contas de ação Microsoft Defender para Identidade

O Defender for Identity permite-lhe agora criar contas de ação. Estas contas são utilizadas para permitir que você tome ações sobre os utilizadores diretamente do Defender for Identity.

Recomendamos que crie a conta gMSA Defender for Identity que utilizará para executar as ações de reparação disponíveis.

Criar e configurar a conta de ação

  1. Num controlador de domínio no seu domínio, crie uma nova conta gMSA, seguindo as instruções em Começar com contas de serviço geridas pelo grupo.

  2. Atribua o direito "Iniciar sessão como serviço" à conta gMSA em cada controlador de domínio que executa o sensor Defender for Identity.

  3. Conceder as permissões necessárias à conta gMSA.

    1. Abra Utilizadores e Computadores do Active Directory.

    2. Clique no domínio relevante ou ou ou ou e selecione Propriedades.

      Selecione propriedades de domínio ou OU.

    3. Vá ao separador Segurança e selecione Advanced.

      Definições avançadas de segurança.

    4. Selecione Adicionar.

    5. Escolha Selecione um principal. Escolha um principal.

    6. Certifique-se de que as contas de serviço estão marcadas nos tipos de Objetos. Selecione as contas de serviço como tipos de objetos.

    7. Introduza o nome da conta gMSA na página Introduzir o nome do objeto para selecionar a caixa e selecionar OK.

    8. Selecione objetos de utilizador descendentes no campo Aplica-se ao campo e define as seguintes permissões e propriedades: Definir permissões e propriedades.

      • Para ativar o reset da palavra-passe de força:
        • Permissões:
          • Repor palavra-passe
        • Propriedades:
          • Ler pwdLastSet
          • Escrever pwdLastSet
      • Para desativar o utilizador:
        • Propriedades:
          • Ler userAccountControl
          • Escreva userAccountControl
    9. Selecione objetos de grupo descendentes no campo Aplica-se ao campo e define as seguintes propriedades:

      • Ler membros
      • Escreva membros
    10. Selecione OK.

Nota

Recomenda-se não utilizar a mesma conta gMSA que configuraste para o Defender para ações geridas por Identidade em servidores que não os controladores de domínio. Se o servidor estiver comprometido, um intruso poderá recuperar a palavra-passe da conta e ganhar a capacidade de alterar palavras-passe e desativar as contas.

Adicione a conta gMSA no portal Microsoft 365 Defender

  1. Vá ao portal Microsoft 365 Defender.

  2. Ir para Definições ->Identidades.

  3. Em Microsoft Defender para Identidade, selecione Gerir contas de ação.

  4. Selecione +Crie uma nova conta para adicionar a sua conta gMSA.

  5. Forneça o nome e o domínio da conta e selecione Save.

  6. A sua conta de ação será listada na página 'Gerir contas de ação '.

    Criar conta de ação.

Ações de reparação no Defender para a Identidade

Passos seguintes