Requisitos previos de Microsoft Defender for Identity

En este artículo se describen los requisitos para una implementación correcta de Microsoft Defender for Identity.

Requisitos de licencia

La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Seguridad de* Microsoft 365 E5/A5/G5/F5
  • Seguridad y cumplimiento de Microsoft 365 F5*
  • Licencias de Defender for Identity independientes

* Ambas licencias de F5 requieren Microsoft 365 F1/F3 u Office 365 F3 y Enterprise Mobility + Security E3.

Adquiera una licencia directamente a través del portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP).

Para obtener más información sobre licencias y precios, consulte Preguntas y respuestas frecuentes sobre Licencias y privacidad.

Permisos necesarios

Requisitos de conectividad

El sensor de Defender for Identity debe poder comunicarse con el servicio en la nube de Defender for Identity mediante uno de los métodos siguientes:

Method Descripción Consideraciones Saber más
Configurar un proxy Los clientes que tienen implementado un proxy de reenvío pueden aprovechar el proxy para proporcionar conectividad al servicio en la nube MDI.

Si elige esta opción, configurará el proxy más adelante en el proceso de implementación. Las configuraciones de proxy incluyen permitir el tráfico a la dirección URL del sensor y configurar las direcciones URL de Defender for Identity en las listas de permitidos explícitas que usa el proxy o el firewall.
Permite el acceso a Internet para una sola dirección URL

No se admite la inspección SSL
Configure el proxy del punto de conexión y la conectividad de Internet

Ejecute una instalación silenciosa con una configuración de proxy
ExpressRoute ExpressRoute se puede configurar para reenviar el tráfico del sensor MDI a través de la ruta rápida del cliente.

Para enrutar el tráfico de red destinado a los servidores en la nube de Defender for Identity, use el emparejamiento de Microsoft de ExpressRoute y agregue la comunidad BGP del servicio de Microsoft Defender for Identity (12076:5220) al filtro de ruta.
Requiere ExpressRoute Valor de comunidad de BGP del servicio
Servidor de seguridad, mediante las direcciones IP de Azure de Defender for Identity Los clientes que no tienen un proxy o ExpressRoute pueden configurar su servidor de seguridad con las direcciones IP asignadas al servicio en la nube MDI. Esto requiere que el cliente supervise la lista de direcciones IP de Azure para ver los cambios en las direcciones IP usadas por el servicio en la nube MDI.

Si eligió esta opción, se recomienda descargar los intervalos IP de Azure y las etiquetas de servicio: archivo de nube pública y usar la etiqueta de servicio AzureAdvancedThreatProtection para agregar las direcciones IP pertinentes.
El cliente debe supervisar las asignaciones de IP de Azure Etiquetas de servicio de red virtual

Para más información, consulte arquitectura de Microsoft Defender for Identity.

Recomendaciones y requisitos del servidor

En la tabla siguiente se resumen los requisitos y recomendaciones para el controlador de dominio, AD FS o el servidor de AD CS donde instalará el sensor de Defender for Identity.

Requisitos previos / Recomendaciones Descripción
Especificaciones Asegúrese de instalar Defender for Identity en Windows versión 2016 o posterior, en un servidor de controlador de dominio con un mínimo de:

- 2 núcleos
- 6 GB de RAM
- Se requieren 6 GB de espacio en disco pero se recomiendan 10 GB, teniendo en cuenta el espacio para los archivos binarios y registros de Defender for Identity.

Defender for Identity admite controladores de dominio de solo lectura (RODC).
Rendimiento Para disfrutar del mejor rendimiento posible, establezca la opción de energía de la máquina en la que se ejecuta el sensor de Defender for Identity en Alto rendimiento.
Ventana de mantenimiento Se recomienda programar una ventana de mantenimiento para los controladores de dominio, ya que es posible que se requiera un reinicio si la instalación se ejecuta y ya hay un reinicio pendiente, o si es necesario instalar .NET Framework.

Si la versión 4.7 o posterior de .NET Framework aún no se encuentra en el sistema, se instala .NET Framework versión 4.7 y puede ser necesario reiniciar los equipos.

Requisitos mínimos del sistema operativo

Los sensores de Defender for Identity se pueden instalar en los siguientes sistemas operativos:

  • Windows Server 2016
  • Windows Server 2019. Requiere KB4487044 o una actualización acumulativa más reciente. Los sensores instalados en Server 2019 sin esta actualización se detendrán automáticamente si la versión del archivo ntdsai.dll que se encuentra en el directorio del sistema es anterior a la 10.0.17763.316
  • Windows Server 2022

Para todos los sistemas operativos:

  • Se admiten ambos servidores con experiencia de escritorio y servidores de núcleo.
  • No se admiten servidores nano.
  • Las instalaciones son compatibles con controladores de dominio, y servidores AD FS y AD CS.

Sistemas operativos antiguos

Windows Server 2012 y Windows Server 2012 R2 dejaron de prestar soporte técnico el 10 de octubre de 2023.

Se recomienda que planee actualizar esos servidores, ya que Microsoft no seguirá admitiendo el sensor de Defender for Identity en dispositivos que ejecutan Windows Server 2012 y Windows Server 2012 R2.

Los sensores que se ejecutan en estos sistemas operativos seguirán informando a Defender for Identity e incluso recibirán las actualizaciones del sensor, pero algunas de las nuevas funcionalidades no estarán disponibles, ya que podrían depender de las funcionalidades del sistema operativo.

Puertos necesarios

Protocolo Transporte Puerto From Para
Puertos de Internet
SSL (*.atp.azure.com)

Como alternativa, configure el acceso a través de un proxy.
TCP 443 Sensor de Defender for Identity Servicio en la nube de Defender for Identity
Puertos internos
DNS TCP y UDP 53 Sensor de Defender for Identity Servidores DNS
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Sensor de Defender for Identity Todos los dispositivos en la red
RADIUS UDP 1813 RADIUS Sensor de Defender for Identity
Puertos localhost: necesario para el actualizador del servicio de sensor

De manera predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de servidor de seguridad lo bloquee.
SSL TCP 444 Servicio de sensores Servicio del actualizador de sensores
Puertos de resolución de nombres de red (NNR)

Para resolver las direcciones IP en los nombres de equipo, se recomienda abrir todos los puertos enumerados. Sin embargo, solo se requiere un puerto.
NTLM sobre RPC TCP Puerto 135 Sensor de Defender for Identity Todos los dispositivos en la red
NetBIOS UDP 137 Sensor de Defender for Identity Todos los dispositivos en la red
RDP

Solo el primer paquete de bienvenida al Cliente consulta el servidor DNS mediante la búsqueda inversa de DNS de la dirección IP (UDP 53)
TCP 3389 Sensor de Defender for Identity Todos los dispositivos en la red

Si está trabajando con varios bosques, asegúrese de que los puertos siguientes se abran en cualquier máquina en la que esté instalado un sensor de Defender for Identity:

Protocolo Transporte Port Hacia/Desde Dirección
Puertos de Internet
SSL (*.atp.azure.com) TCP 443 Servicio en la nube de Defender for Identity Salida
Puertos internos
LDAP TCP y UDP 389 Controladores de dominios Salida
LDAP seguro (LDAPS) TCP 636 Controladores de dominios Salida
LDAP al Catálogo global TCP 3268 Controladores de dominios Salida
LDAPS al Catálogo global TCP 3269 Controladores de dominios Salida

Requisitos de memoria dinámica

En la tabla siguiente se describen los requisitos de memoria del servidor usado para el sensor de Defender for Identity, en función del tipo de virtualización que esté utilizando:

VM en ejecución Descripción
Hyper-V Asegúrese de que no esté habilitada la función Habilitar memoria dinámica para la máquina virtual.
VMware Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria invitada (Todas bloqueadas) en la configuración de la máquina virtual.
Otros host de virtualización Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento.

Importante

Cuando se ejecuta como una máquina virtual, toda la memoria debe asignarse a la máquina virtual en todo momento.

Sincronización de tiempo

Los servidores y controladores de dominio en los que está instalado el sensor deben tener el tiempo sincronizado en cinco minutos de separación.

Pruebe los requisitos previos

Se recomienda ejecutar el script Test-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.

El vínculo al script Test-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Identidades > Herramientas (versión preliminar).

En este artículo se enumeran los requisitos previos necesarios para una instalación básica. Se requieren requisitos previos adicionales al realizar una instalación en un servidor AD FS / AD CS para admitir varios bosques de Active Directory o al instalar un sensor independiente de Defender for Identity.

Para más información, vea:

Paso siguiente