Действия по исправлению в Microsoft Defender для удостоверений

Применимо к:

Microsoft Defender для удостоверений
Microsoft Defender XDR

Microsoft Defender для удостоверений позволяет реагировать на скомпрометированных пользователей путем отключения учетных записей или сброса пароля. После выполнения действий с пользователями можно проверка сведения о действиях в центре уведомлений.

Действия реагирования на пользователей доступны непосредственно на странице пользователя, на боковой панели пользователя, на странице расширенной охоты или в центре уведомлений.

Просмотрите следующее видео, чтобы узнать больше о действиях по исправлению в Defender для удостоверений:

Предварительные условия

Чтобы выполнить любое из поддерживаемых действий, необходимо:

Настройте учетную запись, которую Microsoft Defender для удостоверений будет использовать для их выполнения. По умолчанию датчик Microsoft Defender для удостоверений, установленный на контроллере домена, олицетворяет учетную запись LocalSystem контроллера домена и выполняет указанные выше действия. Однако это поведение по умолчанию можно изменить, настроив учетную запись gMSA и область необходимые разрешения.
Войдите в Microsoft Defender XDR с соответствующими разрешениями. Для действий Defender для удостоверений вам потребуется пользовательская роль с разрешениями на ответ (управление). Дополнительные сведения см. в статье Создание пользовательских ролей с помощью Microsoft Defender XDR Unified RBAC.

Поддерживаемые действия

Для удостоверений можно выполнить следующие действия Defender для удостоверений:

Действие по исправлению	Описание	Область
Отключение	Вы можете отключить все учетные записи, связанные с удостоверением , или только одну из них. Отключение удостоверения предотвращает вход и доступ к сетевым ресурсам до тех пор, пока учетные записи не будут повторно включены. Это действие не удаляет профиль удостоверения или связанные с ним данные, такие как документы, события календаря или сообщения электронной почты.	Active Directory, Microsoft Entra ID и Okta
Включение	Повторно включает учетные записи, которые ранее были отключены для выбранного удостоверения.	Active Directory, Microsoft Entra ID и Okta
Отмена сеанса	Отзыв активного сеанса удостоверения.	Microsoft Entra ID и Okta
Пометить как скомпрометированное	Помечает все учетные записи, связанные с выбранным удостоверением, как скомпрометированные в Microsoft Entra ID.	Microsoft Entra ID
Принудительное изменение пароля	Принудительное изменение пароля для одной или нескольких учетных записей, связанных с выбранным удостоверением. Это предложит удостоверению изменить пароль при следующем входе, гарантируя, что эта учетная запись не может использоваться для дальнейших попыток олицетворения.	Active Directory
Deactivate	Это действие можно использовать при обнаружении вредоносной учетной записи, не являющейся законной, чтобы окончательно деактивировать учетную запись.	Okta
Задайте для учетной записи значение Высокий, Средний или Низкий	Задайте для оценки рисков учетной записи один из определенных уровней. Это действие доступно только в том случае, если включена функция оценки рисков	Okta

В зависимости от Microsoft Entra ID ролей могут отображаться дополнительные Microsoft Entra ID действия, например требование повторного входа пользователей и подтверждение скомпрометированного пользователя. Дополнительные сведения см. в статье Устранение рисков и разблокирование пользователей.

Роли и разрешения

Действие по исправлению	Active Directory	Microsoft Entra ID	Okta
Отключение	См. раздел Обязательные разрешения Defender для удостоверений в Microsoft Defender XDR	роли Microsoft Entra: — Глобальный администратор — Администратор пользователей — Администратор проверки подлинности — Привилегированный администратор проверки подлинности — Записи каталогов	Настраиваемая роль, определенная с разрешениями для ответа (управление) или одной из следующих Microsoft Entra ролей: — Оператор безопасности — Администратор безопасности — Глобальный администратор
Включение	См. раздел Обязательные разрешения Defender для удостоверений в Microsoft Defender XDR	роли Microsoft Entra: — Глобальный администратор — Администратор пользователей — Администратор проверки подлинности — Привилегированный администратор проверки подлинности — Записи каталогов	Настраиваемая роль, определенная с разрешениями для ответа (управление) или одной из следующих Microsoft Entra ролей: — Оператор безопасности — Администратор безопасности — Глобальный администратор
Отмена сеанса	N\A	роли Microsoft Entra: — Глобальный администратор — Администратор пользователей — Администратор проверки подлинности — Привилегированный администратор проверки подлинности — Записи каталогов — Администратор службы технической поддержки	Настраиваемая роль, определенная с разрешениями для ответа (управление) или одной из следующих Microsoft Entra ролей: — Оператор безопасности — Администратор безопасности — Глобальный администратор
Пометить как скомпрометированное	N\A	роли Microsoft Entra: — Глобальный администратор -Администратор безопасности — Оператор безопасности	Н/Д
Принудительное изменение пароля	См. раздел Обязательные разрешения Defender для удостоверений в Microsoft Defender XDR	N\A	N\A
Deactivate	N\A	N\A	Настраиваемая роль, определенная с разрешениями для ответа (управление) или одной из следующих Microsoft Entra ролей: — Оператор безопасности — Администратор безопасности — Глобальный администратор
Присвойте удостоверению высокий, средний или низкий риск идентификации	N\A	N\A	Настраиваемая роль, определенная с разрешениями для ответа (управления) или одной из следующих Microsoft Entra ролей: — Оператор безопасности — Администратор безопасности — Глобальный администратор

Примечание.

Существуют некоторые ограничения для Microsoft Entra ID при выполнении определенных действий с другими ролями. Дополнительные сведения см. в документации по API Graph.

Действия по исправлению в Defender для удостоверений

См. также

учетные записи действий Microsoft Defender для удостоверений

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-12-31