Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Implemente o sensor do Defender para Identidade v3.x em controladores de domínio suportados. Conclua as verificações de pré-requisitos antes da ativação e, em seguida, configure as definições de auditoria e identidade posteriormente.
Antes de ativar
Conclua estas verificações antes de ativar o sensor.
Limitações da versão do sensor
Antes de ativar o sensor do Defender para Identidade v3.x, tenha em atenção que v3.x:
- Não suporta a integração de VPN.
- Não suporta notificações syslog.
- Tem limitações ao trabalhar com Azure ExpressRoute. Para obter mais informações, consulte Azure ExpressRoute para Microsoft 365.
- Não suporta a migração de controladores de domínio em execução Windows Server 2025 do sensor v2.x para o sensor v3.x. Para obter mais informações, limitações conhecidas. .
Requisitos de servidor
Certifique-se de que o servidor no qual está a ativar o sensor:
- Tem o Defender para Endpoint implementado no servidor. O componente antivírus Microsoft Defender pode estar no modo ativo ou passivo. O Defender para Ponto Final tem de estar integrado no servidor onde o sensor é executado; A implementação apenas de ponto final não é suficiente.
- Não tem um sensor do Defender para Identidade v2.x já implementado.
- Está a ser executado Windows Server 2019 ou posterior.
- Inclui a atualização cumulativa de março de 2026 ou posterior .
Tipos de servidor suportados
O sensor v3.x suporta controladores de domínio, incluindo controladores de domínio com estas funções de identidade:
- Serviços de Federação do Active Directory (AD FS)
- Serviços de Certificados do Active Directory (AD CS)
- Microsoft Entra Connect
Utilize o sensor do Defender para Identidade v2.x para servidores que não sejam controladores de domínio e executem o AD FS, o AD CS ou o Microsoft Entra Connect.
Requisitos de licenciamento
A implementação do Defender para Identidade requer uma das seguintes licenças do Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- segurança Microsoft 365 E5/A5/G5/F5*
- Segurança + Conformidade do Microsoft 365 F5*
Ambas as licenças F5 requerem Microsoft 365 F1/F3 ou Office 365 F3 e Enterprise Mobility + Security E3. Compre licenças no portal do Microsoft 365 ou através do licenciamento do Parceiro de Solução Cloud (CSP). Para obter mais informações, veja FAQs sobre licenciamento e privacidade.
Funções e permissões
Para criar a área de trabalho do Defender para Identidade, precisa de um inquilino Microsoft Entra ID.
Tem de ser um Administrador de Segurança ou ter as seguintes permissões RBAC Unificadas :
System settings (Read and manage)Security settings (All permissions)
Requisitos de rede
O sensor do Defender para Identidade utiliza os mesmos URIs que Microsoft Defender para Ponto de Extremidade. Reveja os seguintes documentos do Defender para Endpoint, com base na conectividade do seu sistema, para encontrar a lista completa dos pontos finais de serviço necessários.
Microsoft Defender para Ponto de Extremidade URLs de conectividade simplificados
Microsoft Defender para Ponto de Extremidade URLs de conectividade padrão
Requisitos de memória
A tabela seguinte descreve os requisitos de memória no servidor utilizado para o sensor do Defender para Identidade, consoante o tipo de virtualização que está a utilizar:
| VM em execução em | Descrição |
|---|---|
| Hyper-V | Certifique-se de que a opção Ativar Memória Dinâmica não está ativada para a VM. |
| VMware | Certifique-se de que a quantidade de memória configurada e a memória reservada são iguais ou selecione a opção Reservar toda a memória de convidado (Tudo bloqueado) nas definições da VM. |
| Outro anfitrião de virtualização | Veja a documentação fornecida pelo fornecedor sobre como garantir que a memória está sempre totalmente alocada às VMs. |
Importante
Ao executar como uma máquina virtual, aloque sempre toda a memória à máquina virtual.
A versão 3 do sensor impede que o sensor utilize a CPU ou a memória em excesso ao limitar a utilização da CPU a 30% e a utilização da memória a 1,5 GB. No entanto, se qualquer outro serviço utilizar recursos de sistema substanciais, o controlador de domínio ainda poderá sofrer um esforço de desempenho.
Veja a documentação do Planeamento de Capacidade do Defender para Identidade para determinar se os servidores do controlador de domínio têm recursos suficientes para um sensor de Microsoft Defender para Identidade.
Requisitos da conta de serviço
O sensor do Defender para Identidade interage com o Active Directory de duas formas:
- Ler dados do AD (consultar objetos, controlar alterações, resolver entidades). Na v2.x, esta ação utiliza uma Conta de Serviço de Diretório (DSA). No v3.x, LocalSystem processa isto automaticamente.
- Executar ações de remediação (desativar contas, repor palavras-passe). Na v2.x, esta ação utiliza uma conta de ação. No v3.x, LocalSystem processa isto automaticamente.
O sensor v3.x utiliza a identidade do sistema local do servidor para ambas as finalidades. Não utiliza Contas de Serviço de Diretório (DSA) nem Contas de Serviço Geridas de grupo (gMSA). LocalSystem é a única identidade suportada para v3.x.
Se estiver a migrar do sensor v2.x e tiver anteriormente uma gMSA configurada para contas de ação, selecione Utilizar automaticamente a conta de sistema local do sensor no portal do Microsoft Defender (Identidades> de Definições>Microsoft Defender para Identidade>Gerir contas de ação). Os sensores v3.x não utilizam contas gMSA configuradas para sensores v2.x.
Importante
Se algum dos sensores for v3.x, selecione Utilizar automaticamente a conta de sistema local do sensor para todos os sensores. Os sensores v3.x utilizam a conta do sistema local, independentemente da configuração gMSA.
Alertas de estado de funcionamento DSA e gMSA em ambientes com sensores v2 e v3
Se a área de trabalho ainda tiver uma Conta de Serviço de Diretório (DSA) ou uma Conta de Serviço Gerida de grupo (gMSA) configurada porque os sensores v2 no AD FS, AD CS ou Entra servidores Connect ainda o necessitam, as credenciais DSA e gMSA continuam a ser validadas em todos os sensores na área de trabalho, incluindo sensores v3. Se a validação falhar, serão apresentadas as credenciais de utilizador dos Serviços de diretório com um alerta de estado de funcionamento incorreto. Este é o comportamento padrão. O Defender para Identidade valida as credenciais DSA e gMSA ao nível da área de trabalho para todos os sensores, desde que essas contas existam, independentemente de os sensores individuais as utilizarem para ações de auditoria ou resposta.
Os sensores V3 ignoram a DSA e a gMSA para ações de auditoria e resposta, mas ainda estão incluídos na validação de credenciais ao nível da área de trabalho. Para parar de receber este alerta de estado de funcionamento nos sensores v3, remova a DSA ou a gMSA ao nível da área de trabalho depois de todos os sensores serem totalmente migrados para a v3 e não precisarem de sensores v2.
Testar os pré-requisitos
Execute o scriptTest-MdiReadiness.ps1 para testar se o seu ambiente tem os pré-requisitos necessários.
O scriptTest-MdiReadiness.ps1 também está disponível a partir de Microsoft Defender XDR, na página Ferramentas > de Identidades (Pré-visualização).
Ativar o sensor
Depois de confirmar todos os pré-requisitos, ative o sensor a partir do portal do Microsoft Defender.
Depois de ativar
Conclua estes passos de configuração depois de o sensor estar ativado e em execução.
Configurar a auditoria de eventos do Windows
O Defender para Identidade baseia-se em registos de eventos do Windows para muitas deteções. Para sensores v3.x em controladores de domínio, ative a auditoria automática, que processa todas as definições de auditoria sem configuração manual.
Se a auditoria automática não estiver disponível ou tiver optado por não participar, configure a auditoria manualmente ou utilize o PowerShell.
Configurar a auditoria RPC
Para melhorar a visibilidade de segurança e ativar deteções de identidade adicionais, aplique a etiqueta Unified Sensor RPC Audit aos seus dispositivos. Depois de aplicada, a configuração é imposta em todos os dispositivos existentes e futuros que correspondam aos critérios da regra. A etiqueta é visível no Inventário de dispositivos para fins de auditoria.
Pré-requisitos
- Os dispositivos têm de executar o sensor do Defender para Identidade versão 3.0.4 ou posterior. Os dispositivos com versões anteriores não suportam esta funcionalidade e não geram alertas de estado de funcionamento de auditoria RPC.
Para aplicar a etiqueta:
No portal do Microsoft Defender, navegue para: Definições > do Sistema > Microsoft Defender XDR > Gestão de Regras de Recursos.
Selecione Criar uma nova regra.
No painel lateral:
- Introduza um Nome da regra e uma Descrição.
- Defina as condições da regra com
Device name,DomainouDevice tagpara direcionar as máquinas virtuais pretendidas. Controladores de domínio de destino com o sensor v3.x instalado. - Certifique-se de que o sensor do Defender para Identidade v3.x já está implementado nos dispositivos selecionados.
Adicione a etiqueta Unified Sensor RPC Audit aos dispositivos selecionados.
Selecione Seguinte para rever e concluir a criação da regra e, em seguida, selecione Submeter. A regra pode demorar até uma hora a entrar em vigor.
Saiba mais sobre as regras de gestão de recursos.
Definições recomendadas
- Defina a Opção de Energia do computador que executa o sensor do Defender para Identidade como Elevado Desempenho.
- Sincronize a hora em servidores e controladores de domínio onde instala o sensor num espaço de cinco minutos entre si.