Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
- Microsoft Defender per identità
- Microsoft Defender XDR
Microsoft Defender per identità consente di rispondere agli utenti compromessi disabilitando gli account o reimpostando la password. Dopo aver eseguita un'azione sugli utenti, è possibile controllare i dettagli dell'attività nel centro notifiche.
Le azioni di risposta sugli utenti sono disponibili direttamente dalla pagina utente, dal pannello lato utente, dalla pagina di ricerca avanzata o dal centro notifiche.
Guardare il video seguente per altre informazioni sulle azioni di correzione in Defender per identità:
Prerequisiti
Per eseguire una delle azioni supportate, è necessario:
Configurare l'account che Microsoft Defender per identità userà per eseguirli. Per impostazione predefinita, il sensore Microsoft Defender per identità installato in un controller di dominio rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni precedenti. Tuttavia, è possibile modificare questo comportamento predefinito configurando un account gMSA e definire l'ambito delle autorizzazioni in base alle esigenze.
Accedere a Microsoft Defender XDR a con le autorizzazioni pertinenti. Per le azioni di Defender per identità, è necessario un ruolo personalizzato con autorizzazioni di risposta (gestione). Per altre informazioni, vedere Creare ruoli personalizzati con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.
Azioni supportate
Le azioni di Defender per identità seguenti possono essere eseguite sulle identità:
| Azione di correzione | Descrizione | Ambito |
|---|---|---|
| Disabilita | È possibile scegliere di disabilitare tutti gli account collegati a un'identità o solo uno di essi. La disabilitazione di un'identità impedisce l'accesso e l'accesso alle risorse di rete fino a quando gli account non vengono riabilitare. Questa azione non elimina il profilo di identità o i dati associati, ad esempio documenti, eventi del calendario o messaggi di posta elettronica. | Active Directory, Microsoft Entra ID e Okta |
| Attivazione | Abilita nuovamente gli account precedentemente disabilitati per l'identità selezionata. | Active Directory, Microsoft Entra ID e Okta |
| Revoca sessione | Revocare la sessione attiva di un'identità. | Microsoft Entra ID e Okta |
| Confermare gli account compromessi | Contrassegna tutti gli account collegati all'identità selezionata come compromessi in Microsoft Entra ID. | Microsoft Entra ID |
| Reimpostare la password | Reimpostare una password per uno o più account collegati all'identità selezionata. In questo modo viene richiesto all'identità di modificare la password all'accesso successivo, assicurandosi che questo account non possa essere usato per ulteriori tentativi di rappresentazione. | Active Directory |
| Disattivare | Questa azione può essere usata quando è stato rilevato un account dannoso non legittimo, per disattivare l'account in modo permanente | Okta |
| Impostare il rischio dell'account su Alto/Medio/Basso | Impostare il punteggio di rischio dell'account su uno dei livelli definiti. Questa azione è disponibile solo se la funzionalità Punteggio di rischio è abilitata | Okta |
A seconda dei ruoli Microsoft Entra ID, è possibile che vengano visualizzate altre azioni di Microsoft Entra ID, ad esempio richiedere agli utenti di eseguire di nuovo l'accesso e confermare che un utente è compromesso. Per altre informazioni, vedere Correggere i rischi e sbloccare gli utenti.
Ruoli e Autorizzazioni
| Azione di correzione | Active Directory | Microsoft Entra ID | Okta |
|---|---|---|---|
| Disabilita | Vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR | Amministratore globale | Ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
| Attivazione | Vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR | Amministratore globale | Ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
| Revoca sessione | N\A | Amministratore globale | Ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
| Confermare gli account compromessi | N\A | - Amministratore globale -Security Administrator |
N/D |
| Reimpostare la password | Vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR | N\A | N\A |
| Disattivare | N\A | N\A | Ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
| Impostare il rischio di identità su Alto/Medio/Basso | N\A | N\A | Un ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
Video correlati
Azioni di correzione in Defender per identità