Řešení Microsoft Defender for Identity známých problémů

Tento článek popisuje, jak řešit známé problémy v Microsoft Defender for Identity.

Službu senzoru se nepodařilo spustit

Položky protokolu senzoru:

Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=mdiSvc01]

Příčina 1

Řadiči domény nebyla udělena práva pro přístup k heslu účtu gMSA.

Řešení 1:

Ověřte, že řadiči domény byla udělena práva pro přístup k heslu. Ve službě Active Directory byste měli mít skupinu zabezpečení, která obsahuje řadiče domény, Entra Connect, servery AD FS / AD CS a účty počítačů samostatných senzorů. Pokud tato možnost neexistuje, doporučujeme ji vytvořit.

Pomocí následujícího příkazu můžete zkontrolovat, jestli byl do parametru přidán účet počítače nebo skupina zabezpečení. Nahraďte mdiSvc01 názvem, který jste vytvořili.

Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword

Výsledky by měly vypadat takto:

V tomto příkladu vidíme, že byla přidána skupina s názvem mdiSvc01Group . Pokud řadič domény nebo skupina zabezpečení nebyly přidány, můžete ho přidat pomocí následujících příkazů. Nahraďte mdiSvc01 názvem gMSA a dc1 názvem řadiče domény nebo mdiSvc01Group názvem skupiny zabezpečení.

# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC


# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group

Pokud je řadič domény nebo skupina zabezpečení už přidané, ale stále se zobrazuje chyba, můžete zkusit následující kroky:

• Restartováním serveru synchronizujte nedávné změny.
• Vymažte lístek protokolu Kerberos a vynutíte server, aby si vyžádal nový lístek protokolu Kerberos. Na příkazovém řádku správce spusťte následující příkaz. klist -li 0x3e7 purge

Příčina 2

Kvůli známému scénáři souvisejícímu se zabezpečeným časovým seedingem je možné nastavit atribut gMSA PasswordLastSet na budoucí datum, což způsobí, že se senzor nebude moct spustit.

Pomocí následujícího příkazu můžete ověřit, jestli účet gMSA spadá do scénáře, když hodnoty PasswordLastSet a LastLogonDate zobrazují budoucí datum:

Get-ADServiceAccount mdiSvc01 -Properties PasswordLastSet, LastLogonDate

Řešení 2:

Jako dočasné řešení je možné vytvořit nový gMSA, který bude mít správné datum pro atribut. Doporučujeme otevřít žádost o podporu s adresářovými službami, abyste identifikovali původní příčinu a prozkoumali možnosti komplexního řešení.

Chyba komunikace se selháním senzoru

Pokud se zobrazí následující chyba selhání senzoru:

System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...

Řešení:

Ujistěte se, že není blokovaná komunikace pro localhost, port TCP 444. Další informace o požadavcích na Microsoft Defender for Identity najdete v tématu porty.

Umístění protokolu nasazení

Protokoly nasazení Defenderu for Identity se nacházejí v dočasném adresáři uživatele, který produkt nainstaloval. Ve výchozím umístění instalace ho najdete tady: C:\Users\Administrator\AppData\Local\Temp (nebo jeden adresář nad %temp%). Další informace najdete v tématu Řešení potíží s defenderem pro identitu pomocí protokolů.

Problém s ověřováním proxy serveru se zobrazuje jako chyba licencování

Pokud se během instalace senzoru zobrazí následující chyba: Senzor se nepodařilo zaregistrovat kvůli problémům s licencováním.

Položky protokolu nasazení:

[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642

Příčina:

V některých případech může při komunikaci prostřednictvím proxy serveru reagovat senzoru Defenderu for Identity s chybou 401 nebo 403 místo chyby 407. Senzor Defenderu for Identity interpretuje chybu 401 nebo 403 jako problém s licencováním, a ne jako problém s ověřováním proxy.

Řešení:

Ujistěte se, že senzor může procházet *.atp.azure.com přes nakonfigurovaný proxy server bez ověřování. Další informace najdete v tématu Konfigurace proxy serveru pro povolení komunikace.

Problém s ověřováním proxy serveru se zobrazuje jako chyba připojení

Pokud se během instalace senzoru zobrazí následující chyba: Senzor se nepodařilo připojit ke službě.

Příčina:

K problému může dojít v případě, že chybí certifikáty důvěryhodných kořenových certifikačních autorit vyžadovaných službou Defender for Identity.

Řešení:

Spuštěním následující rutiny PowerShellu ověřte, že jsou nainstalované požadované certifikáty.

V následujícím příkladu použijte certifikát DigiCert Baltimore Root pro všechny zákazníky. Kromě toho použijte certifikát DigiCert Global Root G2 pro komerční zákazníky nebo certifikát DigiCert Global Root CA pro zákazníky GCC v USA, jak je uvedeno.

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

Výstup pro certifikát pro všechny zákazníky:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Výstup certifikátu pro certifikát pro komerční zákazníky:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Výstup certifikátu pro zákazníky GCC High pro státní správu USA:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Pokud se očekávaný výstup nezobrazí, postupujte následovně:

1. Na počítač s jádrem serveru si stáhněte následující certifikáty. Pro všechny zákazníky si stáhněte kořenový certifikát Baltimore CyberTrust .

   Navíc:

   • Pro komerční zákazníky si stáhněte globální kořenový certifikát G2 digiCert .
   • Pro zákazníky us Government GCC High si stáhněte certifikát DigiCert Global Root CA

2. Spusťte následující rutinu PowerShellu a nainstalujte certifikát.

   # For all customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For commercial customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For US Government GCC High customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
   

Chyba tiché instalace při pokusu o použití PowerShellu

Pokud se během instalace tichého senzoru pokusíte použít PowerShell a zobrazí se následující chyba:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

Příčina:

Tuto chybu způsobí selhání zahrnutí předpony ./ potřebné k instalaci při použití PowerShellu.

Řešení:

K úspěšné instalaci použijte úplný příkaz.

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Problém se seskupováním síťových adaptérů v Defenderu for Identity

Při instalaci senzoru Defenderu for Identity na počítač s nakonfigurovaným adaptérem pro seskupování síťových adaptérů a ovladačem Winpcap se zobrazí chyba instalace. Pokud chcete nainstalovat senzor Defenderu for Identity na počítač nakonfigurovaný seskupováním síťových adaptérů, nezapomeňte nahradit ovladač Winpcap nástrojem Npcap podle pokynů tady.

Režim skupiny více procesorů

V operačních systémech Windows 2008R2 a 2012 není senzor Defenderu for Identity podporovaný v režimu skupiny více procesorů.

Navrhovaná možná alternativní řešení:

• Pokud je hyper threading zapnutý, vypněte ho. To může snížit počet logických jader natolik, aby se nemuselo spouštět v režimu skupiny více procesorů .

• Pokud má váš počítač méně než 64 logických jader a běží na hostiteli HP, možná budete moct změnit nastavení systému BIOS Optimalizace velikosti skupiny NUMA z výchozí hodnoty Clustered na Ploché.

Problém se senzorem virtuálního počítače VMware

Pokud máte senzor Defenderu for Identity na virtuálních počítačích VMware, může se zobrazit upozornění na stav : Síťový provoz se neanalyzuje. K tomu může dojít kvůli neshodě konfigurace ve VMware.

Řešení problému:

V hostovaném operačním systému nastavte v konfiguraci síťové karty virtuálního počítače následující hodnotu na Zakázáno : Přesměrování zpracování IPv4 TSO.

Pomocí následujícího příkazu zkontrolujte, jestli je povolené nebo zakázané přesměrování zpracování velkého odesílání (LSO):

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

Pokud je LSO povolený, zakažte ho pomocí následujícího příkazu:

Disable-NetAdapterLso -Name {name of adapter}

Poznámka

• V závislosti na vaší konfiguraci můžou tyto akce způsobit krátkou ztrátu připojení k síti.
• Možná budete muset restartovat počítač, aby se tyto změny projevily.
• Tento postup se může lišit v závislosti na verzi VMWare. Informace o tom, jak zakázat LSO/TSO pro vaši verzi VMWare, najdete v dokumentaci k VMWare.

Senzoru se nepodařilo načíst přihlašovací údaje ke skupinovému účtu spravované služby (gMSA)

Pokud se zobrazí následující upozornění na stav: Přihlašovací údaje uživatele adresářových služeb jsou nesprávné

Položky protokolu senzoru:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

Položky protokolu aktualizátoru senzoru:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

Senzoru se nepodařilo načíst heslo účtu gMSA.

Příčina 1

Řadiči domény nebylo uděleno oprávnění k načtení hesla účtu gMSA.

Řešení 1:

Ověřte, že počítač se senzorem má udělená oprávnění k načtení hesla účtu gMSA. Další informace najdete v tématu Udělení oprávnění k načtení hesla účtu gMSA.

Příčina 2

Služba senzoru se spouští jako LocalService a provádí zosobnění účtu adresářové služby.

Pokud je pro tento řadič domény nakonfigurovaná zásada přiřazení uživatelských práv Přihlásit se jako služba , zosobnění selže, pokud účtu gMSA není uděleno oprávnění Přihlásit se jako služba .

Řešení 2:

Nakonfigurujte přihlášení jako službu pro účty gMSA, pokud je na ovlivněném řadiči domény nakonfigurovaná zásada přiřazení uživatelských práv Přihlásit se jako služba . Další informace najdete v tématu Ověření, že účet gMSA má požadovaná práva.

Příčina 3

Pokud byl lístek Kerberos řadiče domény vystaven před tím, než byl řadič domény přidán do skupiny zabezpečení se správnými oprávněními, nebude tato skupina součástí lístku Protokolu Kerberos. Takže nemůže načíst heslo účtu gMSA.

Řešení 3:

Pokud chcete tento problém vyřešit, proveďte jeden z následujících kroků:

• Restartujte řadič domény.

• Vyprázdněte lístek protokolu Kerberos a vynutíte řadič domény, aby si vyžádal nový lístek protokolu Kerberos. Na příkazovém řádku správce na řadiči domény spusťte následující příkaz:

  klist -li 0x3e7 purge

• Přiřaďte oprávnění k načtení hesla gMSA skupině, do které je řadič domény již členem, například ke skupině Řadiče domény.

Přístup ke klíči registru Global byl odepřen.

Službu senzoru se nepodaří spustit a protokol senzoru obsahuje podobnou položku:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

Příčina:

GMSA nakonfigurovaný pro tento řadič domény nebo server služby AD FS/ AD CS nemá oprávnění ke klíčům registru čítače výkonu.

Řešení:

Přidejte gMSA do skupiny Sledování výkonu Users na serveru.

Stahování sestav nemůže obsahovat více než 300 000 položek.

Defender for Identity nepodporuje stahování sestav, které obsahují více než 300 000 položek na sestavu. Sestavy se zobrazují jako neúplné, pokud obsahuje více než 300 000 položek.

Příčina:

Jedná se o technické omezení.

Řešení:

Žádné známé řešení.

Senzoru se nepodařilo vytvořit výčet protokolů událostí.

Pokud v konzole Defenderu for Identity zaznamenáte omezený počet nebo nedostatek výstrah událostí zabezpečení nebo logických aktivit, ale neaktivují se žádné problémy se stavem.

Položky protokolu senzoru:

Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

Příčina:

Volitelný seznam Access Control omezuje přístup k požadovaným protokolům událostí pro účet místní služby.

Řešení:

Ujistěte se, že volitelný seznam Access Control (DACL) obsahuje následující položku (toto je IDENTIFIKÁTOR SID služby AATPSensor).

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

Zkontrolujte, jestli seznam DACL pro protokol událostí zabezpečení nakonfiguroval objekt zásad skupiny:

Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access

Připojte výše uvedenou položku ke stávající zásadě. Potom spusťte příkaz C:\Windows\System32\wevtutil.exe gl security a ověřte, že se položka přidala.

Místní protokoly služby Defender for Identity by se teď měly zobrazit:

Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]

Chyba dvoucestného připojení SSL k chybě ApplyInternal

Pokud se během instalace senzoru zobrazí následující chyba: ApplyInternal selhalo obousměrné připojení SSL ke službě a protokol senzoru obsahuje podobnou položku:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 ApplyInternal selhalo dvoucestné připojení SSL ke službě. Příčinou problému může být proxy server s povolenou kontrolou SSL. [_workspaceApplicationSensorApiEndpoint=Nespecifikovaný/contoso.atp.azure.com:443 Kryptografický otisk=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]'

Příčina:

K problému může dojít, když hodnoty registru SystemDefaultTlsVersions nebo SchUseStrongCrypto nejsou nastavené na výchozí hodnotu 1.

Řešení:

Ověřte, že hodnoty registru SystemDefaultTlsVersions a SchUseStrongCrypto jsou nastavené na hodnotu 1:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Problém s instalací senzoru na Windows Server 2019 s nainstalovaným KB5009557 nebo na server s posílenými oprávněními Protokolu událostí

Instalace senzoru může selhat s chybovou zprávou:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

Řešení:

Existují dvě možná řešení tohoto problému:

1. Nainstalujte senzor pomocí nástroje PSExec:

   psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
   

2. Nainstalujte senzor s naplánovanou úlohou nakonfigurovanou tak, aby běžela jako LocalSystem. Syntaxe příkazového řádku, která se má použít, je uvedená v tématu Bezobslužná instalace senzoru Defender for Identity.

Instalace senzoru selže kvůli klientovi pro správu certifikátů

Pokud se instalace senzoru nezdaří a soubor Microsoft.Tri.Sensor.Deployment.Deployer.log obsahuje podobnou položku:

2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)

Příčina:

Tento problém může být způsobený tím, že klient pro správu certifikátů, jako je například Svěření poskytovatele zabezpečení (EESP), brání instalaci senzoru ve vytvoření certifikátu podepsaného svým držitelem na počítači.

Řešení:

Odinstalujte klienta správy certifikátů, nainstalujte senzor Defenderu for Identity a pak znovu nainstalujte klienta pro správu certifikátů.

Poznámka

Certifikát podepsaný svým držitelem se obnovuje každé 2 roky a proces automatického prodlužování platnosti může selhat, pokud klient pro správu certifikátů zabrání vytvoření certifikátu podepsaného svým držitelem. To způsobí, že senzor přestane komunikovat s back-endem, což bude vyžadovat přeinstalaci senzoru pomocí výše uvedeného alternativního řešení.

Instalace senzoru selže kvůli problémům s připojením k síti

Pokud instalace senzoru selže s kódem chyby 0x80070643 a soubor protokolu instalace obsahuje podobnou položku:

[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.

Příčina:

Problém může být způsobený tím, že proces instalace nemá přístup ke cloudovým službám Defenderu for Identity pro registraci senzoru.

Řešení:

Ujistěte se, že senzor může přejít na *.atp.azure.com přímo nebo prostřednictvím nakonfigurovaného proxy serveru. V případě potřeby nastavte nastavení proxy serveru pro instalaci pomocí příkazového řádku:

"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Další informace najdete v tématech Spuštění tiché instalace s konfigurací proxy serveru a Instalace senzoru Microsoft Defender for Identity.

Důležité

Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Tok ověřování popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti aplikace a nese rizika, která se v jiných tocích nenachází. Tento tok byste měli použít pouze v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou životaschopné.

Služba senzoru se nemohla spustit a zůstává ve stavu Spouštění

V systémovém protokolu v Prohlížeči událostí se zobrazí následující chyby:

• The Open procedure for service ". NETFramework v knihovně DLL "C:\Windows\system32\mscoree.dll" selhal s kódem chyby Přístup byl odepřen. Údaje o výkonu této služby nebudou k dispozici.
• Procedura Otevření služby Lsa v knihovně DLL "C:\Windows\System32\Secur32.dll" selhala s kódem chyby Přístup byl odepřen. Údaje o výkonu této služby nebudou k dispozici.
• Procedura Open pro službu WmiApRpl v knihovně DLL "C:\Windows\system32\wbem\wmiaprpl.dll" selhala s kódem chyby Zařízení není připravené. Údaje o výkonu této služby nebudou k dispozici.

Microsoft.TriSensorError.log bude obsahovat chybu podobnou této:

Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager

Příčina:

NT Service\Všechny služby nemají právo se přihlásit jako služba.

Řešení:

Přidejte zásady řadiče domény s přihlášením jako službou. Další informace najdete v tématu Ověření, že účet gMSA má požadovaná práva.

Pracovní prostor se nevytvořil, protože skupina zabezpečení se stejným názvem již existuje v Microsoft Entra ID

Příčina:

K tomuto problému může dojít, když vyprší platnost licence pracovního prostoru Defenderu for Identity a po uplynutí doby uchovávání se odstraní, ale Microsoft Entra skupiny se neodstranily.

Řešení:

1. Přejděte na Azure Portal ->Microsoft Entra ID ->Skupiny.
2. Přejmenujte následující tři skupiny (kde workspaceName je název vašeho pracovního prostoru) tak, že k nim přidáte příponu " – stará":
   • "Azure ATP workspaceName Administrators" –> "Pracovní prostor Azure ATPNázevci – starý"
   • "Azure ATP workspaceName Viewers" –> "Azure ATP workspaceName Viewers – old"
   • "Azure ATP workspaceName Users" –> "Azure ATP workspaceName Users – old"
3. Pak se můžete na portálu Microsoft Defender vrátit do části Nastavení –>Identity a vytvořit nový pracovní prostor pro Defender for Identity.

Další kroky

• Požadavky na Defender for Identity
• Plánování kapacity služby Defender for Identity
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Podívejte se na fórum Defender for Identity!