Updated January 6, 2026: We have updated the timeline. Thank you for your patience. 

[Introduction]

We’re introducing a new opt-in feature for automatic event-auditing configuration in Microsoft Defender for Identity unified sensors (v3.x). This enhancement simplifies deployment by automatically applying the required Windows event-auditing settings on sensors, reducing manual post-deployment steps and ensuring consistent policy enforcement across all onboarded sensors.

[When this will happen:]

• General Availability (Worldwide, GCC, GCCH, and DoD): The auditing opt-in feature will be available starting mid-January 2026 (previously early January), with rollout expected to complete by end of January 2026 (previously mid-January). Until then, it will remain disabled in the portal.
• Related auditing health alerts will also roll out gradually starting mid-January 2026 (previously early January), completing by end of January 2026 (previously mid-January).

[How this affects your organization:]

Who is affected: Admins managing Defender for Identity unified sensors (v3.x) in Microsoft 365 tenants.

What will happen:

• A new opt-in setting will be available in both the UI and via Graph API.
• In the UI, this option will appear under Defender for Identity Settings → Advanced features.
• Once enabled, the automatic configuration feature will:
  

  • For new sensor activations: Automatically apply all required Windows event-auditing settings during activation.
  • For existing onboarded sensors: Automatically apply Windows event-auditing settings only if misconfigured and dismiss related health issues.

• After enabling the toggle, the automatic configuration process may take up to 24 hours to apply across all applicable Identity Unified sensors (v3.x).
• This feature is not enabled by default and requires admin action. No changes will occur unless admins choose to enable the feature.

Relevant auditing configurations health issues covered:

• NTLM auditing is not enabled
• Directory Services Advanced Auditing is not enabled as required
• Directory Services Object Auditing is not enabled as required
• Auditing on the Configuration container is not enabled as required
• Auditing on the ADFS container is not enabled as required

[What you can do to prepare:]

No action is required unless you choose to enable the feature.

If you plan to opt in:

• Review your unified sensor deployment strategy.
• Enable the opt-in setting via the UI or Graph API.
• Communicate the change to relevant IT and security teams.
• Update internal documentation if you track auditing configurations.

Learn more:

• Auditing health alerts documentation
• Configure Windows event auditing
• Configure audit policies for Windows event logs

[Compliance considerations:]

No compliance considerations identified, review as appropriate for your organization.

2026年1月6日更新:タイムラインを更新しました。ご辛抱いただきありがとうございます。 

[はじめに]

Microsoft Defender for Identity unified sensors(v3.x)において、自動イベント監査設定のための新しいオプトイン機能を導入します。この強化により、必要なWindowsイベント監査設定をセンサーに自動的に適用し、展開後の手動作業を削減し、すべてのオンボーディングセンサーで一貫したポリシー適用を確保します。

[いつ起こるか:]

• 一般公開(世界、GCC、GCCH、国防総省):監査オプトイン機能は2026年1月中旬(以前は1月初旬)から利用可能で、展開は2026年1月末(以前は1月中旬)までに完了する予定です。それまではポータル内で無効化されたままです。
• 関連する 監査健康警報 も2026年1月中旬(以前は1月初旬)から段階的に展開され、2026年1月末(以前は1月中旬)までに完了します。

[これがあなたの組織にどのような影響を与えるか:]

影響を受ける人物: Microsoft 365テナントで Defender for Identity統一センサー(v3.x) を管理する管理者。

今後の展開:

• UIとGraph APIの両方で新しいオプトイン設定が利用可能になります。
• UIでは、このオプションがDefender for Identity Settings ?高度な機能。
• 一度有効化されると、自動設定機能が以下の通りになります:

  • 新しいセンサーのアクティベーション時には、アクティベーション時に必要なすべてのWindowsイベント監査設定を自動的に適用してください。
  • 既存のオンボーディングセンサーについて:設定ミスがある場合のみWindowsイベント監査設定を適用し、関連する健康問題は除外します。

• トグルを有効にした後、すべての該当する Identity Unified sensors(v3.x)に自動設定が適用されるまでに最大24時間かかることがあります。
• この機能はデフォルトでは有効ではなく、管理者の操作が必要です。管理者がこの機能を有効にしない限り、変更はありません。

関連する監査構成 カバーされる健康問題:

• NTLM監査 は有効になっていません
• ディレクトリサービス 高度な監査 は必要に応じて有効化されていません
• ディレクトリサービスオブジェクト監査 は必要に応じて有効化されていません
• 設定コンテナでの監査 は必要に応じて有効化されていません
• ADFSコンテナでの監査 は必要に応じて有効化されていません

[準備のためにできること:]

機能を有効にすることを選ばない限り、何のアクションも必要ありません。

オプトインを予定している場合:

• 統合センサー展開戦略を見直しましょう。
• UIまたはGraph APIを通じてオプトイン設定を有効にしてください。
• 変更を関連するITおよびセキュリティチームに伝えましょう。
• 監査設定を追跡している場合は内部ドキュメントを更新してください。

詳細情報：

• 健康アラートのドキュメント監査
• Windowsイベント監査の設定
• Windowsイベントログの監査ポリシーを設定する

[コンプライアンス上の考慮事項:]

コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。