Automatic Windows-Ereignis-Überwachungskonfigurationsverfügbarkeit für einheitliche Sensoren (V3.x)

[Introduction]

Wir führen eine neue Opt-in-Funktion für die automatische Ereignisüberwachungs-Konfiguration in Microsoft Defender for Identity Unified Sensors (v3.x) ein. Diese Verbesserung vereinfacht die Bereitstellung, indem die erforderlichen Windows-Ereignisüberwachungseinstellungen automatisch auf den Sensoren angewendet werden. Dadurch werden manuelle Nachbereitungen reduziert und eine konsistente Durchsetzung der Richtlinien auf allen angebundenen Sensoren sichergestellt.

[Zeitpunkt der Umsetzung]

• Allgemeine Verfügbarkeit (weltweit, GCC, GCCH und DoD): Die Opt-in-Funktion für die Überwachung wird ab Mitte Januar 2026 (zuvor Anfang Januar) verfügbar sein, der Rollout soll bis Ende Januar 2026 (zuvor Mitte Januar) abgeschlossen sein. Bis dahin bleibt die Funktion im Portal deaktiviert.
• Zugehörige Überwachungs-Gesundheitswarnungen werden ebenfalls schrittweise ab Mitte Januar 2026 (zuvor Anfang Januar) ausgerollt und bis Ende Januar 2026 (zuvor Mitte Januar) abgeschlossen sein.

[Auswirkungen auf Ihre Organisation]

Betroffene: Administratoren, die Defender for Identity Unified Sensors (v3.x) in Microsoft 365-Mandanten verwalten.

Was passiert:

• Eine neue Opt-in-Einstellung wird sowohl in der Benutzeroberfläche (UI) als auch über die Graph API verfügbar sein.
• In der UI erscheint die Option unter Defender for Identity Settings → Erweiterte Funktionen.
• Nach Aktivierung konfiguriert die automatische Funktion:
  • Bei neuen Sensoraktivierungen: Automatische Anwendung aller erforderlichen Windows-Ereignisüberwachungseinstellungen während der Aktivierung.
  • Bei bereits angebundenen Sensoren: Automatische Anwendung der Windows-Ereignisüberwachungseinstellungen nur wenn Fehlkonfigurationen vorliegen, und automatische Behebung zugehöriger Gesundheitsprobleme.
• Nach Aktivierung kann der automatische Konfigurationsprozess bis zu 24 Stunden benötigen, um auf alle betroffenen Identity Unified Sensors (v3.x) angewendet zu werden.
• Die Funktion ist standardmäßig nicht aktiviert und erfordert eine Administratoraktion. Es erfolgen keine Änderungen, sofern Administratoren die Funktion nicht aktivieren.

Abgedeckte relevante Überwachungskonfigurations-Gesundheitsprobleme:

• NTLM-Überwachung ist nicht aktiviert
• Directory Services Advanced Auditing ist nicht wie erforderlich aktiviert
• Directory Services Object Auditing ist nicht wie erforderlich aktiviert
• Überwachung im Configuration-Container ist nicht wie erforderlich aktiviert
• Überwachung im ADFS-Container ist nicht wie erforderlich aktiviert

[Vorbereitungsmöglichkeiten]

Es sind keine Maßnahmen erforderlich, es sei denn, Sie möchten die Funktion aktivieren.

Wenn Sie die Opt-in-Funktion nutzen möchten:

• Überprüfen Sie Ihre Bereitstellungsstrategie für Unified Sensors.
• Aktivieren Sie die Opt-in-Einstellung über die UI oder die Graph API.
• Kommunizieren Sie die Änderung an die zuständigen IT- und Sicherheitsteams.
• Aktualisieren Sie interne Dokumentationen, sofern Sie Überwachungskonfigurationen nachverfolgen.

Erfahren Sie mehr:

• Dokumentation zu Überwachungs-Gesundheitswarnungen
• Windows-Ereignisüberwachung konfigurieren
• Überwachungsrichtlinien für Windows-Ereignisprotokolle konfigurieren

[Compliance-Überlegungen]

Es wurden keine Compliance-Bedenken festgestellt; bitte prüfen Sie dies entsprechend den Anforderungen Ihrer Organisation.