En este art铆culo se describen los pasos necesarios para instalar sensores de Microsoft Defender for Identity en Active Directory, Servicios de federaci贸n de Active Directory (AD FS) o servidores de Servicios de certificaci贸n de Active Directory (AD CS). Para obtener instrucciones m谩s detalladas, consulte Implementaci贸n de Microsoft Defender for Identity con Microsoft Defender XDR.
Vea el v铆deo siguiente para obtener una demostraci贸n paso a paso y obtener informaci贸n sobre:
La importancia de instalar sensores de Defender for Identity para proteger su organizaci贸n frente a ataques basados en identidadesDescarga e instalaci贸n del sensorB煤squeda de posibles problemas de estado del sensor y la configuraci贸nVisualizaci贸n de evaluaciones de postura relacionadas con la identidad en la puntuaci贸n de seguridad de MicrosoftRequisitos previosEn esta secci贸n se enumeran los requisitos previos necesarios antes de instalar el sensor de Defender for Identity, entre los que se incluyen:
LicenciasPermisosRequisitos del sistemaRecomendaciones para mejores pr谩cticasCada espacio de trabajo de Defender for Identity admite un l铆mite de bosque de Active Directory m煤ltiple y un nivel funcional de bosque (FFL) de Windows 2003 y versiones posteriores.
Requisitos de licenciaAseg煤rese de tener una de las siguientes licencias:
Enterprise Mobility + Security E5 (EMS E5/A5)Microsoft 365 E5 (Microsoft E5/A5/G5)Seguridad de* Microsoft 365 E5/A5/G5/F5Seguridad y cumplimiento de Microsoft 365 F5*Licencias de Defender for Identity independientes* Ambas licencias de F5 requieren Microsoft 365 F1/F3 u Office 365 F3 y Enterprise Mobility + Security E3.
Adquiera una licencia directamente a trav茅s del portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP).
Para obtener m谩s informaci贸n sobre licencias y precios, consulte Preguntas y respuestas frecuentes sobre Licencias y privacidad.
Permisos necesariosPara crear el 谩rea de trabajo de Defender for Identity necesita una cuenta empresarial de Microsoft Entra ID con al menos un administrador de seguridad.
Necesita al menos acceso de Administrador de seguridad en su cuenta empresarial para acceder a la secci贸n Identidad del 谩rea de Configuraciones de Microsoft Defender XDR y crear el 谩rea de trabajo.
Para m谩s informaci贸n, consulte Grupos de roles de Microsoft Defender for Identity.
Requisitos m铆nimos del sistemaEn esta secci贸n se describen los sistemas operativos compatibles con las instalaciones del sensor de Defender for Identity. Instalar el sensor de Defender for Identity necesita tener instalados como m铆nimo 2 n煤cleos, 6 GB de RAM y 6 GB de espacio en disco en el controlador de dominio.
Cuando se ejecuta como una m谩quina virtual, es necesario asignar toda la memoria a la m谩quina virtual en todo momento. Para obtener m谩s informaci贸n, consulte Planear la capacidad para la implementaci贸n de Microsoft Defender for Identity.
Los sensores de Defender for Identity se pueden instalar en los siguientes sistemas operativos:
Windows Server 2016Windows Server 2019. Requiere KB4487044 o una actualizaci贸n acumulativa m谩s reciente. Los sensores instalados en Server 2019 sin esta actualizaci贸n se detendr谩n autom谩ticamente si la versi贸n del archivo ntdsai.dll que se encuentra en el directorio del sistema es anterior a la 10.0.17763.316Windows Server 2022Para todos los sistemas operativos:
Se admiten ambos servidores con experiencia de escritorio y servidores de n煤cleo.No se admiten servidores nano.Las instalaciones son compatibles con controladores de dominio, y servidores AD FS y AD CS.Compruebe la conectividad de la red.Compruebe que los servidores en los que tiene intenci贸n de instalar los sensores de Defender for Identity puedan acceder al servicio en la nube de Defender for Identity. En cada servidor, intente acceder a: https://*your-workspace-name*sensorapi.atp.azure.com.
Para obtener el nombre del 谩rea de trabajo, consulte la p谩gina Acerca de en el portal.Para la configuraci贸n del proxy, consulte Configuraci贸n del proxy de punto de conexi贸n y la configuraci贸n de conectividad a Internet.Programe una ventana de mantenimiento (opcional)Durante la instalaci贸n, si .NET Framework 4.7 o posterior no est谩 instalado, .NET Framework 4.7 se instalar谩 y podr铆a requerir un reinicio del servidor. Tambi茅n es posible que se requiera un reinicio si ya hay un reinicio pendiente.
Al instalar sus sensores, considere la posibilidad de programar una ventana de mantenimiento para los controladores de dominio.
Instalaci贸n de Defender for IdentityEn este procedimiento se describe c贸mo instalar el sensor de Defender for Identity en una versi贸n 2016 o posterior de Windows Server. Aseg煤rese de que el servidor re煤ne los requisitos m铆nimos del sistema.
Nota:
Los sensores de Defender for Identity deben instalarse en todos los controladores de dominio, incluidos los de solo lectura (RODC). Si va a instalar en una granja o cl煤ster de AD FS/AD CS, se recomienda instalar el sensor en cada servidor de AD FS/AD CS.
Para descargar instalar el sensor:
Descargue el sensor de Defender for Identity desde el portal de Microsoft Defender.
Vaya a Sistema>Configuraci贸n>Identidades>Sensores>Agregar sensor
Seleccione Descargar instalador y guarde el archivo en una ubicaci贸n a la que pueda acceder desde el controlador de dominio.
Copie el valor de Clave de acceso, que necesitar谩 para la instalaci贸n.
Sugerencia
Solo tiene que descargar el instalador una vez, ya que se puede usar para cada servidor de la cuenta empresarial. Aseg煤rese de que ning煤n bloqueador de elementos emergentes bloquee la descarga.
En el controlador de dominio, ejecute el instalador que descarg贸 de Microsoft Defender XDR y siga las instrucciones de la pantalla.
Paso siguientePara obtener instrucciones de instalaci贸n m谩s detalladas, consulte Implementaci贸n de Microsoft Defender for Identity con Microsoft Defender XDR. Por ejemplo, para implementar en varios controladores de dominio, se recomienda usar la instalaci贸n silenciosa en su lugar.