Configurer des capteurs pour AD FS, AD CS, et Microsoft Entra Connect
Installez des capteurs Defender pour l’identité sur les serveurs Active Directory Federation Services (AD FS), Active Directory Certificate Services (AD CS) et Microsoft Entra Connect pour les protéger contre les attaques locales et hybrides. Cet article décrit les étapes d’installation.
Ces considérations s’appliquent :
- Pour les environnements AD FS, les capteurs Defender pour l’identité ne sont pris en charge que sur les serveurs de fédération. Ils ne sont pas requis sur les serveurs Web Application Proxy (WAP).
- Pour les environnements AD CS, vous n’avez pas besoin d’installer des capteurs sur des serveurs AD CS hors ligne.
- Pour les serveurs Microsoft Entra Connect, vous devez installer les capteurs sur les serveurs actifs et de mise en scène.
Prérequis
Les prérequis pour l’installation des capteurs Defender pour l’identité sur les serveurs AD FS, AD CS ou Microsoft Entra Connect sont les mêmes que pour l’installation de capteurs sur des contrôleurs de domaine. Pour plus d’informations, consultez Prérequis pour Microsoft Defender pour Identity.
Un capteur installé sur un serveur AD FS, AD CS ou Microsoft Entra Connect ne peut pas utiliser le compte de service local pour se connecter au domaine. Au lieu de cela, vous devez configurer un compte de service d’annuaire.
De plus, le capteur Defender pour l’identité pour AD CS prend en charge uniquement les serveurs AD CS avec le rôle de service de l’autorité de certification.
Configurer la collecte d’événements
Si vous travaillez avec des serveurs AD FS, AD CS ou Microsoft Entra Connect, assurez-vous d’avoir configuré l’audit selon les besoins. Pour plus d’informations, consultez l’article suivant :
AD FS :
AD CS :
Microsoft Entra Connect :
Configurer les autorisations de lecture pour la base de données AD FS
Pour que les capteurs fonctionnant sur les serveurs AD FS aient accès à la base de données AD FS, vous devez accorder des autorisations de lecture (db_datareader) pour le compte de service d’annuaire concerné.
Si vous avez plusieurs serveurs AD FS, assurez-vous d’accorder cette permission sur tous les serveurs. Les permissions de la base de données ne sont pas répliquées entre les serveurs.
Configurez le serveur SQL pour permettre au compte de service d’annuaire d’avoir les permissions suivantes sur la base de données AdfsConfiguration :
- connect
- connexion
- read
- select
Remarque
Si la base de données AD FS fonctionne sur un serveur SQL dédié au lieu du serveur AD FS local, et que vous utilisez un compte de service géré de groupe (gMSA) comme compte de service d’annuaire, assurez-vous d’accorder au serveur SQL les permissions requises pour récupérer le mot de passe du gMSA.
Accorder l’accès à la base de données AD FS
Accordez l’accès à la base de données AD FS en utilisant SQL Server Management Studio, Transact-SQL (T-SQL) ou PowerShell.
Par exemple, les commandes suivantes pourraient être utiles si vous utilisez la base de données interne Windows (WID) ou un serveur SQL externe.
Dans ces exemples de codes :
[DOMAIN1\mdiSvc01]
est l’utilisateur des services d’annuaire de l’espace de travail. Si vous travaillez avec un gMSA, ajoutez$
à la fin du nom d’utilisateur. Par exemple :[DOMAIN1\mdiSvc01$]
.AdfsConfigurationV4
est un exemple de nom de base de données AD FS et peut varier.server=\.\pipe\MICROSOFT##WID\tsql\query
est la chaîne de connexion à la base de données si vous utilisez WID.
Conseil
Si vous ne connaissez pas votre chaîne de connexion, suivez les étapes dans la documentation de Windows Server.
Pour accorder l’accès du capteur à la base de données AD FS à l’aide de T-SQL :
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
Pour accorder l’accès du capteur à la base de données AD FS à l’aide de PowerShell :
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Configurer des autorisations pour la base de données Microsoft Entra Connect (ADSync)
Remarque
Cette section s’applique uniquement si la base de données Entra Connect est hébergée sur une instance de serveur SQL externe.
Les capteurs s’exécutant sur les serveurs Microsoft Entra Connect doivent avoir accès à la base de données ADSync et disposer d’autorisations d’exécution pour les procédures stockées appropriées. Si vous avez plusieurs serveurs Microsoft Entra Connect, veillez à l’exécuter sur tous ces serveurs.
Pour accorder les autorisations de capteur à la base de données Microsoft Entra Connect ADSync à l’aide de PowerShell :
$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance
$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Étapes post-installation (facultatives)
Lors de l’installation du capteur sur un serveur AD FS, AD CS ou Microsoft Entra Connect, le contrôleur de domaine le plus proche est automatiquement sélectionné. Utilisez les étapes suivantes pour vérifier ou modifier le contrôleur de domaine sélectionné :
Dans Microsoft Defender XDR, accédez à Paramètres> Identités>Capteurs pour afficher tous vos capteurs Defender for Identity.
Localisez et sélectionnez le capteur que vous avez installé sur le serveur.
Dans le volet qui s’ouvre, dans la case Contrôleur de domaine (FQDN), entrez le nom de domaine complet (FQDN) des contrôleurs de domaine résolveurs. Sélectionnez + Ajouter pour ajouter le nom de domaine complet, puis sélectionnez Enregistrer.
L’initialisation du capteur peut prendre quelques minutes. Lorsqu’elle est terminée, le statut du service du capteur AD FS, AD CS ou Microsoft Entra Connect passe de arrêté à en cours d’exécution.
Valider le déploiement réussi
Pour valider que vous avez correctement déployé un capteur Defender pour l’identité sur un serveur AD FS ou AD CS :
Vérifiez que le service de capteur Azure Advanced Threat Protection est en cours d’exécution. Après avoir enregistré les paramètres du capteur Defender pour Identity, le démarrage du service peut prendre quelques secondes.
Si le service ne démarre pas, consultez le fichier
Microsoft.Tri.sensor-Errors.log
, situé par défaut à%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
.Utilisez AD FS ou AD CS pour authentifier un utilisateur à n’importe quelle application, puis vérifiez que Defender pour l’identité a observé l’authentification.
Par exemple, sélectionnez Chasse>Chasse avancée. Dans le volet de requête, entrez et exécutez l’une des requêtes suivantes :
Pour AD FS :
IdentityLogonEvents | where Protocol contains 'Adfs'
Le volet des résultats doit inclure une liste d’événements avec une valeur LogonType de Connexion avec authentification ADFS.
Pour AD CS :
IdentityDirectoryEvents | where Protocol == "Adcs"
Le volet des résultats affiche une liste d’événements de délivrance de certificat échouée et réussie. Sélectionnez une ligne spécifique pour voir des détails supplémentaires dans le volet d’inspection de l’enregistrement.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :