comptes d’action Microsoft Defender pour Identity

Defender pour Identity vous permet d’effectuer des actions de correction ciblant Active Directory local comptes en cas de compromission d’une identité. Pour effectuer ces actions, Microsoft Defender pour Identity devez disposer des autorisations requises pour le faire.

Par défaut, le capteur Microsoft Defender pour Identity installé sur un contrôleur de domaine emprunte l’identité du compte LocalSystem du contrôleur de domaine et effectue les actions. Toutefois, vous pouvez modifier ce comportement par défaut en configurant un compte gMSA et en étendue les autorisations nécessaires.

Configurer des comptes de gestion.

Créer et configurer un compte d’action spécifique

  1. Sur un contrôleur de domaine de votre domaine, créez un compte gMSA, en suivant les instructions fournies dans Prise en main des comptes de service gérés de groupe.

  2. Affectez le droit « Se connecter en tant que service » au compte gMSA sur chaque contrôleur de domaine qui exécute le capteur Defender pour Identity.

  3. Accordez les autorisations requises au compte gMSA.

    1. Ouvrez Utilisateurs et ordinateurs Active Directory.

    2. Cliquez avec le bouton droit sur le domaine ou l’unité d’organisation approprié, puis sélectionnez Propriétés.

      Sélectionnez les propriétés du domaine ou de l’unité d’organisation.

    3. Accédez à l’onglet Sécurité , puis sélectionnez Avancé.

      Paramètres de sécurité avancés.

    4. Sélectionnez Ajouter.

    5. Choisissez Sélectionner un principal. Choisissez sélectionner un principal.

    6. Vérifiez que les comptes de service sont marqués dans Types d’objets. Sélectionnez les comptes de service comme types d’objets.

    7. Entrez le nom du compte gMSA dans la zone Entrer le nom de l’objet à sélectionner , puis sélectionnez OK.

    8. Sélectionnez Objets utilisateur descendant dans le champ S’applique à , conservez les paramètres existants et ajoutez les autorisations et propriétés suivantes : Définir les autorisations et les propriétés.

      • Pour activer la réinitialisation forcée du mot de passe :
        • Autorisations :
          • Réinitialiser le mot de passe
        • Propriétés :
          • Lire pwdLastSet
          • Écrire pwdLastSet
      • Pour désactiver l’utilisateur :
        • Propriétés :
          • Lire userAccountControl
          • Écrire userAccountControl
    9. Sélectionnez Objets de groupe descendant dans le champ S’applique à et définissez les propriétés suivantes :

      • Membres de lecture
      • Écrire des membres
    10. Sélectionnez OK.

Notes

  • Il n’est pas recommandé d’utiliser le même compte gMSA que vous avez configuré pour les actions gérées par Defender pour Identity sur des serveurs autres que les contrôleurs de domaine. Si le serveur est compromis, un attaquant peut récupérer le mot de passe du compte et obtenir la possibilité de modifier les mots de passe et de désactiver les comptes.

  • Nous vous déconseillons d’utiliser le même compte que le compte de service d’annuaire et le compte Gérer l’action. Cela est dû au fait que le compte de service d’annuaire nécessite uniquement des autorisations en lecture seule sur Active Directory, et que les comptes d’action de gestion ont besoin d’autorisations d’écriture sur les comptes d’utilisateur.

Ajouter le compte gMSA dans le portail Microsoft 365 Defender

  1. Accédez au portail Microsoft 365 Defender.

  2. Accédez à Paramètres ->Identités.

  3. Sous Microsoft Defender pour Identity, sélectionnez Gérer les comptes d’actions.

  4. Sélectionnez +Créer un compte pour ajouter votre compte gMSA.

  5. Indiquez le nom du compte et le domaine, puis sélectionnez Enregistrer.

  6. Votre compte d’action sera répertorié dans la page Gérer les comptes d’actions .

    Créez un compte d’action.

Actions de correction dans Defender pour Identity

Étapes suivantes