Microsoft Defender for Identity の修復アクション

適用対象:

Microsoft Defender for Identity を使用すると、アカウントを無効にするか、パスワードをリセットすることで、侵害を受けたユーザーに対応できます。ユーザーに対する操作を行った後は、アクションセンターでアクティビティの詳細を確認できます。

ユーザーに対する応答アクションは、ユーザーページ、ユーザー側パネル、高度なハンティングページ、またはアクションセンターから直接使用できます。

Defender for Identity の修復アクションの詳細については、次のビデオをご覧ください。

前提条件

サポートされているアクションのいずれかを実行するには、次のことを行う必要があります。

Microsoft Defender for Identity がそれらを実行するために使用するアカウントを構成します。既定では、ドメインコントローラーにインストールされている Microsoft Defender for Identity センサーは、ドメインコントローラーの LocalSystem アカウントを偽装し、アクションを実行します。ただし、gMSA アカウントを設定し、必要に応じてアクセス許可のスコープを設定することで、このデフォルト設定の動作を変更できます。
関連するアクセス許可を使用して Microsoft Defender XDR にサインインします。 Defender for Identity アクションの場合は、応答 (管理) アクセス許可を持つカスタムロールが必要です。詳細については、Microsoft Defender XDR 統合 RBAC を使用してカスタムロールを作成する方法に関する記事を参照してください。

次の Defender for Identity アクションは、オンプレミスの ID で直接実行できます。

Active Directory でユーザーを無効にする: これにより、ユーザーがオンプレミスネットワークにサインインできなくなります。これは、侵害されたユーザーが横方向に移動したり、データを流出させたり、ネットワークをさらに侵害したりするのを防ぐのに役立ちます。
ユーザーのパスワードをリセットする – これにより、ユーザーは次にログオンするときにパスワードの変更を求められ、このアカウントをそれ以上偽装の試みに使用できなくなります。

Microsoft Entra ID のロールに応じて、ユーザーに再度サインインを要求したり、ユーザーの侵害状態を確認するなど、追加の Microsoft Entra ID アクションが表示されることもあります。詳細については、「リスクを修復してユーザーをブロック解除する」を参照してください。