Partager via

Actions de correction dans Microsoft Defender pour Identity

  • Article

S’applique à :

  • Microsoft Defender pour l’identité
  • Microsoft Defender XDR

Microsoft Defender pour Identity vous permet de répondre aux utilisateurs compromis en désactivant leurs comptes ou en réinitialisant leur mot de passe. Après avoir pris des mesures sur les utilisateurs, vous pouvez case activée sur les détails de l’activité dans le centre de notifications.

Les actions de réponse sur les utilisateurs sont disponibles directement à partir de la page utilisateur, du panneau latéral de l’utilisateur, de la page de repérage avancé ou du centre de notifications.

Regardez la vidéo suivante pour en savoir plus sur les actions de correction dans Defender pour Identity :


Configuration requise

Pour effectuer l’une des actions prises en charge, vous devez :

  • Configurez le compte que Microsoft Defender pour Identity utiliserez pour les exécuter. Par défaut, le capteur Microsoft Defender pour Identity installé sur un contrôleur de domaine emprunte l’identité du compte LocalSystem du contrôleur de domaine et effectue les actions ci-dessus. Toutefois, vous pouvez modifier ce comportement par défaut en configurant un compte gMSA et en étendue les autorisations selon vos besoins.

  • Être connecté à Microsoft Defender XDR avec les autorisations appropriées. Pour les actions Defender pour Identity, vous aurez besoin d’un rôle personnalisé avec des autorisations Response (gérer). Pour plus d’informations, consultez Créer des rôles personnalisés avec Microsoft Defender XDR RBAC unifié.

Actions prises en charge

Les actions Defender pour Identity suivantes peuvent être effectuées directement sur vos identités locales :

  • Désactiver l’utilisateur dans Active Directory : cela empêche temporairement un utilisateur de se connecter au réseau local. Cela peut empêcher les utilisateurs compromis de se déplacer latéralement et de tenter d’exfiltrer des données ou de compromettre davantage le réseau.

  • Réinitialiser le mot de passe de l’utilisateur : cette opération invite l’utilisateur à modifier son mot de passe lors de la prochaine ouverture de session, ce qui garantit que ce compte ne peut pas être utilisé pour d’autres tentatives d’emprunt d’identité.

En fonction de vos rôles Microsoft Entra ID, vous pouvez voir des actions Microsoft Entra ID supplémentaires, telles que demander aux utilisateurs de se reconnecter et confirmer qu’un utilisateur est compromis. Pour plus d’informations, consultez Corriger les risques et débloquer les utilisateurs.

Actions de correction dans Defender pour Identity

Voir aussi

Microsoft Defender pour Identity comptes d’action