comptes d’action Microsoft Defender pour Identity

Defender pour Identity vous permet désormais de créer des comptes d’action. Ces comptes sont utilisés pour vous permettre d’effectuer des actions sur les utilisateurs directement à partir de Defender pour Identity.

Nous vous recommandons de créer le compte gMSA Defender pour Identity pour exécuter les actions de correction disponibles.

Créer et configurer le compte d’action

  1. Sur un contrôleur de domaine de votre domaine, créez un compte gMSA en suivant les instructions de prise en main des comptes de service administrés de groupe.

  2. Affectez le droit « Ouvrir une session en tant que service » au compte gMSA sur chaque contrôleur de domaine qui exécute le capteur Defender pour Identity.

  3. Accordez les autorisations requises au compte gMSA.

    1. Ouvrez Utilisateurs et ordinateurs Active Directory.

    2. Cliquez avec le bouton droit sur le domaine ou l’unité d’organisation approprié, puis sélectionnez Propriétés.

      Sélectionnez les propriétés du domaine ou de l’unité d’organisation.

    3. Accédez à l’onglet Sécurité , puis sélectionnez Avancé.

      Paramètres de sécurité avancés.

    4. Sélectionnez Ajouter.

    5. Choisissez Sélectionner un principal. Sélectionnez un principal.

    6. Vérifiez que les comptes de service sont marqués dans les types d’objets. Sélectionnez les comptes de service comme types d’objets.

    7. Entrez le nom du compte gMSA dans le champ Entrer le nom de l’objet à sélectionner , puis sélectionnez OK.

    8. Sélectionnez les objets Utilisateur descendants dans le champ S’applique au champ et définissez les autorisations et propriétés suivantes : Définir des autorisations et des propriétés.

      • Pour activer la réinitialisation forcée du mot de passe :
        • Autorisations :
          • Réinitialiser le mot de passe
        • Propriétés :
          • Read pwdLastSet
          • Écrire pwdLastSet
      • Pour désactiver l’utilisateur :
        • Propriétés :
          • Lire userAccountControl
          • Écrire userAccountControl
    9. Sélectionnez les objets Descendants Group dans le champ S’applique au champ et définissez les propriétés suivantes :

      • Lire les membres
      • Écrire des membres
    10. Sélectionnez OK.

Notes

Il est recommandé de ne pas utiliser le même compte gMSA que celui que vous avez configuré pour les actions gérées par Defender pour Identity sur des serveurs autres que des contrôleurs de domaine. Si le serveur est compromis, un attaquant peut récupérer le mot de passe du compte et obtenir la possibilité de modifier les mots de passe et de désactiver les comptes.

Ajouter le compte gMSA dans le portail Microsoft 365 Defender

  1. Accédez au portail Microsoft 365 Defender.

  2. Accédez à Paramètres ->Identités.

  3. Sous Microsoft Defender pour Identity, sélectionnez Gérer les comptes d’action.

  4. Sélectionnez +Créer un compte pour ajouter votre compte gMSA.

  5. Indiquez le nom et le domaine du compte, puis sélectionnez Enregistrer.

  6. Votre compte d’action est répertorié dans la page Gérer les comptes d’action .

    Créez un compte d’action.

Actions de correction dans Defender pour Identity

Étapes suivantes