Microsoft Defender for Identity Aktionskonten

  • Artikel
  • 2 Minuten Lesedauer

Defender for Identity ermöglicht ihnen jetzt das Erstellen von Aktionskonten. Diese Konten werden verwendet, damit Sie Aktionen für Benutzer direkt von Defender for Identity ausführen können.

Es wird empfohlen, das gMSA-Konto Defender for Identity zu erstellen, um die verfügbaren Korrekturaktionen auszuführen.

Erstellen und Konfigurieren des Aktionskontos

  1. Erstellen Sie auf einem Domänencontroller in Ihrer Domäne ein neues gMSA-Konto, und folgen Sie den Anweisungen unter "Erste Schritte mit gruppenverwalteten Dienstkonten".

  2. Weisen Sie dem gMSA-Konto auf jedem Domänencontroller, der den Defender for Identity-Sensor ausführt, das "Anmelden als Dienst" zu.

  3. Erteilen Sie den erforderlichen Berechtigungen für das gMSA-Konto.

    1. Öffnen Sie Active Directory-Benutzer und -Computer.

    2. Klicken Sie mit der rechten Maustaste auf die relevante Domäne oder OU, und wählen Sie "Eigenschaften" aus.

      Wählen Sie eigenschaften von Domäne oder OU aus.

    3. Wechseln Sie zur Registerkarte "Sicherheit ", und wählen Sie "Erweitert" aus.

      Erweiterte Sicherheitseinstellungen.

    4. Wählen Sie Hinzufügen.

    5. Wählen Sie Prinzipal auswählen aus. Wählen Sie einen Prinzipal aus.

    6. Stellen Sie sicher, dass Dienstkonten in Objekttypen markiert sind. Wählen Sie Dienstkonten als Objekttypen aus.

    7. Geben Sie den Namen des gMSA-Kontos in das Feld " Objektname eingeben" ein, und wählen Sie "OK" aus.

    8. Wählen Sie untergeordnete Benutzerobjekte im Feld "Gilt" aus, und legen Sie die folgenden Berechtigungen und Eigenschaften fest: Berechtigungen und Eigenschaften festlegen.

      • So aktivieren Sie das Zurücksetzen von Kennwörtern:
        • Berechtigungen:
          • Kennwort zurücksetzen
        • Eigenschaften:
          • pwdLastSet lesen
          • pwdLastSet schreiben
      • So deaktivieren Sie den Benutzer:
        • Eigenschaften:
          • UserAccountControl lesen
          • UserAccountControl schreiben

    9. Wählen Sie absteigende Gruppenobjekte im Feld "Gilt" aus, und legen Sie die folgenden Eigenschaften fest:

      • Mitglieder lesen
      • Elemente schreiben

    10. Klicken Sie auf OK.

Hinweis

Es wird empfohlen, nicht dasselbe gMSA-Konto zu verwenden, das Sie für verwaltete Defender for Identity-Aktionen auf Servern als Domänencontrollern konfiguriert haben. Wenn der Server kompromittiert ist, kann ein Angreifer das Kennwort für das Konto abrufen und die Möglichkeit erhalten, Kennwörter zu ändern und Konten zu deaktivieren.

Hinzufügen des gMSA-Kontos im Microsoft 365 Defender Portal

  1. Wechseln Sie zum Microsoft 365 Defender-Portal.

  2. Wechseln Sie zu "Einstellungen ->Identitäten".

  3. Wählen Sie unter Microsoft Defender for IdentityAktionskonten verwalten aus.

  4. Wählen Sie +Neues Konto erstellen , um Ihr gMSA-Konto hinzuzufügen.

  5. Geben Sie den Kontonamen und die Domäne an, und wählen Sie "Speichern" aus.

  6. Ihr Aktionskonto wird auf der Seite "Aktionskonten verwalten" aufgeführt.

    Erstellen Sie ein Aktionskonto.

Korrekturaktionen in Defender for Identity

Nächste Schritte