[Introduction]

We’re introducing a new opt-in feature for automatic event-auditing configuration in Defender for Identity unified sensors (V3.x). This enhancement simplifies deployment by allowing admins to automatically apply the required Windows event-auditing settings on their sensors. It reduces manual post-deployment steps and ensures consistent policy enforcement across all onboarded sensors.

[When this will happen:]

General Availability (Worldwide, GCC, GCCH, and DoD): The auditing opt-in feature will be available starting mid-Nov 2025, with rollout expected to complete within the same timeframe.

General Availability (Worldwide, GCC, GCCH, and DoD): The related auditing health alerts will be released gradually by mid-December 2025.

[How this affects your organization:]

Who is affected:
Admins managing Defender for Identity unified sensors (V3.x) in Microsoft 365 tenants.

What will happen:

• A new opt-in setting will be available in both the UI and via Graph API.
• In the UI, this option will appear under Defender for Identity Settings → Advanced features.
• Once enabled, the automatic configuration feature will:
  • For new sensor activations: automatically apply all required Windows event-auditing settings during activation.
  • For existing onboarded sensors: automatically apply auditing settings only if misconfigured, and dismiss the related health issues.
• The opt-in applies to all unified sensors in the tenant.
• This feature is not enabled by default and requires admin action.
• No changes will occur unless admins choose to enable the feature.

• NTLM auditing is not enabled
• Directory Services Advanced Auditing is not enabled as required
• Directory Services Object Auditing is not enabled as required
• Auditing on the Configuration container is not enabled as required
• Auditing on the ADFS container is not enabled as required

[What you can do to prepare:]

No action is required unless you choose to enable the feature.

If you plan to opt in:

• Review your unified sensor deployment strategy.
• Enable the opt-in setting via the UI or Graph API.
• Communicate the change to relevant IT and security teams.
• Update internal documentation if you track auditing configurations.

To review the required auditing configurations for Defender for Identity unified sensors (V3.x)

For details about the relevant auditing health issues

[Compliance considerations:]

No compliance considerations identified, review as appropriate for your organization.

[はじめに]

Defender for Identity統合センサー(V3.x)において、自動イベント監査設定のための新しいオプトイン機能を導入します。この機能により、管理者がセンサーに必要なWindowsイベント監査設定を自動的に適用できるため、展開が簡素化されます。これにより、導入後の手動作業が削減され、すべてのオンボーディングセンサーで一貫したポリシー執行が保証されます。

[いつ起こるか:]

一般公開(世界、GCC、GCCH、国防総省): 監査のオプトイン機能は 2025年11月中旬から利用可能で、同じ期間内に展開が完了する見込みです。

一般公開(世界、GCC、GCCH、国防総省):  関連する監査健康アラート は2025年12月中旬までに段階的に公開されます。

[これがあなたの組織にどのような影響を与えるか:]

影響を受ける人物:
Microsoft 365テナントでDefender for Identity統一センサー(V3.x)を管理する管理者。

今後の展開:

• 新しいオプトイン設定がUIとGraph APIの両方で利用可能になります。
• UIでは、このオプションがDefender for Identity Settings ?高度な機能。
• 一度有効化されると、自動設定機能が以下の通りになります:
  • 新しいセンサーのアクティベーションでは、アクティベーション時に必要なWindowsイベント監査設定を自動的に適用します。
  • 既存のオンボーディングセンサーについては、誤設定時のみ監査設定を適用し、関連する健康問題は除外します。
• オプトインはテナント内の すべての統一センサー に適用されます。
• この機能はデフォルトでは有効ではなく、管理者の操作が必要です。
• 管理者がこの機能を有効にしない限り、変更はありません。

• NTLM監査は有効になっていません
• ディレクトリサービス 高度な監査は必要に応じて有効化されていません
• ディレクトリサービスオブジェクト監査は必要に応じて有効化されていません
• 設定コンテナでの監査は必要に応じて有効化されていません
• ADFSコンテナでの監査は必要に応じて有効化されていません

[準備のためにできること:]

機能を有効にすることを選ばない限り、何のアクションも必要ありません。

オプトインを予定している場合:

• 統合センサー展開戦略を見直しましょう。
• UIまたはGraph APIで オプトイン 設定を有効にしてください。
• 変更を関連するITおよびセキュリティチームに伝えましょう。
• 監査設定を追跡している場合は内部ドキュメントを更新してください。

Defender for Identity統合センサー(V3.x)の必要な監査構成を確認するため

関連する監査の健康 問題についての詳細はこちらです

[コンプライアンス上の考慮事項:]

コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。