Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Distribuisci il sensore Defender for Identity v3.x nei controller di dominio supportati. Completare i controlli dei prerequisiti prima dell'attivazione, quindi configurare le impostazioni di controllo e identità in seguito.
Prima di attivare
Completare questi controlli prima di attivare il sensore.
Limitazioni della versione del sensore
Prima di attivare il sensore Defender for Identity v3.x, nota che v3.x:
- Non supporta l'integrazione VPN.
- Non supporta le notifiche syslog.
- Presenta limitazioni con Azure ExpressRoute. Per altre informazioni, vedere Azure ExpressRoute per Microsoft 365.
Requisiti per i server
Assicurarsi che il server in cui si sta attivando il sensore:
- Defender for Endpoint è distribuito sul server. Il componente antivirus Microsoft Defender può essere in modalità attiva o passiva. Defender for Endpoint deve essere sottoposto all'onboarding sul server in cui è in esecuzione il sensore; una distribuzione limitata al solo endpoint non è sufficiente.
- Non dispone già di un sensore Defender for Identity v2.x distribuito.
- È in esecuzione Windows Server 2019 o versioni successive.
- Include l'aggiornamento cumulativo di Windows Server luglio 2026 o versione successiva.
Tipi di server supportati
Il sensore v3.x supporta i controller di dominio, inclusi i controller di dominio con questi ruoli di identità:
- Active Directory Federation Services (ADFS)
- Servizi certificati Active Directory (AD DS)
- Microsoft Entra Connect
Usare il sensore di Defender for Identity v2.x per i server che non sono controller di dominio e che eseguono AD FS, AD CS o Microsoft Entra Connect.
Requisiti di licenza
La distribuzione di Defender per identità richiede una delle licenze di Microsoft 365 seguenti:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Sicurezza Microsoft 365 E5/A5/G5/F5*
- Sicurezza e conformità di Microsoft 365 F5*
Entrambe le licenze F5 richiedono Microsoft 365 F1/F3 o Office 365 F3 e Enterprise Mobility + Security E3. Acquistare licenze nel portale di Microsoft 365 o tramite licenze Cloud Solution Partner (CSP). Per altre informazioni, vedere Domande frequenti sulle licenze e sulla privacy.
Ruoli e autorizzazioni
Per creare l'area di lavoro di Defender for Identity, è necessario un tenant Microsoft Entra ID.
È necessario essere un Amministratore della sicurezza oppure disporre delle seguenti autorizzazioni RBAC unificato:
System settings (Read and manage)Security settings (All permissions)
Requisiti di rete
Il sensore Defender for Identity usa gli stessi URI di Microsoft Defender per endpoint. Esaminare i documenti seguenti per Defender per endpoint, in base alla connettività del sistema, per trovare l'elenco completo degli endpoint di servizio necessari.
Microsoft Defender per endpoint URL di connettività semplificata
URL di connettività standard di Microsoft Defender per endpoint
Requisiti di memoria
La tabella seguente descrive i requisiti di memoria nel server che esegue il Defender per il sensore di identità, a seconda del tipo di virtualizzazione in uso:
| VM in esecuzione su | Descrizione |
|---|---|
| Hyper-V | Assicurarsi che l'opzione Abilita memoria dinamica non sia abilitata per la macchina virtuale. |
| Vmware | Assicurarsi che la quantità di memoria configurata e la memoria riservata siano uguali oppure selezionare l'opzione Riserva tutta la memoria guest (Tutto bloccato) nelle impostazioni della macchina virtuale. |
| Altro host di virtualizzazione | Fare riferimento alla documentazione fornita dal fornitore su come garantire che la memoria sia sempre allocata completamente alle macchine virtuali. |
Importante
Quando viene eseguita come macchina virtuale, allocare sempre tutta la memoria alla macchina virtuale.
La versione 3 del sensore impedisce al sensore di sovrautilizzare la CPU o la memoria limitando l'utilizzo della CPU al 30% e l'utilizzo della memoria a 1,5 GB. Tuttavia, se qualsiasi altro servizio usa risorse di sistema sostanziali, il controller di dominio potrebbe comunque riscontrare un affaticamento delle prestazioni.
Per determinare se i server del controller di dominio dispongono di risorse sufficienti per un sensore di Microsoft Defender per identità, vedere la documentazione sulla pianificazione della capacità di Defender for Identity.
Requisiti dell'account di servizio
Il sensore Defender for Identity interagisce con Active Directory in due modi:
- Lettura dei dati di Active Directory (esecuzione di query sugli oggetti, rilevamento delle modifiche, risoluzione delle entità). Nella versione 2.x viene utilizzato un account del servizio di directory (DSA). In v3.x, LocalSystem gestisce automaticamente questa operazione.
- Esecuzione di azioni di correzione (disabilitazione degli account, reimpostazione delle password). Nella versione 2.x viene utilizzato un account di azione. In v3.x, LocalSystem gestisce automaticamente questa operazione.
Il sensore v3.x usa l'identità del sistema locale del server per entrambi gli scopi. Non usa gli account di Servizi di directory (DSA) o gli account di servizio gestiti di gruppo (gMSA). LocalSystem è l'unica identità supportata per v3.x.
Se si esegue la migrazione da sensor v2.x e in precedenza era stato configurato un gMSA per gli account di azione, selezionare Usa automaticamente l'account di sistema locale del sensore nel portale di Microsoft Defender (Impostazioni>Identità>Microsoft Defender per identità>Gestisci gli account di azione). I sensori v3.x non usano gli account gMSA configurati per i sensori v2.x.
Importante
Se uno dei sensori è v3.x, selezionare Usa automaticamente l'account di sistema locale del sensore per tutti i sensori. I sensori v3.x usano l'account di sistema locale indipendentemente dalla configurazione gMSA.
Avvisi sullo stato di DSA e gMSA in ambienti con sensori sia v2 che v3
Se l'area di lavoro ha ancora un account del servizio directory (DSA) o un account del servizio gestito di gruppo (gMSA) configurato perché i sensori v2 nei server AD FS, AD CS o Entra Connect lo richiedono ancora, le credenziali DSA e gMSA continuano a essere convalidate su tutti i sensori nell'area di lavoro, inclusi i sensori v3. Se la convalida non riesce, viene visualizzato l'avviso di integrità Le credenziali utente dei servizi directory non sono corrette. La verifica a livello di area di lavoro delle credenziali DSA e gMSA su tutti i sensori è prevista dal progetto. Defender per identità convalida le credenziali DSA e gMSA a livello di area di lavoro per tutti i sensori, purché tali account esistano, indipendentemente dal fatto che i singoli sensori li usino per azioni di controllo o risposta.
I sensori V3 ignorano DSA e gMSA per le azioni di controllo e risposta, ma sono comunque inclusi nella convalida delle credenziali a livello di area di lavoro. Per interrompere la ricezione di questo avviso di integrità sui sensori v3, rimuovere il DSA o gMSA a livello di area di lavoro dopo che tutti i sensori sono stati completamente migrati alla versione 3 e nessun sensore v2 lo richiede.
Verifica i prerequisiti
Eseguire lo script Test-MdiReadiness.ps1 per verificare se l'ambiente dispone dei prerequisiti necessari.
Lo script Test-MdiReadiness.ps1 è disponibile anche da Microsoft Defender XDR nella pagina Strumenti identità > (anteprima).
Attivare il sensore
Dopo aver confermato tutti i prerequisiti, attivare il sensore dal portale di Microsoft Defender.
Dopo aver attivato
Completare questi passaggi di configurazione dopo l'attivazione e l'esecuzione del sensore.
Configurare il controllo degli eventi di Windows
Defender for Identity si basa sui registri eventi di Windows per molte operazioni di rilevamento. Per i sensori v3.x nei controller di dominio, abilitare il controllo automatico, che gestisce tutte le impostazioni di controllo senza configurazione manuale.
Se il controllo automatico non è disponibile o si è disattivato, configurare il controllo manualmente o usare PowerShell.
Configurare il controllo RPC
A partire dal rilascio di luglio 2026 del sensore di Defender for Identity (versione del sensore 3.0.8), il controllo RPC viene abilitato automaticamente sui controller di dominio quando si aggiorna il sensore alla versione più recente. Non è più necessario applicare manualmente un tag per abilitare il controllo RPC e l'avviso di integrità correlato viene cancellato poco dopo l'aggiornamento.
Note
Se si usa la versione del sensore 3.0.8 e si è già applicato il tag Controllo RPC del sensore unificato o Controllo RPC esteso del sensore , non è necessaria alcuna azione aggiuntiva. È possibile lasciare il tag sul posto.
Impostazioni consigliate
Usare le impostazioni consigliate seguenti per garantire prestazioni stabili dei sensori:
- Impostare l'opzione di alimentazione della macchina che esegue il sensore Defender for Identity su Prestazioni elevate.
- Sincronizzare l'ora nei server e nei controller di dominio in cui si installa il sensore entro cinque minuti l'uno dall'altro.