適用於身分識別的 Microsoft Defender動作帳戶

適用于身分識別的 Defender 現在可讓您建立動作帳戶。 這些帳戶可用來讓您直接從適用于身分識別的 Defender 對使用者採取動作。

建議您建立適用于身分識別的 gMSA 帳戶 Defender,以執行可用的 補救動作

建立及設定動作帳戶

  1. 在網域中的網域控制站上,遵循 開始使用群組受控服務帳戶中的指示,建立新的 gMSA 帳戶。

  2. 將「以服務身分登入」許可權指派給每個執行 Defender for Identity 感應器的網域控制站上的 gMSA 帳戶。

  3. 將必要的許可權授與 gMSA 帳戶。

    1. 開啟 [Active Directory 使用者及電腦]。

    2. 以滑鼠右鍵按一下相關的網域或 OU,然後選取 [ 屬性]。

      選取網域或 OU 的屬性。

    3. 移至 [安全性] 索引 標籤,然後選取 [ 進階]。

      進階安全性設定。

    4. 選取 [新增]。

    5. 選擇 [選取一個主體]。 選擇選取主體。

    6. 請確定 服務帳戶物件類型中標示。 選取 [服務帳戶] 作為物件類型。

    7. 在 [ 輸入要選取的物件名稱 ] 方塊中輸入 gMSA 帳戶的名稱,然後選取 [ 確定]。

    8. 在 [套用至] 欄位中選取[子系使用者物件],然後設定下列許可權和屬性:設定許可權和屬性。

      • 若要啟用強制密碼重設:
        • 權限:
          • 重設密碼
        • 屬性:
          • 讀取 pwdLastSet
          • 寫入 pwdLastSet
      • 若要停用使用者:
        • 屬性:
          • 讀取 userAccountControl
          • 撰寫 userAccountControl
    9. 在 [套用至] 欄位中選取[子系群組物件],然後設定下列屬性:

      • 讀取成員
      • 寫入成員
    10. 選取 [確定]。

注意

建議您不要在網域控制站以外的伺服器上針對適用于身分識別的 Defender 受控動作設定相同的 gMSA 帳戶。 如果伺服器遭到入侵,攻擊者可能會擷取帳戶的密碼,並取得變更密碼並停用帳戶的能力。

在Microsoft 365 Defender入口網站中新增 gMSA 帳戶

  1. 移至Microsoft 365 Defender入口網站

  2. 移至[設定] - >[身分識別]。

  3. [適用於身分識別的 Microsoft Defender]底下,選取[管理動作帳戶]。

  4. 選取 [+建立新帳戶 ] 以新增 gMSA 帳戶。

  5. 提供帳戶名稱和網域,然後選取 [ 儲存]。

  6. 您的動作帳戶將會列在 [管理動作帳戶 ] 頁面上。

    建立動作帳戶。

適用于身分識別的 Defender 中的補救動作

後續步驟