eylem hesaplarını Kimlik için Microsoft Defender

Kimlik için Defender artık eylem hesapları oluşturmanıza olanak tanır. Bu hesaplar, doğrudan Kimlik için Defender'dan kullanıcılar üzerinde eylem gerçekleştirmenize olanak sağlamak için kullanılır.

Kullanılabilir düzeltme eylemlerini çalıştırmak için Kimlik için Defender'ın kullanacağı gMSA hesabını oluşturmanızı öneririz.

Eylem hesabını oluşturma ve yapılandırma

  1. Etki alanınızdaki bir etki alanı denetleyicisinde, Grup Tarafından Yönetilen Hizmet Hesaplarını Kullanmaya Başlama başlığındaki yönergeleri izleyerek yeni bir gMSA hesabı oluşturun.

  2. Kimlik için Defender algılayıcısını çalıştıran her etki alanı denetleyicisinde gMSA hesabına "Hizmet olarak oturum aç" hakkını atayın.

  3. gMSA hesabına gerekli izinleri verin.

    1. Active Directory Kullanıcıları ve Bilgisayarları'nı açın.

    2. İlgili etki alanına veya OU'ya sağ tıklayın ve Özellikler'i seçin.

      Etki alanının veya OU'nun özelliklerini seçin.

    3. Güvenlik sekmesine gidin ve Gelişmiş'i seçin.

      Gelişmiş güvenlik ayarları.

    4. Add (Ekle) seçeneğini belirleyin.

    5. Sorumlu seçin'i seçin. Sorumlu seçin'i seçin.

    6. Hizmet hesaplarınınNesne türlerinde işaretlendiğinden emin olun. Nesne türü olarak hizmet hesaplarını seçin.

    7. Seçecek nesne adını girin kutusuna gMSA hesabının adını girin ve Tamam'ı seçin.

    8. Şunun için geçerlidir alanında Descendant User nesneleri'ni seçin ve aşağıdaki izinleri ve özellikleri ayarlayın: İzinleri ve özellikleri ayarlayın.

      • Parola sıfırlamaya zorlamayı etkinleştirmek için:
        • İzinler:
          • Parola sıfırlama
        • Özellikler:
          • PwdLastSet okuma
          • pwdLastSet yazma
      • Kullanıcıyı devre dışı bırakmak için:
        • Özellikler:
          • userAccountControl okuma
          • userAccountControl yazma
    9. Uygulandığı yer alanında Descendant Group nesnelerini seçin ve aşağıdaki özellikleri ayarlayın:

      • Üyeleri okuma
      • Üye yazma
    10. Tamam’ı seçin.

Not

Etki alanı denetleyicileri dışındaki sunucularda Kimlik için Defender yönetilen eylemleri için yapılandırdığınız gMSA hesabının aynısının kullanılmaması önerilir. Sunucunun güvenliği aşılırsa, saldırgan hesabın parolasını alabilir ve parolaları değiştirme ve hesapları devre dışı bırakma özelliği elde edebilir.

Microsoft 365 Defender portalında gMSA hesabını ekleme

  1. Microsoft 365 Defender portalına gidin.

  2. Ayarlar ->Kimlikler'e gidin.

  3. Kimlik için Microsoft Defender altında Eylem hesaplarını yönet'i seçin.

  4. gMSA hesabınızı eklemek için +Yeni hesap oluştur'u seçin.

  5. Hesap adını ve etki alanını girin ve Kaydet'i seçin.

  6. Eylem hesabınız Eylem hesaplarını yönet sayfasında listelenir.

    Eylem hesabı oluşturun.

Kimlik için Defender'da düzeltme eylemleri

Sonraki adımlar