Requisitos previos de Microsoft Defender for Identity
En este artículo se describen los requisitos para una implementación correcta de Microsoft Defender for Identity.
Requisitos de licencias
La implementación de Defender for Identity requiere una de las siguientes licencias de Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Seguridad
- Cumplimiento + Seguridad de Microsoft 365 F5*
- Una licencia independiente de Defender for Identity
* Ambas licencias F5 requieren Microsoft 365 F1/F3 o Office 365 F3 y Enterprise Mobility + Security E3.
Adquiera licencias directamente a través del portal de Microsoft 365 o use el modelo de licencias de Cloud Solution Partner (CSP).
Para obtener más información, consulte Preguntas más frecuentes sobre licencias y privacidad.
Permisos necesarios
Para crear el área de trabajo de Defender for Identity, necesita un inquilino de Microsoft Entra ID con al menos un administrador de seguridad.
Necesita al menos acceso de administrador de seguridad en el inquilino para acceder a la sección Identidad del área configuración de Microsoft Defender XDR y crear el área de trabajo.
Para obtener más información, consulte Microsoft Defender for Identity grupos de roles.
Se recomienda usar al menos una cuenta de servicio de directorio, con acceso de lectura a todos los objetos de los dominios supervisados. Para obtener más información, consulte Configuración de una cuenta de servicio de directorio para Microsoft Defender for Identity.
Requisitos de conectividad
El sensor de Defender for Identity debe poder comunicarse con el servicio en la nube de Defender for Identity mediante uno de los métodos siguientes:
| Método | Descripción | Consideraciones | Más información |
|---|---|---|---|
| Configuración de un proxy | Los clientes que tienen implementado un proxy de reenvío pueden aprovechar el proxy para proporcionar conectividad al servicio en la nube MDI. Si elige esta opción, configurará el proxy más adelante en el proceso de implementación. Las configuraciones de proxy incluyen permitir el tráfico a la dirección URL del sensor y configurar direcciones URL de Defender for Identity a las listas de permitidos explícitas usadas por el proxy o el firewall. |
Permite el acceso a Internet para una sola dirección URL No se admite la inspección SSL |
Configuración del proxy de punto de conexión y la conectividad a Internet Ejecución de una instalación silenciosa con una configuración de proxy |
| ExpressRoute | ExpressRoute se puede configurar para reenviar el tráfico del sensor MDI a través de la ruta rápida del cliente. Para enrutar el tráfico de red destinado a los servidores en la nube de Defender for Identity, use el emparejamiento de Microsoft de ExpressRoute y agregue la comunidad BGP del servicio Microsoft Defender for Identity (12076:5220) al filtro de ruta. |
Requiere ExpressRoute | Valor de la comunidad de servicio a BGP |
| Firewall, mediante las direcciones IP de Azure de Defender for Identity | Los clientes que no tienen un proxy o ExpressRoute pueden configurar su firewall con las direcciones IP asignadas al servicio en la nube MDI. Esto requiere que el cliente supervise la lista de direcciones IP de Azure para ver si hay cambios en las direcciones IP usadas por el servicio en la nube MDI. Si eligió esta opción, se recomienda descargar el archivo intervalos IP y etiquetas de servicio de Azure: nube pública y usar la etiqueta de servicio AzureAdvancedThreatProtection para agregar las direcciones IP pertinentes. |
El cliente debe supervisar las asignaciones de IP de Azure | Etiquetas de servicio de red virtual |
Para obtener más información, consulte arquitectura de Microsoft Defender for Identity.
Requisitos y recomendaciones del sensor
En la tabla siguiente se resumen los requisitos y las recomendaciones para el controlador de dominio, AD FS, AD CS y el servidor Entra Connect, donde instalará el sensor de Defender for Identity.
| Requisito previo o recomendación | Descripción |
|---|---|
| Especificaciones | Asegúrese de instalar Defender for Identity en Windows versión 2016 o posterior, en un servidor de controlador de dominio con un mínimo de: - 2 núcleos - 6 GB de RAM : se necesitan 6 GB de espacio en disco, se recomiendan 10 GB, incluido el espacio para los archivos binarios y los registros de Defender for Identity. Defender for Identity admite controladores de dominio de solo lectura (RODC). |
| Rendimiento | Para un rendimiento óptimo, establezca la opción Power de la máquina que ejecuta el sensor de Defender for Identity en Alto rendimiento. |
| Configuración de la interfaz de red | Si usa máquinas virtuales de VMware, asegúrese de que la configuración de NIC de la máquina virtual tiene deshabilitada la descarga de envío grande (LSO). Consulte Problema del sensor de máquina virtual de VMware para obtener más detalles. |
| Ventana de mantenimiento | Se recomienda programar una ventana de mantenimiento para los controladores de dominio, ya que es posible que sea necesario reiniciar si la instalación se ejecuta y un reinicio ya está pendiente o si es necesario instalar .NET Framework. Si la versión 4.7 o posterior de .NET Framework aún no se encuentra en el sistema, se instala la versión 4.7 de .NET Framework y puede requerir un reinicio. |
Requisitos mínimos del sistema operativo
Los sensores de Defender for Identity se pueden instalar en los siguientes sistemas operativos:
- Windows Server 2016
-
Windows Server 2019. Requiere KB4487044 o una actualización acumulativa más reciente. Los sensores instalados en Server 2019 sin esta actualización se detendrán automáticamente si la versión del
ntdsai.dllarchivo que se encuentra en el directorio del sistema es anteriorthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025
Para todos los sistemas operativos:
- Se admiten ambos servidores con experiencia de escritorio y núcleos de servidor.
- No se admiten los servidores Nano.
- Las instalaciones son compatibles con controladores de dominio, AD FS y servidores de AD CS.
Sistemas operativos heredados
el 10 de octubre de 2023, Windows Server 2012 y Windows Server 2012 R2 alcanzaron el final extendido del soporte técnico.
Se recomienda actualizar esos servidores, ya que Microsoft ya no admite el sensor de Defender for Identity en dispositivos que ejecutan Windows Server 2012 y Windows Server 2012 R2.
Los sensores que se ejecutan en estos sistemas operativos seguirán informando a Defender for Identity e incluso recibirán las actualizaciones del sensor, pero algunas de las nuevas funcionalidades no estarán disponibles, ya que podrían depender de las funcionalidades del sistema operativo.
Puertos necesarios
| Protocolo | Transport | Port | From | Para |
|---|---|---|---|---|
| Puertos de Internet | ||||
|
SSL (*.atp.azure.com) Como alternativa, configure el acceso a través de un proxy. |
TCP | 443 | Sensor de Defender for Identity | Servicio en la nube de Defender for Identity |
| Puertos internos | ||||
| DNS | TCP y UDP | 53 | Sensor de Defender for Identity | Servidores DNS |
|
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Sensor de Defender for Identity | Todos los dispositivos de la red |
| RADIO | UDP | 1813 | RADIO | Sensor de Defender for Identity |
|
Puertos localhost: necesarios para el actualizador del servicio de sensor De forma predeterminada, se permite el tráfico de localhost a localhost a menos que una directiva de firewall personalizada lo bloquee. |
||||
| SSL | TCP | 444 | Servicio de sensor | Servicio de actualizador de sensores |
|
Puertos de resolución de nombres de red (NNR) Para resolver las direcciones IP de los nombres de equipo, se recomienda abrir todos los puertos enumerados. Sin embargo, solo se requiere un puerto. |
||||
| NTLM a través de RPC | TCP | Puerto 135 | Sensor de Defender for Identity | Todos los dispositivos de la red |
| NetBIOS | UDP | 137 | Sensor de Defender for Identity | Todos los dispositivos de la red |
|
RDP Solo el primer paquete de cliente hello consulta el servidor DNS mediante la búsqueda DNS inversa de la dirección IP (UDP 53) |
TCP | 3389 | Sensor de Defender for Identity | Todos los dispositivos de la red |
Si está trabajando con varios bosques, asegúrese de que se abren los siguientes puertos en cualquier máquina en la que esté instalado un sensor de Defender for Identity:
| Protocolo | Transport | Puerto | Hacia/Desde | Dirección |
|---|---|---|---|---|
| Puertos de Internet | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Servicio en la nube de Defender for Identity | Salida |
| Puertos internos | ||||
| LDAP | TCP y UDP | 389 | Controladores de dominio | Salida |
| LDAP seguro (LDAPS) | TCP | 636 | Controladores de dominio | Salida |
| LDAP al catálogo global | TCP | 3268 | Controladores de dominio | Salida |
| LDAPS al catálogo global | TCP | 3269 | Controladores de dominio | Salida |
Requisitos de memoria dinámica
En la tabla siguiente se describen los requisitos de memoria en el servidor utilizado para el sensor de Defender for Identity, en función del tipo de virtualización que use:
| Máquina virtual en ejecución | Descripción |
|---|---|
| Hyper-V | Asegúrese de que Habilitar memoria dinámica no esté habilitado para la máquina virtual. |
| VMware | Asegúrese de que la cantidad de memoria configurada y la memoria reservada sean iguales o seleccione la opción Reservar toda la memoria de invitado (todo bloqueado) en la configuración de la máquina virtual. |
| Otro host de virtualización | Consulte la documentación proporcionada por el proveedor sobre cómo asegurarse de que la memoria está totalmente asignada a la máquina virtual en todo momento. |
Importante
Cuando se ejecuta como una máquina virtual, toda la memoria debe asignarse a la máquina virtual en todo momento.
Sincronización de hora
Los servidores y controladores de dominio en los que está instalado el sensor deben tener tiempo sincronizado entre sí en un plazo de cinco minutos.
Prueba de los requisitos previos
Se recomienda ejecutar el script deTest-MdiReadiness.ps1 para probar y ver si el entorno tiene los requisitos previos necesarios.
El vínculo al script deTest-MdiReadiness.ps1 también está disponible en Microsoft Defender XDR, en la página Herramientas de identidades > (versión preliminar).
Contenido relacionado
En este artículo se enumeran los requisitos previos necesarios para una instalación básica. Se requieren requisitos previos adicionales al instalar en un servidor de AD FS o AD CS o Entra Connect, para admitir varios bosques de Active Directory o al instalar un sensor independiente de Defender for Identity.
Para más información, vea:
- Implementación de Microsoft Defender for Identity en servidores de AD FS y AD CS
- Microsoft Defender for Identity compatibilidad con varios bosques
- Microsoft Defender for Identity requisitos previos del sensor independiente
- Arquitectura de Defender for Identity