次の方法で共有

アクション アカウントMicrosoft Defender for Identity構成する

  • [アーティクル]

Defender for Identity を使用すると、ID が侵害された場合オンプレミスの Active Directoryアカウントを対象とした修復アクションを実行できます。 これらのアクションを実行するには、Microsoft Defender for Identityに必要なアクセス許可が必要です。

既定では、Microsoft Defender for Identity センサーはドメイン コントローラーのLocalSystem アカウントを偽装し、Microsoft Defender XDRからの攻撃中断シナリオを含むアクションを実行します。

この動作を変更する必要がある場合は、専用の gMSA を設定し、必要なアクセス許可のスコープを設定します。 以下に例を示します。

[アクション アカウントの管理] タブのスクリーンショット。

注:

アクション アカウントとして専用の gMSA を使用することは省略可能です。 LocalSystem アカウントの既定の設定を使用することをお勧めします。

アクション アカウントのベスト プラクティス

ドメイン コントローラー以外のサーバーで Defender for Identity マネージド アクション用に構成したのと同じ gMSA アカウントを使用しないことをお勧めします。 同じアカウントを使用し、サーバーが侵害された場合、攻撃者はアカウントのパスワードを取得し、パスワードを変更し、アカウントを無効にする機能を得る可能性があります。

また、ディレクトリ サービス アカウントと管理アクション アカウントの両方と同じアカウントを使用しないことをお勧めします。 これは、ディレクトリ サービス アカウントには Active Directory への読み取り専用アクセス許可のみが必要であり、アクションの管理アカウントにはユーザー アカウントに対する書き込みアクセス許可が必要であるためです。

複数のフォレストがある場合、gMSA マネージド アクション アカウントは、すべてのフォレストで信頼されているか、フォレストごとに個別のアカウントを作成する必要があります。 詳細については、「Microsoft Defender for Identityマルチフォレスト のサポート」を参照してください。

特定のアクション アカウントを作成して構成する

  1. 新しい gMSA アカウントを作成します。 詳細については、「 グループ管理サービス アカウントの概要」を参照してください。

  2. Defender for Identity センサーを実行している各ドメイン コントローラーの gMSA アカウントにサービス としてのログオン 権限を割り当てます。

  3. gMSA アカウントに必要なアクセス許可を次のように付与します。

    1. [Active Directory ユーザーとコンピューター] を開きます。

    2. 関連するドメインまたは OU を右クリックし、[プロパティ] を選択 します。 以下に例を示します。

      ドメインまたは OU プロパティを選択しているスクリーンショット。

    3. [ セキュリティ ] タブに移動し、[詳細設定] を選択 します。 以下に例を示します。

      セキュリティの詳細設定のスクリーンショット。

    4. [ 追加] を選択>プリンシパルを選択します。 以下に例を示します。

      プリンシパルを選択するスクリーンショット。

    5. [オブジェクトの種類] でサービス アカウントがマークされていることを確認します。 以下に例を示します。

      オブジェクトの種類としてサービス アカウントを選択している oof のスクリーンショット。

    6. [ 選択するオブジェクト名を入力 してください] ボックスに、gMSA アカウントの名前を入力し、[ OK] を選択します

    7. [ 適用先 ] フィールドで、[ 子孫ユーザー オブジェクト] を選択し、既存の設定のままにして、次の例に示すアクセス許可とプロパティを追加します。

      アクセス許可とプロパティの設定のスクリーンショット。

      必要なアクセス許可は次のとおりです。

      アクション アクセス許可 プロパティ
      パスワードの強制的なリセットを有効にする パスワードのリセット - Read pwdLastSet
      - Write pwdLastSet
      ユーザーを無効にするには - - Read userAccountControl
      - Write userAccountControl

    8. (省略可能)[ 適用先 ] フィールドで、[ 子孫グループ オブジェクト ] を選択し、次のプロパティを設定します。

      • Read members
      • Write members

    9. [OK] を選択します。

Microsoft Defender ポータルに gMSA アカウントを追加する

  1. Microsoft Defender ポータルに移動し、[設定] ->[Identities>Microsoft Defender for Identity>Manage アクション アカウント>+ 新しいアカウントの作成] を選択します。

    以下に例を示します。

    [新しいアカウントの作成] ボタンのスクリーンショット。

  2. アカウント名とドメインを入力し、[ 保存] を選択します。

[アクション アカウントの管理] ページに アクション アカウントが 表示されます。

関連コンテンツ

詳細については、「Microsoft Defender for Identityの修復アクション」を参照してください。