Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Distribuire il sensore Defender per identità v3.x nei controller di dominio supportati. Completare i controlli dei prerequisiti prima dell'attivazione, quindi configurare le impostazioni di controllo e identità in seguito.
Prima di attivare
Completare questi controlli prima di attivare il sensore.
Limitazioni della versione del sensore
Prima di attivare il sensore defender per identità v3.x, tenere presente che v3.x:
- Non supporta l'integrazione VPN.
- Non supporta le notifiche syslog.
- Presenta limitazioni che funzionano con Azure ExpressRoute. Per altre informazioni, vedere Azure ExpressRoute per Microsoft 365.
- Non supporta la migrazione dei controller di dominio che eseguono Windows Server 2025 dal sensore v2.x al sensore v3.x. Per altre informazioni, vedere Limitazioni note. .
Requisiti per i server
Assicurarsi che il server in cui si sta attivando il sensore:
- Defender per endpoint è stato distribuito nel server. Il componente antivirus Microsoft Defender può essere in modalità attiva o passiva. Defender per endpoint deve essere caricato nel server in cui viene eseguito il sensore; la distribuzione solo endpoint non è sufficiente.
- Non è già stato distribuito un sensore Defender per identità v2.x.
- È in esecuzione Windows Server 2019 o versioni successive.
- Include l'aggiornamento cumulativo di marzo 2026 o versione successiva .
Tipi di server supportati
Il sensore v3.x supporta i controller di dominio, inclusi i controller di dominio con questi ruoli di identità:
- Active Directory Federation Services (ADFS)
- Servizi certificati Active Directory (AD DS)
- Microsoft Entra Connect
Usare il sensore Defender per identità v2.x per i server che non sono controller di dominio ed eseguono AD FS, AD CS o Microsoft Entra Connect.
Requisiti di licenza
La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Sicurezza Microsoft 365 E5/A5/G5/F5*
- Sicurezza e conformità di Microsoft 365 F5*
Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3. Acquistare licenze nel portale di Microsoft 365 o tramite licenze Cloud Solution Partner (CSP). Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.
Ruoli e autorizzazioni
Per creare l'area di lavoro Defender per identità, è necessario un tenant Microsoft Entra ID.
È necessario essere un amministratore della sicurezza o disporre delle autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti:
System settings (Read and manage)Security settings (All permissions)
Requisiti di rete
Il sensore Defender per identità usa gli stessi URI di Microsoft Defender per endpoint. Esaminare i documenti seguenti per Defender per endpoint, in base alla connettività del sistema, per trovare l'elenco completo degli endpoint di servizio necessari.
Microsoft Defender per endpoint URL di connettività semplificata
MICROSOFT DEFENDER PER ENDPOINT URL di connettività standard
Requisiti di memoria
La tabella seguente descrive i requisiti di memoria nel server usato per il sensore Defender per identità, a seconda del tipo di virtualizzazione in uso:
| Macchina virtuale in esecuzione in | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| Vmware | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutto bloccato) nelle impostazioni della macchina virtuale. |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia sempre allocata completamente alle macchine virtuali. |
Importante
Quando viene eseguita come macchina virtuale, allocare sempre tutta la memoria alla macchina virtuale.
La versione 3 del sensore impedisce al sensore di sovrautilizzare la CPU o la memoria limitando l'utilizzo della CPU al 30% e l'utilizzo della memoria a 1,5 GB. Tuttavia, se qualsiasi altro servizio usa risorse di sistema sostanziali, il controller di dominio potrebbe comunque riscontrare un affaticamento delle prestazioni.
Per determinare se i server del controller di dominio dispongono di risorse sufficienti per un sensore di Microsoft Defender per identità, vedere la documentazione di Defender per la pianificazione della capacità delle identità.
Requisiti dell'account di servizio
Il sensore Defender per identità interagisce con Active Directory in due modi:
- Lettura dei dati di Active Directory (esecuzione di query sugli oggetti, rilevamento delle modifiche, risoluzione delle entità). Nella versione 2.x viene usato un account del servizio directory (DSA). In v3.x, LocalSystem gestisce automaticamente questa operazione.
- Esecuzione di azioni di correzione (disabilitazione degli account, reimpostazione delle password). Nella versione 2.x viene usato un account azione. In v3.x, LocalSystem gestisce automaticamente questa operazione.
Il sensore v3.x usa l'identità del sistema locale del server per entrambi gli scopi. Non usa gli account del servizio directory (DSA) o gli account del servizio gestito del gruppo (gMSA). LocalSystem è l'unica identità supportata per v3.x.
Se si esegue la migrazione dal sensore v2.x e in precedenza era configurato un account del servizio gestito del gruppo per gli account azione, selezionare Usa automaticamente l'account di sistema locale del sensore nel portale di Microsoft Defender (Identità delle impostazioni>>Microsoft Defender per identità>Gestisci account azione). I sensori v3.x non usano gli account gMSA configurati per i sensori v2.x.
Importante
Se uno dei sensori è v3.x, selezionare Usa automaticamente l'account di sistema locale del sensore per tutti i sensori. I sensori v3.x usano l'account di sistema locale indipendentemente dalla configurazione gMSA.
Avvisi di integrità DSA e gMSA in ambienti con sensori v2 e v3
Se l'area di lavoro ha ancora un account del servizio directory (DSA) o un account del servizio gestito di gruppo (gMSA) configurato perché i sensori v2 nei server AD FS, AD CS o Entra Connect lo richiedono ancora, le credenziali DSA e gMSA continuano a essere convalidate su tutti i sensori nell'area di lavoro, inclusi i sensori v3. Se la convalida non riesce, viene visualizzato l'avviso relativo alle credenziali utente dei servizi directory non corrette . Si tratta di un comportamento legato alla progettazione del prodotto. Defender per identità convalida le credenziali DSA e gMSA a livello di area di lavoro per tutti i sensori, purché tali account esistano, indipendentemente dal fatto che i singoli sensori li usino per azioni di controllo o risposta.
I sensori V3 ignorano DSA e gMSA per le azioni di controllo e risposta, ma sono comunque inclusi nella convalida delle credenziali a livello di area di lavoro. Per interrompere la ricezione di questo avviso di integrità sui sensori v3, rimuovere il DSA o gMSA a livello di area di lavoro dopo che tutti i sensori sono stati completamente migrati alla versione 3 e nessun sensore v2 lo richiede.
Testare i prerequisiti
Eseguire lo script Test-MdiReadiness.ps1 per verificare se l'ambiente dispone dei prerequisiti necessari.
Lo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).
Attivare il sensore
Dopo aver confermato tutti i prerequisiti, attivare il sensore dal portale di Microsoft Defender.
Dopo l'attivazione
Completare questi passaggi di configurazione dopo l'attivazione e l'esecuzione del sensore.
Configurare il controllo degli eventi di Windows
Defender per identità si basa sui log eventi di Windows per molti rilevamenti. Per i sensori v3.x nei controller di dominio, abilitare il controllo automatico, che gestisce tutte le impostazioni di controllo senza configurazione manuale.
Se il controllo automatico non è disponibile o si è disattivato, configurare il controllo manualmente o usare PowerShell.
Configurare il controllo RPC
Per migliorare la visibilità della sicurezza e abilitare rilevamenti di identità aggiuntivi, applicare il tag Di controllo RPC del sensore unificato ai dispositivi. Una volta applicata, la configurazione viene applicata a tutti i dispositivi esistenti e futuri che corrispondono ai criteri della regola. Il tag è visibile nell'inventario dei dispositivi a scopo di controllo.
Prerequisiti
- I dispositivi devono eseguire defender per identità sensore versione 3.0.4 o successiva. I dispositivi che eseguono versioni precedenti non supportano questa funzionalità e non generano avvisi di integrità del controllo RPC.
Per applicare il tag:
Nel portale di Microsoft Defender passare a: Impostazioni > di sistema > Microsoft Defender XDR > Gestione regole asset.
Selezionare Crea una nuova regola.
Nel pannello laterale:
- Immettere un nome di regola e una descrizione.
- Impostare le condizioni delle regole usando
Device name,DomainoDevice tagper impostare come destinazione i computer desiderati. Controller di dominio di destinazione con il sensore v3.x installato. - Assicurarsi che il sensore Defender per identità v3.x sia già distribuito nei dispositivi selezionati.
Aggiungere il tag Unified Sensor RPC Audit ai dispositivi selezionati.
Selezionare Avanti per esaminare e completare la creazione della regola e quindi selezionare Invia. L'applicazione della regola potrebbe richiedere fino a un'ora.
Altre informazioni sulle regole di gestione degli asset.
Impostazioni consigliate
- Impostare l'opzione power del computer che esegue il sensore Defender per identità su Prestazioni elevate.
- Sincronizzare l'ora nei server e nei controller di dominio in cui si installa il sensore entro cinque minuti l'uno dall'altro.