Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
- Microsoft Defender for Identity
- Microsoft Defender XDR
mit Microsoft Defender for Identity können Sie auf kompromittierte Benutzer reagieren, indem Sie deren Konten deaktivieren oder ihr Kennwort zurücksetzen. Nachdem Sie Aktionen für Benutzer ergriffen haben, können Sie die Aktivitätsdetails im Info-Center überprüfen.
Die Antwortaktionen für Benutzer sind direkt auf der Benutzerseite, im Benutzerseitenbereich, auf der Seite für die erweiterte Suche oder im Info-Center verfügbar.
Sehen Sie sich das folgende Video an, um mehr über Wartungsaktionen in Defender for Identity zu erfahren:
Voraussetzungen
Um eine der unterstützten Aktionen auszuführen, müssen Sie:
Konfigurieren Sie das Konto, das Microsoft Defender for Identity verwendet, um sie auszuführen. Standardmäßig nimmt der auf einem Domänencontroller installierte Microsoft Defender for Identity Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die oben genannten Aktionen aus. Sie können dieses Standardverhalten jedoch ändern, indem Sie ein gMSA-Konto einrichten und die Berechtigungen nach Bedarf festlegen.
Melden Sie sich bei Microsoft Defender XDR mit relevanten Berechtigungen an. Für Defender for Identity-Aktionen benötigen Sie eine benutzerdefinierte Rolle mit Antwortberechtigungen (Verwalten). Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Rollen mit Microsoft Defender XDR unified RBAC.
Unterstützte Aktionen
Die folgenden Defender for Identity-Aktionen können für Identitäten ausgeführt werden:
| Wartungsaktion | Beschreibung | Bereich |
|---|---|---|
| Deaktivieren | Sie können alle Konten deaktivieren, die mit einer Identität verknüpft sind, oder nur eines davon. Das Deaktivieren einer Identität verhindert die Anmeldung und den Zugriff auf Netzwerkressourcen, bis die Konten erneut aktiviert werden. Diese Aktion löscht weder das Identitätsprofil noch die zugehörigen Daten wie Dokumente, Kalenderereignisse oder E-Mail-Nachrichten. | Active Directory, Microsoft Entra ID und Okta |
| Aktivieren | Aktiviert Konten, die zuvor für die ausgewählte Identität deaktiviert wurden, erneut. | Active Directory, Microsoft Entra ID und Okta |
| Sitzung widerrufen | Widerrufen sie die aktive Sitzung einer Identität. | Microsoft Entra ID und Okta |
| Als kompromittiert markieren | Markiert alle Konten, die mit der ausgewählten Identität verknüpft sind, in Microsoft Entra ID als kompromittiert. | Microsoft Entra-ID |
| Kennwort zurücksetzen | Setzen Sie ein Kennwort für ein oder mehrere Konten zurück, die mit der ausgewählten Identität verknüpft sind. Dadurch wird die Identität aufgefordert, ihr Kennwort bei der nächsten Anmeldung zu ändern, um sicherzustellen, dass dieses Konto nicht für weitere Identitätswechselversuche verwendet werden kann. | Active Directory |
| Deaktivieren | Diese Aktion kann verwendet werden, wenn ein nicht legitimes böswilliges Konto erkannt wurde, um das Konto dauerhaft zu deaktivieren. | Okta |
| Festlegen des Kontorisikos auf Hoch/Mittel/Niedrig | Legen Sie die Bewertung des Kontorisikos auf eine der definierten Ebenen fest. Diese Aktion ist nur verfügbar, wenn das Feature "Risikobewertung" aktiviert ist. | Okta |
Abhängig von Ihren Microsoft Entra ID Rollen werden möglicherweise zusätzliche Microsoft Entra ID Aktionen angezeigt, z. B. dass benutzer sich erneut anmelden und ein Benutzer als kompromittiert bestätigt wird. Weitere Informationen finden Sie unter Beheben von Risiken und Aufheben der Blockierung von Benutzern.
Rollen und Berechtigungen
| Wartungsaktion | Active Directory | Microsoft Entra-ID | Okta |
|---|---|---|---|
| Deaktivieren | Weitere Informationen finden Sie unter Erforderliche Berechtigungen in Defender for Identity in Microsoft Defender XDR | Microsoft Entra Rollen: – Globaler Administrator – Benutzeradministrator – Authentifizierungsadministrator – Privilegierter Authentifizierungsadministrator – Verzeichnisautoren |
Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antwort (Verwalten) oder einer der folgenden Microsoft Entra Rollen definiert ist: – Sicherheitsoperator – Sicherheitsadministrator – Globaler Administrator |
| Aktivieren | Weitere Informationen finden Sie unter Erforderliche Berechtigungen in Defender for Identity in Microsoft Defender XDR | Microsoft Entra Rollen: – Globaler Administrator – Benutzeradministrator – Authentifizierungsadministrator – Privilegierter Authentifizierungsadministrator – Verzeichnisautoren |
Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antwort (Verwalten) oder einer der folgenden Microsoft Entra Rollen definiert ist: – Sicherheitsoperator – Sicherheitsadministrator – Globaler Administrator |
| Sitzung widerrufen | N\A | Microsoft Entra Rollen: – Globaler Administrator – Benutzeradministrator – Authentifizierungsadministrator – Privilegierter Authentifizierungsadministrator – Verzeichnisautoren - Helpdeskadministrator |
Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antwort (Verwalten) oder einer der folgenden Microsoft Entra Rollen definiert ist: – Sicherheitsoperator – Sicherheitsadministrator – Globaler Administrator |
| Als kompromittiert markieren | N\A | Microsoft Entra Rollen: – Globaler Administrator -Sicherheitsadministrator – Sicherheitsoperator |
Nicht zutreffend |
| Kennwort zurücksetzen | Weitere Informationen finden Sie unter Erforderliche Berechtigungen in Defender for Identity in Microsoft Defender XDR | N\A | N\A |
| Deaktivieren | N\A | N\A | Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antwort (Verwalten) oder einer der folgenden Microsoft Entra Rollen definiert ist: – Sicherheitsoperator – Sicherheitsadministrator – Globaler Administrator |
| Legen Sie das Identitätsrisiko auf Hoch/Mittel/Niedrig fest. | N\A | N\A | Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antwort (Verwalten) oder eine der folgenden Microsoft Entra Rollen definiert ist: – Sicherheitsoperator – Sicherheitsadministrator – Globaler Administrator |
Hinweis
Es gibt einige Einschränkungen für Microsoft Entra ID, wenn bestimmte Aktionen für andere Rollen ausgeführt werden. Weitere Informationen finden Sie in der Graph-API-Dokumentation.
Verwandte Videos
Korrekturaktionen in Defender for Identity