Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo é atualizado frequentemente para lhe dar a conhecer as novidades nas versões mais recentes do Microsoft Defender para Identidade.
Novidades no âmbito e nas referências
As versões do Defender para Identidade são implementadas gradualmente nos inquilinos dos clientes. Se existir uma funcionalidade documentada aqui que ainda não vê no seu inquilino, marcar novamente mais tarde para a atualização.
Para obter mais informações, consulte também:
- Novidades no Microsoft Defender XDR
- Novidades no Microsoft Defender para Ponto de Extremidade
- Novidades no Microsoft Defender para Aplicativos em Nuvem
Para obter atualizações sobre versões e funcionalidades lançadas há seis meses ou anteriores, consulte o artigo Novidades do arquivo para Microsoft Defender para Identidade.
Março de 2026
Suporte do sensor v3.x para controladores de domínio com funções de identidade adicionais
O sensor do Defender para Identidade v3.x suporta agora controladores de domínio que também executam funções de identidade do AD FS, AD CS ou Microsoft Entra Connect. As recomendações de deteções e gestão da postura de segurança de identidade (ISPM) para estas funções serão implementadas gradualmente, começando pelo Microsoft Entra Connect. Para a v3, estes controladores de domínio necessitam de Windows Server 2019 ou posterior com, pelo menos, a Atualização Cumulativa de março de 2026. Para obter detalhes sobre a implementação, veja Descrição geral da implementação do Defender para Identidade e Pré-requisitos do Sensor v3.x.
Migrar sensores do Defender para Identidade de v2.x para v3.x
Agora pode migrar sensores do Defender para Identidade de v2.x para v3.x diretamente a partir do portal do Microsoft Defender. O sensor v2.x continua em execução durante a migração até que o sensor v3.x esteja pronto, pelo que não há tempo de inatividade. Os servidores elegíveis aparecem como Prontos para migração na página Sensores e a migração demora até 20 minutos. Para obter mais informações, veja Migrar para o sensor do Defender para Identidade v3.x.
Melhoramentos de segurança de identidade
As novas capacidades de segurança de identidade ajudam-no a monitorizar e gerir a segurança de identidades para identidades humanas e não humanas:
Dashboard de Segurança de Identidade (Pré-visualização): o dashboard de Segurança de Identidade fornece cartões de resumo para fornecedores de identidade, identidades no local, identidades SaaS, integrações de PAM e IGA e identidades não humanas. Os widgets mostram status de implementação, identidades altamente privilegiadas, utilizadores em risco e domínios com configurações não seguras. Para obter mais informações, veja O dashboard de Segurança de Identidade.
A dashboard de Segurança de Identidade está a ser implementada gradualmente para os clientes e poderá ainda não estar disponível na sua organização.
Página cobertura e maturidade (Pré-visualização): a página Cobertura e maturidade mostra a cobertura de segurança de identidade da sua organização para fornecedores de identidade, identidades no local, identidades SaaS e integrações de PAM e IGA. Cada origem apresenta um nível de maturidade, incluindo Ligado, Protegido, Fortificado e Resiliente, com contagens de identidades, classificações de cobertura e tarefas de configuração priorizadas. Para obter mais informações, veja Cobertura e maturidade.
A página Cobertura e maturidade está a ser lançada gradualmente para os clientes e poderá ainda não estar disponível na sua organização. Se ainda não vir esta funcionalidade no seu ambiente, marcar em breve.
Inventário de identidades: a página Inventário de identidades mostra agora identidades humanas e não humanas em separadores separados. Os cartões de informações ajudam-no a classificar recursos críticos, a ver identidades altamente privilegiadas, a identificar contas de serviço críticas do Active Directory e a ver contas de aplicações na cloud. Para obter mais informações, veja Ver o inventário de Identidade.
Identidades não humanas (Pré-visualização): o separador Identidades não humanas na página Inventário de identidades mostra identidades não humanas, incluindo aplicações Microsoft Entra ID, contas de serviço do Active Directory, aplicações do Google Workspace e aplicações do Salesforce. O separador inclui estatísticas de identidades de risco, altamente privilegiadas, com privilégios excessivos, não utilizadas e publicadas externamente. Uma página de investigação separada permite-lhe ver os detalhes de cada identidade. Para obter mais informações, veja Inventário de identidades e Investigar identidades não humanas.
Classificação de risco de identidade (Pré-visualização): uma nova classificação de risco para identidades, entre 0 e 100, que indica a probabilidade de comprometimento e o impacto potencial com base na criticidade e nas funções privilegiadas. A classificação de risco está disponível no Microsoft Entra ID, onde pode ser utilizada para informar as políticas de acesso condicional e os fluxos de trabalho de proteção de identidade. Um novo separador Classificação de risco na página Identidade fornece uma discriminação detalhada dos fatores de risco, incluindo comparação de percentil e tendências de risco. Para obter mais informações, veja Investigar uma identidade.
Recomendações de segurança de identidade (Pré-visualização): veja recomendações para aplicações Do Active Directory, Microsoft Entra ID e SaaS, como a Microsoft, Atlassian, GitHub, Google Workspace, Salesforce e ServiceNow. Também estão disponíveis recomendações para fornecedores de identidade que não sejam da Microsoft, como Okta, PingOne, CyberArk e SailPoint. Para obter mais informações, veja Recomendações de segurança de identidade.
Página de investigação de domínio (Pré-visualização): a página Investigação de domínio mostra a segurança do domínio do Active Directory, incluindo propriedades de domínio, estado de funcionamento da implementação, resumo da identidade, discriminação da conta de serviço, entidades confidenciais, recomendações ativas, políticas de grupo e relações de confiança. Para obter mais informações, veja Investigar um domínio.
Página de proteção por palavra-passe (Pré-visualização): a página Proteção de palavras-passe mostra o risco de palavra-passe de identidade do Active Directory, Microsoft Entra ID e Okta, com separadores para higiene de palavras-passe, políticas de palavra-passe, credenciais de fuga e palavras-passe expostas. Para obter mais informações, veja Proteção por palavra-passe.
Atualizações do sensor do Defender para Identidade
As versões do sensor apresentam agora o número completo da versão (por exemplo, 2.255.19201.14651) em vez de apenas a versão principal/secundária (por exemplo, 2,255). Isto facilita a identificação da atualização exata instalada em cada sensor.
Quando valida atualizações ou resolução de problemas, os dois últimos números na versão (por exemplo, 19201.14651) mostram que atualização está instalada.
| Número da versão | Atualizações |
|---|---|
| 2.255.19201.14651 | Esta atualização do sensor inclui correções de erros. |
Novos alertas de segurança do Defender para Identidade
Estes novos alertas foram adicionados aos alertas de segurança do Defender para Identidade:
Novos alertas relacionados com Entra ID:
- Tentativa de desativar o principal de serviço do Defender para Identidade observado
- Ativação de conta de Entra suspeita após interrupção
- Atividade de registo de dispositivos de Intune suspeita
- Início de sessão do comutador de SO suspeito
- Atividade de infraestrutura de cliente partilhada suspeita
- Início de sessão suspeito do agente de utilizador e endereço IP invulgar com o PowerShell
- Início de sessão suspeito do agente de utilizador e endereço IP invulgar com o fluxo de código do dispositivo
Novos alertas relacionados com o Active Directory:
- Ativação suspeita da conta no local após interrupção
- Alteração de atributos de delegação restrita baseada em recursos suspeitos (RBCD)
- Autenticação de delegação restrita baseada em recursos suspeitas (RBCD)
O alerta de ataque pass-the-ticket suspeito está agora disponível para o público
O alerta suspeito de ataque pass-the-ticket está agora geralmente disponível. Este alerta estava anteriormente disponível na pré-visualização pública como ataque Pass-the-Ticket (PtT). Para obter mais informações, veja Alertas de movimento lateral.
Atualizações para cálculos da categoria Classificação de Segurança para maior precisão
Para melhorar a precisão e proteger melhor as identidades organizacionais, algumas recomendações de segurança categorizadas como recomendações de aplicações na cloud são agora consideradas relacionadas com identidades e agrupadas na categoria Identidade . Embora a Classificação de Segurança total permaneça inalterada, as classificações de identidades individuais e aplicações podem mudar.
Continuação da implementação do novo alerta de estado de funcionamento: Auditoria do sensor v3.x RPC configurada incorretamente
O alerta de estado de funcionamento configurado do Sensor v3.x RPC Audit Misconfigured continua a ser implementado gradualmente para os clientes. O novo alerta de estado de funcionamento ajuda a identificar sensores v3.x em que a configuração de auditoria RPC avançada está em falta ou aplicada incorretamente. É necessária uma auditoria RPC melhorada para alguns Microsoft Defender para Identidade deteções de identidade avançadas. Para obter mais informações, veja Configurar o RPC nos sensores v3.x.
Fevereiro de 2026
Atualizações do sensor do Defender para Identidade
| Número da versão | Atualizações |
|---|---|
| 2.255 | Esta atualização do sensor inclui correções de erros. |
Novos alertas de segurança do Defender para Identidade
Estes novos alertas foram adicionados aos alertas de segurança do Defender para Identidade:
Novos alertas relacionados com Entra ID:
- Atividade de alteração de configuração suspeita do utilizador da aplicação de sincronização de ID Entra
- Atividade anómalo de autenticação de código do dispositivo OAuth
- Pedido de API do Graph suspeito feito a partir da aplicação de sincronização de ID Entra
- Início de sessão suspeito observado a partir de Entra aplicação de sincronização de ID
- Início de sessão suspeito com acionador de speedbump CSRF
Novos alertas relacionados com o Active Directory:
Janeiro de 2026
Novos alertas de segurança do Defender para Identidade
Estes novos alertas foram adicionados aos alertas de segurança do Defender para Identidade:
Novos alertas relacionados com Entra ID:
- Início de sessão suspeito observado a partir de Entra aplicação de sincronização de ID para uma aplicação de recursos invulgar
- Início de sessão suspeito observado para Entra aplicação de sincronização de ID com um agente de utilizador incomum
- Possível roubo de código OAuth detetado através de abuso de consentimento
- Possível ataque de adversário no meio (AiTM) detetado (ConsentFix)
- MFA ignorada no dispositivo memorizado a partir de início de sessão isp incomum
Novos alertas relacionados com o Active Directory:
- Ataque Pass-the-Ticket (PtT)
- Possível enumeração dos Serviços de Certificados do Active Directory
- Possível enumeração do Active Directory através do ADWS
- Autenticação NTLM suspeita
- Possível ataque Kerberoasting com uma pesquisa LDAP furtiva
- Autenticação Kerberos suspeita (pedido TGT com TGS-REQ)
Os melhoramentos do inventário de identidades estão agora disponíveis para o público
- Separador Contas no Inventário de Identidades: o novo separador **Contas*- fornece uma vista consolidada de todas as contas associadas a uma identidade, incluindo contas do Active Directory, Microsoft Entra ID e fornecedores de identidade não Microsoft suportados. Para obter mais informações, veja Gerir identidades e contas relacionadas.
- Ligar e desassociar contas manualmente: associe ou desassociar contas manualmente a partir de uma identidade diretamente no separador **Contas*-. Esta capacidade ajuda-o a correlacionar componentes de identidade de diferentes origens de diretórios e fornece um contexto de identidade completo durante as investigações. Para obter mais informações, veja Gerir identidades e contas relacionadas.
- Ações de remediação ao nível da identidade: agora pode executar ações de remediação, como desativar contas ou repor palavras-passe numa ou mais contas associadas a uma identidade. Para obter mais informações, veja Remediation actions (Ações de remediação).
- Nova tabela de investigação avançada: a investigação avançada no Microsoft Defender inclui agora a tabela **IdentityAccountInfo*- . Esta tabela fornece informações de conta de várias origens, incluindo Microsoft Entra ID e ligações para a identidade proprietária da conta.
Novas avaliações da postura de segurança
- Remover contas do Active Directory obsoletas (Pré-visualização) lista quaisquer contas de utilizador no Active Directory obsoletas, o que significa que não iniciaram sessão nos últimos 90 dias.
- Microsoft Entra ID contas de utilizador com privilégios que também têm privilégios no Active Directory (Pré-visualização) lista Microsoft Entra ID contas de utilizador com privilégios que também têm funções privilegiadas no Active Directory.
Novo Alerta de Estado de Funcionamento: Sensor v3.x Auditoria RPC Configurada Incorretamente
É necessária uma auditoria RPC melhorada para alguns Microsoft Defender para Identidade deteções de identidade avançadas. Um novo alerta de estado de funcionamento ajuda a identificar sensores v3.x em que esta configuração está em falta ou aplicada incorretamente. O alerta está a ser lançado gradualmente para os clientes. Para obter mais informações, veja Configurar o RPC nos sensores v3.x.
Configuração automática de auditoria de eventos do Windows para sensores do Defender para Identidade v3.x (Pré-visualização)
™Estamos a implementar gradualmente a configuração automática de auditoria de eventos do Windows para sensores v3.x, juntamente com alertas de estado de funcionamento relacionados. A auditoria automática de eventos do Windows simplifica a implementação ao aplicar automaticamente as definições de auditoria necessárias a novos sensores e corrigir configurações incorretas em dispositivos existentes. Esta atualização pode identificar lacunas de configuração de auditoria existentes que não foram detetadas anteriormente. Para garantir uma proteção consistente, recomendamos que certifique-se de que todos os servidores com sensores v3 estão configurados com:
- A atualização cumulativa mais recente do Windows.
- Auditoria automática de eventos do Windows ativada. Para obter mais informações, veja Configurar a auditoria automática do Windows.
Atualizações do sensor
| Número da versão | Atualizações |
|---|---|
| 2.254 | O sensor suporta agora um novo destino de zona DNS para *.atp.gcc.azure.com. Certifique-se de que os sensores no GCC podem aceder a esta zona com o prefixo DNS do sensor. |
Nova avaliação da postura de segurança: identificar contas de serviço em grupos com privilégios
Esta avaliação da postura de segurança de identidade lista as contas de serviço do Active Directory com associação direta ou aninhada em grupos privilegiados.
Pode utilizar esta avaliação para identificar contas de serviço com permissões elevadas e tomar medidas quando o acesso privilegiado não for ™necessário.
Para obter mais informações, veja:Avaliação da postura de segurança: Identificar contas de serviço em grupos com privilégios
Nova avaliação da postura de segurança: Localizar contas em Grupos de Operadores incorporados
Esta avaliação da postura de segurança de identidade lista as contas do Active Directory que são membros de Grupos de Operadores incorporados, incluindo associação direta e indireta.
Pode utilizar esta avaliação para rever o acesso de operador legado ou desnecessário e tomar medidas quando o acesso elevado não for necessário.
Para obter mais informações, veja:Avaliação da postura de segurança: Localizar contas em Grupos de Operadores incorporados
Dezembro de 2025
Novas propriedades para o tipo de recurso "sensorCandidate" na Graph-API (pré-visualização)
| Propriedade | Tipo | Descrição |
|---|---|---|
| domainName | Cadeia de caracteres | O nome de domínio do sensor. |
| senseClientVersion | Cadeia de caracteres | A versão do cliente do sensor do Defender para Identidade. |
Esta capacidade está atualmente em pré-visualização e disponível na versão Versão prévia da API. Saiba mais aqui
Pesquisa LDAP do ADWS na Investigação Avançada
A nova atividade de pesquisa LDAP do ADWS está agora disponível na tabela "IdentityQueryEvents" em Investigação Avançada. Isto pode fornecer visibilidade sobre as consultas de diretório executadas através do ADWS, ajudando os clientes a monitorizar estas operações e a criar deteção personalizada com base nestes dados.
| Número da versão | Atualizações |
|---|---|
| 2.253 | Inclui correções de erros e melhorias de estabilidade para o sensor de Microsoft Defender para Identidade. |
| 2.252 | Inclui correções de erros e melhorias de estabilidade para o sensor de Microsoft Defender para Identidade. |
Novembro de 2025
| Número da versão | Atualizações |
|---|---|
| 2.251 | Os métodos de consulta LDAP do ADWS melhorados e baseados em palavra-passe legados capturam agora uma gama mais ampla de eventos exclusivos em escala. Como resultado, poderá notar um aumento na atividade registada. |
Melhoramentos do Inventário de Identidades: separador Contas, ligação e desassociação da conta manual e ações de remediação expandidas
As seguintes novas funcionalidades estão agora disponíveis no Microsoft Defender para Identidade:
Separador Contas no Inventário de Identidades:
Um novo separador Contas fornece uma vista consolidada de todas as contas associadas a uma identidade, incluindo contas do Active Directory, Microsoft Entra ID e fornecedores de identidade não Microsoft suportados. Para obter mais informações, veja: Gerir identidades e contas relacionadas (Pré-visualização)
Ligação manual e desassociação de contas:
Agora pode ligar ou desassociar manualmente contas de uma identidade diretamente no separador Contas. Esta capacidade ajuda-o a correlacionar componentes de identidade de diferentes origens de diretórios e fornece um contexto de identidade completo durante as investigações. Para obter mais informações, consulte: Gerir identidades e contas relacionadas.
Ações de remediação ao nível da identidade:
Agora pode executar ações de remediação, como desativar contas ou repor palavras-passe numa ou mais contas associadas a uma identidade. Para obter mais informações, veja: Ações de remediação.
Nova avaliação da postura de segurança: alterar a palavra-passe da conta no local com credenciais potencialmente vazadas (Pré-visualização)
A nova avaliação da postura de segurança lista os utilizadores cujas credenciais válidas foram divulgadas. Para obter mais informações, consulte: Alterar a palavra-passe da conta no local com credenciais potencialmente vazadas (Pré-visualização)
atualizações da versão do sensor Microsoft Defender para Identidade
| Número da versão | Atualizações |
|---|---|
| 2.250 | O método de consulta de registo de eventos melhorado captura uma gama mais ampla de eventos exclusivos em escala. Como resultado, poderá notar um aumento nas atividades capturadas. Esta atualização também inclui melhoramentos de segurança e desempenho. |
Expansão do âmbito de identidade: Suporte para unidades organizacionais (Pré-visualização)
Para além da versão gaitária do âmbito por domínios do Active Directory há alguns meses, pode agora definir o âmbito por **Unidades Organizacionais (UOs)*- como parte do controlo de acesso baseado em funções (URBAC) do utilizador XDR. Esta melhoria fornece um controlo ainda mais granular sobre as entidades e os recursos incluídos na análise de segurança.
Para obter mais informações, veja Configurar o acesso no âmbito do Microsoft Defender para Identidade.
Outubro de 2025
Estamos entusiasmados por anunciar que o sensor de Microsoft Defender para Identidade v3.x está agora disponível globalmente (GA). O sensor Microsoft Defender para Identidade v3.x fornece uma cobertura melhorada, um melhor desempenho em todo o seu ambiente e oferece uma implementação e gestão mais fáceis para controladores de domínio.
atualizações da versão do sensor Microsoft Defender para Identidade
| Número da versão | Atualizações |
|---|---|
| 2.249 | O método de consulta de registo de eventos melhorado captura agora uma gama mais ampla de eventos exclusivos em escala. Como resultado, poderá notar um aumento nas atividades capturadas. Esta atualização também fornece outros melhoramentos de segurança e melhorias de desempenho. |