Coming soon for Microsoft Defender XDR | Microsoft Defender for Identity: We’re adding to Microsoft Secure Score improvement actions to ensure a more accurate representation of security posture. We will update your score automatically.

[When this will happen:]

Public Preview: We will begin rolling out mid-September 2024 and expect to complete by late September 2024.

General Availability (Worldwide, GCC, GCC High, DoD, USSec, USNat): We will begin rolling out mid-September 2024 and expect to complete by mid-October 2024.

[How this will affect your organization:]

After this rollout, the Defender XDR portal will include these new Microsoft Defender for Identity recommendations as Microsoft Secure Score improvement actions:

• Accounts with non-default Primary Group ID
• Domain Controllers with computer account password unchanged for more than 45 days
• GPO assigns unprivileged identities to local groups with elevated privileges
• GPO can be modified by unprivileged accounts
• GPO contains passwords Group Policy Preferences files
• Built-in Active Directory Guest account is enabled
• Unsafe permissions on the DnsAdmins group
• Ensure that all privileged accounts have the configuration flag “this account is sensitive and cannot be delegated”
• Change password of krbtgt account
• Change password of built-in domain Administrator account

Additionally, we are updating the existing recommendation of “Modify unsecure Kerberos delegations to prevent impersonation” to include indication of Kerberos Constrained Delegation with Protocol Transition to a privileged service.

These new identity recommendations are new security posture reports related to Active Directory and Group policy objects and will be available by default to customers who have installed a Defender for Identity sensor.

These recommendations are on by default.

[What you need to do to prepare:]

We recommend reviewing the improvement actions listed in Microsoft Secure Score. We will continue to add suggested security improvement actions on an ongoing basis.

Learn more: Security posture assessments – Microsoft Defender for Identity | Microsoft Learn (article will be updated before rollout begins)

This rollout will happen automatically by the specified date with no admin action required before the rollout. You may want to notify your admins about this change and update any relevant documentation.

Microsoft Defender XDR の近日公開予定 |Microsoft Defender for Identity: セキュリティ体制をより正確に表現するために、Microsoft セキュリティ スコアの改善アクションを追加しています。スコアは自動的に更新されます。

[これがいつ起こるか:]

パブリック プレビュー: 2024 年 9 月中旬にロールアウトを開始し、2024 年 9 月下旬までに完了する予定です。

一般提供 (全世界、GCC、GCC High、DoD、USSec、USNat): 2024 年 9 月中旬にロールアウトを開始し、2024 年 10 月中旬までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

このロールアウト後、Defender XDR ポータルには、Microsoft Secure Score 改善アクションとして、次の新しい Microsoft Defender for Identity の推奨事項が含まれます。

• デフォルト以外のプライマリグループIDを持つアカウント
• コンピューター アカウントのパスワードが 45 日以上変更されていないドメイン コントローラー
• GPO は、特権のない ID を昇格された特権を持つローカル グループに割り当てます
• GPO は、特権のないアカウントでも変更できます
• GPO には、パスワード、グループ ポリシー、基本設定ファイルが含まれています
• 組み込みの Active Directory ゲスト アカウントが有効になっている
• DnsAdmins グループに対する安全でないアクセス許可
• すべての特権アカウントに構成フラグ “このアカウントは機密性が高く、委任できません” があることを確認します
• krbtgtアカウントのパスワードを変更する
• ビルトインドメイン管理者アカウントのパスワードを変更する

さらに、既存の推奨事項である「偽装を防ぐためにセキュリティで保護されていない Kerberos 委任を変更する」を更新し、特権サービスへのプロトコル移行を伴う Kerberos 制約付き委任の表示を含めています。

これらの新しい ID に関する推奨事項は、Active Directory オブジェクトとグループ ポリシー オブジェクトに関連する新しいセキュリティ体制レポートであり、Defender for Identity センサーをインストールしたお客様が既定で使用できます。

これらの推奨事項はデフォルトでオンになっています。

【準備に必要なこと】

Microsoft Secure Score に記載されている改善アクションを確認することをお勧めします。推奨されるセキュリティ改善アクションは、継続的に追加されていきます。

詳細情報: セキュリティ体制の評価 – Microsoft Defender for Identity |Microsoft Learn (ロールアウト開始前に記事が更新されます)

このロールアウトは、ロールアウト前に管理者の操作を必要とせずに、指定された日付までに自動的に行われます。この変更について管理者に通知し、関連するドキュメントを更新することをお勧めします。