Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os requisitos para instalar o sensor Microsoft Defender para Identidade v3.x.
Limitações da versão do sensor
Antes de ativar o sensor do Defender para Identidade v3.x, tenha em atenção que v3.x:
- Não suporta a integração de VPN.
- Não suporta notificações syslog.
- Tem limitações ao trabalhar com Azure ExpressRoute. Para obter mais informações, consulte Azure ExpressRoute para Microsoft 365.
Requisitos de servidor
Antes de ativar o sensor do Defender para Identidade v3.x, certifique-se de que o servidor no qual está a ativar o sensor:
- Tem o Defender para Endpoint implementado. O componente antivírus Microsoft Defender pode estar no modo ativo ou passivo.
- Não tem um sensor do Defender para Identidade v2.x já implementado.
- Está a ser executado Windows Server 2019 ou posterior.
- Inclui a atualização cumulativa de março de 2026 ou posterior .
Requisitos de licenciamento
A implementação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- segurança Microsoft 365 E5/A5/G5/F5*
- Segurança + Conformidade do Microsoft 365 F5*
Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3. Compre licenças no portal do Microsoft 365 ou através do licenciamento do Parceiro de Solução Cloud (CSP). Para obter mais informações, veja FAQs sobre licenciamento e privacidade.
Requisitos de funções e permissões
Para criar a área de trabalho do Defender para Identidade, precisa de um inquilino Microsoft Entra ID.
Tem de ser um Administrador de Segurança ou ter as seguintes permissões RBAC Unificadas :
System settings (Read and manage)Security settings (All permissions)
Requisitos de rede
O sensor do Defender para Identidade utiliza os mesmos URIs que Microsoft Defender para Ponto de Extremidade. Veja os seguintes documentos do Defender para Endpoint, com base na conectividade dos sistemas, para obter uma lista completa dos pontos finais de serviço necessários.
Microsoft Defender para Ponto de Extremidade URLs de conectividade simplificados
Microsoft Defender para Ponto de Extremidade URLs de conectividade padrão
Requisitos de memória
A tabela seguinte descreve os requisitos de memória no servidor utilizado para o sensor do Defender para Identidade, consoante o tipo de virtualização que está a utilizar:
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas definições da VM. |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada às VMs. |
Importante
Ao executar como uma máquina virtual, aloque sempre toda a memória à máquina virtual.
A versão 3 do sensor impede que o sensor utilize a CPU ou a memória em excesso ao limitar a utilização da CPU a 30% e a utilização da memória a 1,5 GB. No entanto, se a Identidade do Falcon já utilizar recursos de sistema substanciais, o controlador de domínio ainda poderá sofrer um esforço de desempenho.
Veja a documentação do Planeamento de Capacidade do Defender para Identidade para determinar se os servidores do controlador de domínio têm recursos suficientes para um sensor de Microsoft Defender para Identidade.
Configurar a auditoria RPC
A aplicação da etiqueta Auditoria RPC do Sensor Unificado a um dispositivo melhora a visibilidade de segurança e desbloqueia mais deteções de identidade. Depois de aplicada, a configuração é imposta em todos os dispositivos existentes e futuros que correspondam aos critérios da regra. A etiqueta é visível no Inventário de Dispositivos para capacidades de transparência e auditoria.
No portal do Microsoft Defender, navegue para: Definições > do Sistema > Microsoft Defender XDR > Gestão de Regras de Recursos.
Selecione Criar uma nova regra.
No painel lateral:
- Introduza um Nome da regra e uma Descrição.
- Defina as condições da regra com
Device name,DomainouDevice tagpara direcionar as máquinas virtuais pretendidas. Controladores de domínio de destino com o sensor v3.x instalado. - Certifique-se de que o sensor do Defender para Identidade v3.x já está implementado nos dispositivos selecionados.
Adicione a etiqueta Unified Sensor RPC Audit aos dispositivos selecionados.
Selecione Seguinte para rever e concluir a criação da regra e, em seguida, selecione Submeter. A regra pode demorar até uma hora a entrar em vigor.
Remover a auditoria RPC de um dispositivo
Para excluir um dispositivo desta configuração, elimine a regra de recurso ou modifique as condições da regra para que o dispositivo deixe de corresponder.
Observação
Pode demorar até uma hora para que as alterações sejam refletidas no portal.
Saiba mais sobre as regras de gestão de recursos.
Configurar a auditoria de eventos do Windows
O Defender para Identidade utiliza entradas de registo de eventos do Windows para detetar atividades específicas. Estes dados são utilizados em vários cenários de deteção e podem ser utilizados em consultas de investigação avançadas. Para uma proteção e monitorização ideais, certifique-se de que a coleção de eventos do Windows está corretamente configurada.
Se não selecionar a configuração de auditoria automática do Windows, tem de configurar a auditoria de eventos do Windows manualmente ou através do PowerShell.
Configurações recomendadas para um desempenho ideal
Recomendamos que certifique-se de que estes itens estão corretamente configurados para um desempenho ideal.
- Defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Elevado Desempenho.
- Sincronize a hora em servidores e controladores de domínio onde instala o sensor num espaço de cinco minutos entre si.
- Este sensor utiliza a identidade do sistema local do servidor para o Active Directory e as ações de resposta. Se tiver a Conta de Serviço Gerida de Grupo (gMSA) configurada para uma versão anterior do sensor, certifique-se de que remove gMSA. Se gMSA estiver ativado, as ações de resposta não funcionarão. Em ambientes que utilizam sensores v2 e v3, utilize contas de sistema local para todos os sensores.
Testar os pré-requisitos
Recomendamos que execute o scriptTest-MdiReadiness.ps1 para testar e ver se o seu ambiente tem os pré-requisitos necessários.
O scriptTest-MdiReadiness.ps1 também está disponível a partir de Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).