoft Defender para Identidade grupos de funções.
Recomendamos que utilize, pelo menos, uma conta do Serviço de Diretório, com acesso de leitura a todos os objetos nos domínios monitorizados. Para obter mais informações, veja Configurar uma conta de Serviço de Diretório para Microsoft Defender para Identidade.
Requisitos de conectividade
O sensor do Defender para Identidade tem de conseguir comunicar com o serviço cloud do Defender para Identidade através de um dos seguintes métodos:
| Método | Descrição | Considerações | Saiba mais |
|---|---|---|---|
| Configurar um proxy | Os clientes que têm um proxy de reencaminhamento implementado podem tirar partido do proxy para fornecer conectividade ao serviço cloud MDI. Se escolher esta opção, irá configurar o proxy mais tarde no processo de implementação. As configurações de proxy incluem permitir o tráfego para o URL do sensor e configurar URLs do Defender para Identidade para quaisquer listas de permissões explícitas utilizadas pelo seu proxy ou firewall. |
Permite o acesso à Internet para um único URL A inspeção SSL não é suportada |
Configurar as definições de proxy de pontos finais e de conectividade à Internet Executar uma instalação automática com uma configuração de proxy |
| ExpressRoute | O ExpressRoute pode ser configurado para reencaminhar o tráfego do sensor MDI através da rota rápida do cliente. Para encaminhar o tráfego de rede destinado aos servidores cloud do Defender para Identidade, utilize o peering da Microsoft do ExpressRoute e adicione a comunidade BGP do serviço Microsoft Defender para Identidade (12076:5220) ao filtro de rota. |
Requer o ExpressRoute | Valor da comunidade serviço a BGP |
| Firewall, com os endereços IP do Azure do Defender para Identidade | Os clientes que não têm um proxy ou o ExpressRoute podem configurar a firewall com os endereços IP atribuídos ao serviço cloud MDI. Isto requer que o cliente monitorize a lista de endereços IP do Azure para quaisquer alterações nos endereços IP utilizados pelo serviço cloud MDI. Se tiver escolhido esta opção, recomendamos que transfira o ficheiro Intervalos de IP e Etiquetas de Serviço do Azure – Cloud Pública e utilize a etiqueta de serviço AzureAdvancedThreatProtection para adicionar os endereços IP relevantes. |
O cliente tem de monitorizar as atribuições de IP do Azure | Etiquetas de serviço de rede virtual |
Para obter mais informações, veja arquitetura Microsoft Defender para Identidade.
Requisitos e recomendações do sensor
A tabela seguinte resume os requisitos e recomendações para o controlador de domínio, AD FS, AD CS, servidor Entra Connect onde irá instalar o sensor do Defender para Identidade.
| Pré-requisito/Recomendação | Descrição |
|---|---|
| Especificações | Certifique-se de que instala o Defender para Identidade no Windows, versão 2016 ou superior, num servidor de controlador de domínio com um mínimo de: - 2 núcleos - 6 GB de RAM - 6 GB de espaço em disco necessário, 10 GB recomendado, incluindo espaço para binários e registos do Defender para Identidade O Defender para Identidade suporta controladores de domínio só de leitura (RODC). |
| Desempenho | Para um desempenho ideal, defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Elevado Desempenho. |
| Configuração da interface de rede | Se estiver a utilizar máquinas virtuais VMware, certifique-se de que a configuração nic da máquina virtual tem a Descarga de Envio Grande (LSO) desativada. Veja Problema do sensor da máquina virtual VMware para obter mais detalhes. |
| Janela de manutenção | Recomendamos que agende uma janela de manutenção para os controladores de domínio, uma vez que poderá ser necessário reiniciar se a instalação for executada e se já estiver pendente um reinício ou se .NET Framework precisar de ser instalada. Se .NET Framework versão 4.7 ou posterior ainda não for encontrada no sistema, .NET Framework versão 4.7 está instalada e poderá ser necessário reiniciar. |
Requisitos mínimos do sistema operativo
Os sensores do Defender para Identidade podem ser instalados nos seguintes sistemas operativos:
- Windows Server 2016
-
Windows Server 2019. Requer KB4487044 ou uma atualização cumulativa mais recente. Os sensores instalados no Server 2019 sem esta atualização serão automaticamente parados se a versão do
ntdsai.dllficheiro encontrada no diretório do sistema for mais antigathan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Para todos os sistemas operativos:
- Ambos os servidores com experiência de ambiente de trabalho e núcleos de servidor são suportados.
- Os servidores Nano não são suportados.
- As instalações são suportadas para controladores de domínio, AD FS e servidores do AD CS.
Sistemas operativos legados
Windows Server 2012 e Windows Server 2012 R2 atingiram o fim do suporte alargado a 10 de outubro de 2023.
Recomendamos que planeie atualizar esses servidores, uma vez que a Microsoft já não suporta o sensor defender para identidade em dispositivos com Windows Server 2012 e Windows Server 2012 R2.
Os sensores em execução nestes sistemas operativos continuarão a reportar ao Defender para Identidade e até receberão as atualizações do sensor, mas algumas das novas funcionalidades não estarão disponíveis, uma vez que poderão depender das capacidades do sistema operativo.
Portas necessárias
| Protocol | Transporte | Port | De | Para |
|---|---|---|---|---|
| Portas da Internet | ||||
|
SSL (*.atp.azure.com) Em alternativa, configure o acesso através de um proxy. |
TCP | 443 | Sensor do Defender para Identidade | Serviço cloud do Defender para Identidade |
| Portas internas | ||||
| DNS | TCP e UDP | 53 | Sensor do Defender para Identidade | Servidores DNS |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
| RADIUS | UDP | 1813 | RADIUS | Sensor do Defender para Identidade |
|
Portas localhost: necessárias para o atualizador do serviço de sensores Por predefinição, o tráfego localhost para localhost é permitido, a menos que uma política de firewall personalizada o bloqueie. |
||||
| SSL | TCP | 444 | Serviço de sensores | Serviço do atualizador de sensores |
|
Portas de Resolução de Nomes de Rede (NNR) Para resolver endereços IP para nomes de computadores, recomendamos que abra todas as portas listadas. No entanto, só é necessária uma porta. |
||||
| NTLM através de RPC | TCP | Porta 135 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
| NetBIOS | UDP | 137 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
|
RDP Apenas o primeiro pacote do Client Hello consulta o servidor DNS através da pesquisa DNS inversa do endereço IP (UDP 53) |
TCP | 3389 | Sensor do Defender para Identidade | Todos os dispositivos na rede |
Se estiver a trabalhar com várias florestas, certifique-se de que as seguintes portas estão abertas em qualquer computador onde esteja instalado um sensor do Defender para Identidade:
| Protocol | Transporte | Porta | De/Para | Direção |
|---|---|---|---|---|
| Portas da Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Serviço cloud do Defender para Identidade | Saída |
| Portas internas | ||||
| LDAP | TCP e UDP | 389 | Controladores de domínio | Saída |
| Secure LDAP (LDAPS) | TCP | 636 | Controladores de domínio | Saída |
| LDAP para Catálogo Global | TCP | 3268 | Controladores de domínio | Saída |
| LDAPS para Catálogo Global | TCP | 3269 | Controladores de domínio | Saída |
Requisitos de memória dinâmicos
A tabela seguinte descreve os requisitos de memória no servidor utilizado para o sensor do Defender para Identidade, consoante o tipo de virtualização que está a utilizar:
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas definições da VM. |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada à VM. |
Importante
Ao executar como uma máquina virtual, toda a memória tem de ser sempre alocada à máquina virtual.
Sincronização de hora
Os servidores e controladores de domínio nos quais o sensor está instalado têm de ter o tempo sincronizado para um período de cinco minutos entre si.
Testar os pré-requisitos
Recomendamos que execute o scriptTest-MdiReadiness.ps1 para testar e ver se o seu ambiente tem os pré-requisitos necessários.
A ligação para o script Test-MdiReadiness.ps1 também está disponível em Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).
Conteúdos relacionados
Este artigo lista os pré-requisitos necessários para uma instalação básica. São necessários pré-requisitos adicionais ao instalar num servidor do AD FS/AD CS ou no Entra Connect, para suportar várias florestas do Active Directory ou quando está a instalar um sensor autónomo do Defender para Identidade.
Para mais informações, consulte:
- Implementar Microsoft Defender para Identidade em servidores do AD FS e do AD CS
- Microsoft Defender para Identidade suporte para várias florestas
- Microsoft Defender para Identidade pré-requisitos do sensor autónomo
- Arquitetura do Defender para Identidade