Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Implemente o sensor do Defender para Identidade v3.x em controladores de domínio suportados. Conclua as verificações de pré-requisitos antes da ativação e, em seguida, configure as definições de auditoria e identidade posteriormente.
Antes de ativar
Conclua estas verificações antes de ativar o sensor.
Limitações da versão do sensor
Antes de ativar o sensor do Defender para Identidade v3.x, tenha em atenção que v3.x:
- Não suporta a integração de VPN.
- Não suporta notificações syslog.
- Tem limitações ao trabalhar com Azure ExpressRoute. Para obter mais informações, consulte Azure ExpressRoute para Microsoft 365.
Requisitos do servidor
Certifique-se de que o servidor no qual está a ativar o sensor:
- Tem o Defender para Endpoint implementado no servidor. O componente antivírus Microsoft Defender pode estar no modo ativo ou passivo. O Defender para Ponto Final tem de estar integrado no servidor onde o sensor é executado; A implementação apenas de ponto final não é suficiente.
- Não tem um sensor do Defender para Identidade v2.x já implementado.
- Está a ser executado Windows Server 2019 ou posterior.
- Inclui a atualização cumulativa de março de 2026 ou posterior .
Tipos de servidor suportados
O sensor v3.x suporta controladores de domínio, incluindo controladores de domínio com estas funções de identidade:
- Serviços de Federação do Active Directory (AD FS) (AD FS)
- Serviços de Certificados do Active Directory (AD CS)
- Microsoft Entra Connect
Utilize o sensor do Defender para Identidade v2.x para servidores que não sejam controladores de domínio e executem o AD FS, o AD CS ou o Microsoft Entra Connect.
Requisitos de licenciamento
A implementação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- segurança Microsoft 365 E5/A5/G5/F5*
- Segurança + Conformidade do Microsoft 365 F5*
Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3. Compre licenças no portal do Microsoft 365 ou através do licenciamento do Parceiro de Solução Cloud (CSP). Para obter mais informações, veja FAQs sobre licenciamento e privacidade.
Funções e permissões
Para criar a área de trabalho do Defender para Identidade, precisa de um inquilino Microsoft Entra ID.
Tem de ser um Administrador de Segurança ou ter as seguintes permissões RBAC Unificadas :
System settings (Read and manage)Security settings (All permissions)
Requisitos de rede
O sensor do Defender para Identidade utiliza os mesmos URIs que Microsoft Defender para Endpoint. Reveja os seguintes documentos do Defender para Endpoint, com base na conectividade do seu sistema, para encontrar a lista completa dos pontos finais de serviço necessários.
Microsoft Defender para Endpoint URLs de conectividade simplificados
Microsoft Defender para Endpoint URLs de conectividade padrão
Requisitos de memória
A tabela seguinte descreve os requisitos de memória no servidor utilizado para o sensor do Defender para Identidade, consoante o tipo de virtualização que está a utilizar:
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas definições da VM. |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada às VMs. |
Importante
Ao executar como uma máquina virtual, aloque sempre toda a memória à máquina virtual.
A versão 3 do sensor impede que o sensor utilize a CPU ou a memória em excesso ao limitar a utilização da CPU a 30% e a utilização da memória a 1,5 GB. No entanto, se qualquer outro serviço utilizar recursos de sistema substanciais, o controlador de domínio ainda poderá sofrer um esforço de desempenho.
Veja a documentação do Planeamento de Capacidade do Defender para Identidade para determinar se os servidores do controlador de domínio têm recursos suficientes para um sensor de Microsoft Defender para Identidade.
Requisitos da conta de serviço
O sensor v3.x utiliza a identidade do sistema local do servidor para o Active Directory e as ações de resposta. Não suporta Contas de Serviço de Diretório (DSA) nem Contas de Serviço Geridas de grupo (gMSA). LocalSystem é a única identidade suportada para v3.x.
Se estiver a migrar do sensor v2.x e tiver anteriormente uma gMSA configurada para contas de ação, tem de removê-la. Se a gMSA permanecer ativada, as ações de resposta, incluindo a interrupção do ataque, não funcionarão.
Importante
Em ambientes que utilizam sensores v2 e v3, utilize contas de sistema local para todos os sensores.
Testar os pré-requisitos
Execute o scriptTest-MdiReadiness.ps1 para testar se o seu ambiente tem os pré-requisitos necessários.
O scriptTest-MdiReadiness.ps1 também está disponível a partir de Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).
Ativar o sensor
Depois de confirmar todos os pré-requisitos, ative o sensor a partir do portal do Microsoft Defender.
Depois de ativar
Conclua estes passos de configuração depois de o sensor estar ativado e em execução.
Configurar a auditoria de eventos do Windows
O Defender para Identidade baseia-se em registos de eventos do Windows para muitas deteções. Para sensores v3.x em controladores de domínio, ative a auditoria automática, que processa todas as definições de auditoria sem configuração manual.
Se a auditoria automática não estiver disponível ou tiver optado por não participar, configure a auditoria manualmente ou utilize o PowerShell.
Configurar a auditoria RPC
A aplicação de etiquetas de auditoria RPC a um dispositivo melhora a visibilidade de segurança e desbloqueia mais deteções de identidade. Depois de aplicada, a configuração é imposta em todos os dispositivos existentes e futuros que correspondam aos critérios da regra. As etiquetas são visíveis no Inventário de Dispositivos para capacidades de transparência e auditoria.
Estão disponíveis as seguintes etiquetas:
- Auditoria RPC do Sensor Unificado: ativa a auditoria RPC melhorada para deteções de identidade avançadas.
- Auditoria Alargada do Sensor (Pré-visualização): permite capacidades de auditoria RPC alargadas para deteções de identidade avançadas adicionais. Requer a atualização cumulativa mais recente.
Para aplicar uma etiqueta:
No portal do Microsoft Defender, navegue para: Definições > do Sistema > Microsoft Defender XDR > Gestão de Regras de Recursos.
Selecione Criar uma nova regra.
No painel lateral:
- Introduza um Nome da regra e uma Descrição.
- Defina as condições da regra com
Device name,DomainouDevice tagpara direcionar as máquinas virtuais pretendidas. Controladores de domínio de destino com o sensor v3.x instalado. - Certifique-se de que o sensor do Defender para Identidade v3.x já está implementado nos dispositivos selecionados.
Adicione a etiqueta pretendida (Unified Sensor RPC Audit ou Extended Sensor Audit) aos dispositivos selecionados.
Selecione Seguinte para rever e concluir a criação da regra e, em seguida, selecione Submeter. A regra pode demorar até uma hora a entrar em vigor.
Saiba mais sobre as regras de gestão de recursos.
Definições recomendadas
- Defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Elevado Desempenho.
- Sincronize a hora em servidores e controladores de domínio onde instala o sensor num espaço de cinco minutos entre si.