Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i requisiti per l'installazione del sensore Microsoft Defender per identità v3.x.
Limitazioni della versione del sensore
Prima di attivare il sensore Defender per identità v3.x, si noti che questa versione del sensore è ancora in anteprima e ha alcune funzionalità limitate rispetto alla versione 2.x. Tenere presenti queste limitazioni prima di attivare il sensore. Sensore Defender per identità v3.x:
- Richiede la distribuzione di Defender per endpoint
- Attualmente non supporta l'integrazione VPN
- Attualmente non supporta ExpressRoute
- Attualmente non offre funzionalità complete di avvisi di integrità, consigli sulla postura, avvisi di sicurezza o dati di ricerca avanzati.
Requisiti di licenza
La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sicurezza
- Microsoft 365 F5 Sicurezza + conformità*
- Una licenza autonoma di Defender per identità
* Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3.
Acquisire licenze direttamente tramite il portale di Microsoft 365 o usare il modello di licenza Cloud Solution Partner (CSP).
Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.
Ruoli e autorizzazioni
- Per creare l'area di lavoro Defender per identità, è necessario un tenant Microsoft Entra ID.
- È necessario essere un amministratore della sicurezza o disporre delle autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti:
System settings (Read and manage)Security setting (All permissions)
- È consigliabile usare almeno un account del servizio directory, con accesso in lettura a tutti gli oggetti nei domini monitorati. Per altre informazioni, vedere Configurare un account del servizio directory per Microsoft Defender per identità.
Requisiti e raccomandazioni dei sensori
La tabella seguente riepiloga i requisiti del server e le raccomandazioni per il sensore Defender per identità.
| Prerequisito/raccomandazione | Descrizione |
|---|---|
| Sistema operativo | Il controller di dominio deve avere entrambi: - Windows Server 2019 o versione successiva - Aggiornamento cumulativo di marzo 2024 o versione successiva. |
| Specifiche | Un server controller di dominio con un minimo di: - due core - 6 GB di RAM |
| Prestazioni | Per ottenere prestazioni ottimali, impostare l'opzione power del computer che esegue il sensore Defender per identità su Prestazioni elevate. |
| Connettività | Richiede una distribuzione Microsoft Defender per endpoint. Se Microsoft Defender per endpoint è installato nel controller di dominio, non sono previsti requisiti di connettività aggiuntivi. |
| Installazioni precedenti | Prima di attivare il sensore in un controller di dominio, assicurarsi che il controller di dominio non disponga di un altro sensore Defender per identità già distribuito. |
| Sincronizzazione dell'ora del server | I server e i controller di dominio in cui è installato il sensore devono avere un tempo sincronizzato entro cinque minuti l'uno dall'altro. |
| ExpressRoute | Questa versione del sensore non supporta ExpressRoute. Se l'ambiente usa ExpressRoute, è consigliabile distribuire il sensore Defender per identità v2.x. |
Nota
Dopo l'installazione dell'aggiornamento cumulativo di marzo 2024, LSASS potrebbe riscontrare una perdita di memoria nei controller di dominio durante le richieste di autenticazione Kerberos del servizio Controller di Dominio di Active Directory locali e basati sul cloud. Questo aggiornamento fuori banda: KB5037422 risolve questo problema.
Requisiti di memoria dinamica
La tabella seguente descrive i requisiti di memoria nel server usato per il sensore Defender per identità, a seconda del tipo di virtualizzazione in uso:
| Macchina virtuale in esecuzione in | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| VMware | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutto bloccato) nelle impostazioni della macchina virtuale. |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia allocata completamente alla macchina virtuale in qualsiasi momento. |
Importante
Quando viene eseguita come macchina virtuale, tutta la memoria deve essere allocata alla macchina virtuale in qualsiasi momento.
Configurare il controllo di Windows
I rilevamenti di Defender per identità si basano su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che eseguono azioni specifiche, ad esempio gli accessi NTLM e le modifiche ai gruppi di sicurezza.
Configurare la raccolta di eventi di Windows nel controller di dominio per supportare i rilevamenti di Defender per identità. Per altre informazioni, vedere Raccolta di eventi con Microsoft Defender per identità e Configurare i criteri di controllo per i log eventi di Windows.
È possibile usare il modulo PowerShell defender per identità per configurare le impostazioni necessarie. Ad esempio, il comando seguente definisce tutte le impostazioni per il dominio, crea oggetti Criteri di gruppo e li collega.
Set-MDIConfiguration -Mode Domain -Configuration All
Per altre informazioni, vedere:
Testare i prerequisiti
È consigliabile eseguire lo script Test-MdiReadiness.ps1 per testare e verificare se l'ambiente dispone dei prerequisiti necessari.
Lo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).