次の方法で共有


Microsoft Defender for Identity アクション アカウントを構成する

Defender for Identity を使用すると、ID が侵害された場合にオンプレミスの Active Directoryアカウントを対象とする修復アクションを実行できます。 これらのアクションを実行するには、Microsoft Defender for Identity に必要なアクセス許可が必要です。

既定では、Microsoft Defender for Identity センサーがドメイン コントローラーの LocalSystem アカウントを偽装し、Microsoft Defender XDR からの攻撃中断シナリオなどのアクションを実行します。

この動作を変更する必要がある場合は、専用の gMSA を設定し、必要なアクセス許可の範囲を設定します。 次に例を示します。

Screenshot of the Manage action accounts tab.

Note

アクション アカウントとして専用の gMSA を使用するかどうかは任意です。 LocalSystem アカウントの既定の設定を使用することをお勧めします。

アクション アカウントのベスト プラクティス

ドメイン コントローラー以外のサーバーで Defender for Identity マネージド アクション用に構成したものと同じ gMSA アカウントを使用することは避けてください。 同じアカウントを使用すると、サーバーが侵害された場合に、攻撃者がアカウントのパスワードを取得し、パスワードを変更してアカウントを無効にできるようになります。

ディレクトリ サービス アカウントとアクションの管理アカウントと同じアカウントを使用することも推奨されません。 これは、ディレクトリ サービス アカウントには Active Directory に対する読み取り専用のアクセス許可のみが必要であり、アクションの管理アカウントにはユーザー アカウントに対する書き込みアクセス許可が必要であるためです。

複数のフォレストがある場合、gMSA マネージド アクション アカウントは、すべてのフォレストで信頼されているか、フォレストごとに個別に作成する必要があります。 詳細については、「Microsoft Defender for Identity マルチフォレストのサポート」を参照してください。

特定のアクション アカウントを作成して構成する

  1. 新しい gMSA アカウントを作成します。 詳細については、「Getting started with Group Managed Service Accounts (グループ管理サービス アカウントの概要)」を参照してください。

  2. Defender for Identity センサーを実行する各ドメイン コントローラーの gMSA アカウントに「サービスとしてログオン」権限を割り当てます。

  3. gMSA アカウントに必要なアクセス許可を次のように付与します。

    1. [Active Directory ユーザーとコンピューター] を開きます。

    2. 関連するドメインまたは OU を右クリックし、[プロパティ] を選択します。 次に例を示します。

      Screenshot of selecting domain or OU properties.

    3. セキュリティ タブを選択し、[詳細設定] を選択します。 次に例を示します。

      Screenshot of the advanced security settings.

    4. [追加] > [プリンシパルの選択] を選択します。 次に例を示します。

      Screenshot of selecting a principal.

    5. サービス アカウントオブジェクトの種類にマークされていることを確認します。 次に例を示します。

      Screenshot oof selecting service accounts as object types.

    6. [選択するオブジェクト名を入力してください] ボックスに gMSA アカウントの名前を 入力し、[OK] を選択します。

    7. [適用対象] 項目で [子孫ユーザー オブジェクト] を選択し、既存の設定のままにして、次の例に示すアクセス許可とプロパティを追加します。

      Screenshot of setting permissions and properties.

      必要なアクセス許可は次のとおりです。

      アクション アクセス許可 プロパティ
      パスワードの強制的なリセットを有効にする パスワードのリセット - Read pwdLastSet
      - Write pwdLastSet
      ユーザーを無効化する - - Read userAccountControl
      - Write userAccountControl
    8. (オプション) [適用対象] 項目で [子孫グループ オブジェクト] を選択し、次のプロパティを設定します。

      • Read members
      • Write members
    9. [OK] を選択します。

Microsoft Defender ポータルで gMSA アカウントを追加する

  1. Microsoft Defender ポータルに移動し、[設定] -> [ID] > [Microsoft Defender for Identity] > [アクション アカウントの管理] > [+ アカウントの新規作成] を選択します。

    次に例を示します。

    Screenshot of the Create new account button.

  2. アカウント名とドメインを入力し、[保存] を選択します。

アクション アカウントが [アクション アカウントの管理] ページに表示されます。

詳細については、「Microsoft Defender for Identity の修復アクション」を参照してください。