Microsoft Defender for Identityでの修復アクション

適用対象:

Microsoft Defender for Identityでは、アカウントを無効にするか、パスワードをリセットすることで、侵害されたユーザーに対応できます。ユーザーに対してアクションを実行した後、アクションセンターのアクティビティの詳細をチェックできます。

ユーザーに対する応答アクションは、ユーザーページ、ユーザー側パネル、高度なハンティングページ、またはアクションセンターから直接使用できます。

Defender for Identity での修復アクションの詳細については、次のビデオをご覧ください。

前提条件

サポートされているアクションのいずれかを実行するには、次の操作を行う必要があります。

実行に使用するアカウントMicrosoft Defender for Identity構成します。既定では、ドメインコントローラーにインストールされているMicrosoft Defender for Identity センサーは、ドメインコントローラーの LocalSystem アカウントを偽装し、上記のアクションを実行します。ただし、 gMSA アカウントを設定し、必要に応じてアクセス許可のスコープを設定することで、この既定の動作を変更できます。
関連するアクセス許可を持つ Microsoft Defender XDR にサインインします。 Defender for Identity アクションの場合は、 応答 (管理) アクセス許可を持つカスタムロールが必要です。詳細については、「Microsoft Defender XDR統合 RBAC を使用してカスタムロールを作成する」を参照してください。

次の Defender for Identity アクションは、オンプレミスの ID で直接実行できます。

Active Directory でユーザーを無効にする: これにより、ユーザーがオンプレミスネットワークに一時的にサインインできなくなります。これにより、侵害されたユーザーが横方向に移動し、データを流出させたり、ネットワークをさらに侵害したりするのを防ぐことができます。
ユーザーパスワードのリセット – これにより、次回のログオン時にパスワードを変更するように求められます。これにより、このアカウントを使用して権限借用の試行を行うことはできません。

Microsoft Entra IDロールによっては、ユーザーに再度サインインを要求し、ユーザーが侵害されたことを確認するなど、追加のMicrosoft Entra IDアクションが表示される場合があります。詳細については、「リスクの修復とユーザーのブロック解除」を参照してください。