適用於身分識別的 Microsoft Defender 中的補救動作

適用於：

適用於身分識別的 Microsoft Defender 可讓您停用其帳戶或重設其密碼，以回應遭入侵的使用者。對使用者採取動作之後，您可以在控制中心查看活動詳細數據。

用戶的回應動作可直接從用戶頁面、用戶端面板、進階搜捕頁面或控制中心取得。

觀看下列影片以深入瞭解適用於身分識別的Defender中的補救動作：

必要條件

若要執行任何支援的動作，您需要：

設定適用於身分識別的 Microsoft Defender 用來執行它們的帳戶。根據預設，安裝在域控制器上的適用於身分識別的 Microsoft Defender 感測器會模擬域控制器的 LocalSystem 帳戶，並執行上述動作。不過，您可以設定 gMSA 帳戶，並視需要設定許可權的範圍，以變更此預設行為。
使用相關許可權登入 Microsoft Defender 全面偵測回應。針對適用於身分識別的 Defender 動作，您需要具有 回應 (管理) 許可權的自定義角色。如需詳細資訊，請參閱使用 Microsoft Defender 全面偵測回應 Unified RBAC 建立自定義角色。

您可以直接在內部部署身分識別上執行下列適用於身分識別的 Defender 動作：

在 Active Directory 中停用使用者：這會暫時防止使用者登入內部部署網路。這有助於防止遭入侵的使用者橫向移動，並嘗試外泄數據或進一步危害網路。
重設使用者密碼 – 這會提示使用者在下次登入時變更其密碼，確保此帳戶無法用於進一步的模擬嘗試。

視您的 Microsoft Entra ID 角色而定，您可能會看到其他 Microsoft Entra ID 動作，例如要求使用者再次登入，以及確認使用者遭到入侵。如需詳細資訊，請參閱補救風險並解除封鎖使用者。