Microsoft Defender for Identity műveleti fiókok

A Defender for Identity mostantól lehetővé teszi műveleti fiókok létrehozását. Ezek a fiókok lehetővé teszik, hogy műveleteket hajthasson végre a felhasználókon közvetlenül a Defender for Identityből.

Javasoljuk, hogy hozza létre azt a gMSA-fiókot, amellyel a Defender for Identity futtatni fogja az elérhető szervizelési műveleteket.

A műveleti fiók létrehozása és konfigurálása

  1. A tartomány egyik tartományvezérlőjén hozzon létre egy új gMSA-fiókot a csoportosan felügyelt szolgáltatásfiókok használatának első lépéseit követve.

  2. Rendelje hozzá a "Bejelentkezés szolgáltatásként" jogosultságot a gMSA-fiókhoz minden olyan tartományvezérlőn, amely a Defender for Identity érzékelőt futtatja.

  3. Adja meg a szükséges engedélyeket a gMSA-fióknak.

    1. Nyissa meg az Active Directory – felhasználók és számítógépek beépülő modult.

    2. Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a Tulajdonságok parancsot.

      Válassza ki a tartomány vagy szervezeti egység tulajdonságait.

    3. Lépjen a Biztonság lapRa, és válassza a Speciális lehetőséget.

      Speciális biztonsági beállítások.

    4. Válassza a Hozzáadás lehetőséget.

    5. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget. Válassza ki a rendszerbiztonsági tagot.

    6. Győződjön meg arról, hogy a szolgáltatásfiókokobjektumtípusokban vannak megjelölve. Válassza ki a szolgáltatásfiókokat objektumtípusként.

    7. Írja be a gMSA-fiók nevét az Enter the object name (Objektumnév megadása) mezőbe, majd kattintson az OK gombra.

    8. Válassza ki a Leszármazó felhasználó objektumokat a Hatókör mezőben, és állítsa be a következő engedélyeket és tulajdonságokat: Engedélyek és tulajdonságok beállítása.

      • A jelszó-visszaállítás kényszerítéséhez tegye a következőt:
        • Engedélyek:
          • Új jelszó létrehozása
        • Tulajdonságok:
          • PwdLastSet olvasása
          • PwdLastSet írása
      • A felhasználó letiltása:
        • Tulajdonságok:
          • UserAccountControl olvasása
          • UserAccountControl írása
    9. Válassza ki a Leszármazott csoport objektumokat a Hatókör mezőben, és adja meg a következő tulajdonságokat:

      • Tagok olvasása
      • Tagok írása
    10. Válassza az OK lehetőséget.

Megjegyzés

Javasoljuk, hogy ne használja ugyanazt a gMSA-fiókot, amelyet a Defender for Identity által felügyelt műveletekhez konfigurált a tartományvezérlők kivételével a kiszolgálókon. Ha a kiszolgáló biztonsága sérül, a támadó lekérheti a fiók jelszavát, és módosíthatja a jelszavakat, és letilthatja a fiókokat.

A gMSA-fiók hozzáadása a Microsoft 365 Defender portálon

  1. Nyissa meg a Microsoft 365 Defender portált.

  2. Lépjen a Beállítások –>Identitások lapra.

  3. A Microsoft Defender for Identity területen válassza a Műveleti fiókok kezelése lehetőséget.

  4. Válassza az +Új fiók létrehozása lehetőséget a gMSA-fiók hozzáadásához.

  5. Adja meg a fiók nevét és tartományát, és válassza a Mentés lehetőséget.

  6. A műveleti fiók megjelenik a Műveletfiókok kezelése lapon.

    Hozzon létre egy műveleti fiókot.

Szervizelési műveletek a Defender for Identityben

Következő lépések