Microsoft Defender para Identidade contas de ação

O Defender para Identidade agora permite que você crie contas de ação. Essas contas são usadas para permitir que você execute ações em usuários diretamente do Defender para Identidade.

Recomendamos que você crie a conta gMSA que o Defender para Identidade usará para executar as ações de correção disponíveis.

Criar e configurar a conta de ação

  1. Em um controlador de domínio em seu domínio, crie uma nova conta gMSA, seguindo as instruções em Introdução às Contas de Serviço Gerenciado de Grupo.

  2. Atribua o direito "Logon como serviço" à conta gMSA em cada controlador de domínio que executa o sensor defender para identidade.

  3. Conceda as permissões necessárias à conta gMSA.

    1. Abra Computadores e Usuários do Active Directory.

    2. Clique com o botão direito do mouse no domínio ou na UO relevante e selecione Propriedades.

      Selecione as propriedades do domínio ou da UO.

    3. Acesse a guia Segurança e selecione Avançado.

      Configurações de segurança avançadas.

    4. Selecione Adicionar.

    5. Escolha Selecionar uma entidade de segurança. Escolha selecionar uma entidade de segurança.

    6. Verifique se as contas de serviço estão marcadas em tipos de objeto. Selecione contas de serviço como tipos de objeto.

    7. Insira o nome da conta gMSA na caixa Inserir o nome do objeto e selecione OK.

    8. Selecione objetos de Usuário Descendente no campo Aplica-se ao campo e defina as seguintes permissões e propriedades: Definir permissões e propriedades.

      • Para habilitar a redefinição de senha forçada:
        • Permissões:
          • Redefinir senha
        • Propriedades:
          • Ler pwdLastSet
          • Gravar pwdLastSet
      • Para desabilitar o usuário:
        • Propriedades:
          • Ler userAccountControl
          • Gravar userAccountControl
    9. Selecione objetos de Grupo Descendente no campo Aplica-se ao campo e defina as seguintes propriedades:

      • Ler membros
      • Gravar membros
    10. Selecione OK.

Observação

É recomendável não usar a mesma conta gMSA configurada para ações gerenciadas do Defender para Identidade em servidores que não sejam controladores de domínio. Se o servidor estiver comprometido, um invasor poderá recuperar a senha da conta e obter a capacidade de alterar senhas e desabilitar contas.

Adicionar a conta gMSA no portal Microsoft 365 Defender

  1. Vá para o portal Microsoft 365 Defender.

  2. Vá para Configurações ->Identidades.

  3. Em Microsoft Defender para Identidade, selecione Gerenciar contas de ação.

  4. Selecione +Criar nova conta para adicionar sua conta gMSA.

  5. Forneça o nome e o domínio da conta e selecione Salvar.

  6. Sua conta de ação será listada na página Gerenciar contas de ação .

    Criar conta de ação.

Ações de correção no Defender para Identidade

Próximas etapas