Actions de correction dans Microsoft Defender pour Identity

S’applique à :

  • Microsoft Defender pour Identity
  • Microsoft 365 Defender

Microsoft Defender pour Identity vous permet de répondre aux utilisateurs compromis en désactivant leurs comptes ou en réinitialisant leur mot de passe. Après avoir pris des mesures sur les utilisateurs, vous pouvez vérifier les détails de l’activité dans le centre de notifications.

Les actions de réponse sur les utilisateurs sont disponibles directement à partir de la page utilisateur, du panneau côté utilisateur, de la page de chasse avancée ou du centre de notifications.

Les actions suivantes peuvent être effectuées directement sur le compte d’utilisateur :

  • Désactiver l’utilisateur dans Active Directory : cela empêche temporairement un utilisateur de se connecter au réseau local. Cela peut empêcher les utilisateurs compromis de se déplacer latéralement et de tenter d’exfiltrer des données ou de compromettre davantage le réseau.
  • Suspendre un utilisateur dans Azure Active Directory : cela empêche temporairement un utilisateur de se connecter à Azure Active Directory. Cela peut aider à empêcher les utilisateurs compromis de tenter d’exfiltrer des données et réduit le temps entre Désactiver l’utilisateur dans Active Directory et la synchronisation de cet état avec le cloud.
  • Réinitialiser le mot de passe de l’utilisateur : cela invite l’utilisateur à modifier son mot de passe lors de la prochaine ouverture de session, ce qui garantit que ce compte ne peut pas être utilisé pour d’autres tentatives d’emprunt d’identité.

Notes

Pour les utilisateurs dont l’indicateur Mot de passe n’expire jamais activé, la réinitialisation du mot de passe n’aura lieu qu’une fois l’indicateur supprimé.

Prérequis

Pour effectuer les actions ci-dessus, vous devez configurer le compte que Microsoft Defender pour Identity utiliserez pour les effectuer. Vous pouvez en savoir plus sur les conditions requises dans Microsoft Defender pour Identity comptes d’action.

Autorisations

Actuellement, cette fonctionnalité nécessite que le compte connecté à Microsoft 365 Defender possède le rôle Administrateur de la sécurité.

Actions de correction dans Defender pour Identity

Voir aussi

comptes d’action Microsoft Defender pour Identity