SAM へのMicrosoft Defender for Identityを行う方法を構成する

Microsoft Defender for Identity横移動パス検出は、特定のマシン上のローカル管理者を識別するクエリに依存します。 これらのクエリは、インストール手順 2 で作成されたサービス アカウントを使用して、SAM-R プロトコルを使用 Defender for Identity Defender for Identity して実行されます。Connect AD にアクセスします

SAM-R ために必要なアクセス許可を構成

Windows クライアントとサーバーで SAM-R の実行がアカウントに許可されていることを確認するには、ネットワーク アクセス ポリシーに記載されている構成済みのアカウントに加えて、サービス アカウントを追加するために グループ ポリシー を変更する必要があります。 Defender for Identity Defender for Identity ドメイン コントローラー を除くすべてのコンピューターにグループ ポリシーを適用してください

注意

このような新しいポリシーを適用する前に、環境のセキュリティが維持されることと変更がアプリケーションの互換性に影響しないことの確認が重要です。 このことを行うには、提案された変更を監査モードで有効化してから互換性を検証し、その後で運用環境に変更を加えてください。

  1. ポリシーを見つけます。

    • ポリシー名:ネットワーク アクセス - SAM をリモート呼び出しできるクライアントを制限します
    • 場所:コンピューターの構成、Windows の設定、セキュリティ設定、ローカル ポリシー、セキュリティ オプション

    ポリシーを見つける。

  2. 最新のシステムでこのアクションを実行できる承認されたアカウントの一覧にサービス アカウント Defender for Identity Windowsします。

    サービスを追加します。

  3. AATP サービス (インストール中に作成されたサービス アカウント) に、環境内で SAM-R を実行するために必要な Defender for Identity 特権が付与されました。

SAM-R とこのグループ ポリシーの詳細については、「ネットワーク アクセス:SAM へのリモートの呼び出しを許可するクライアントを制限する」を参照してください。

ネットワーク設定からこのコンピューターにアクセスする

ドメイン内のコンピューターに適用される GPO の [ネットワークからこのコンピューターにアクセスする] 設定を定義している場合は、その設定で許可されているアカウントの一覧に Defender for Identity サービス アカウントを追加する必要があります。

注意

この設定は既定では有効になっていません。 以前に有効にしていない場合は、Defender for Identity が SAM にリモート呼び出しを行うのを許可するために変更する必要があります。

サービス アカウントを追加するには、ポリシーに移動し、[コンピューター構成ポリシー] に移動し、[ローカル Windows 設定ユーザー権利の割り当て -> -> -> -> ] に移動します。 次に、ネットワーク から [ このコンピューターにアクセスする] 設定を開きます

ネットワーク設定からこのコンピューターにアクセスします。

次に、 Defender for Identity 承認されたアカウントの一覧にサービス アカウントを追加します。

サービス アカウントを追加します。

参照