Privileged Identity Management (PIM) i dlaczego należy go używać z Ochrona usługi Office 365 w usłudze Microsoft Defender

Privileged Identity Management (PIM) to funkcja platformy Azure, która zapewnia użytkownikom dostęp do danych przez ograniczony okres czasu (czasami nazywany okresem czasowym). Dostęp jest przyznawany "just in time" w celu podjęcia wymaganej akcji, a następnie dostęp jest usuwany. Usługa PIM ogranicza dostęp użytkowników do poufnych danych, co zmniejsza ryzyko w porównaniu z tradycyjnymi kontami administratorów z trwałym dostępem do danych i innych ustawień. Jak więc można używać tej funkcji (PIM) z Ochrona usługi Office 365 w usłudze Microsoft Defender?

Porada

Dostęp do usługi PIM jest ograniczony do poziomu roli i tożsamości, aby umożliwić ukończenie wielu zadań. Natomiast zarządzanie dostępem uprzywilejowanym (PAM) ma zakres na poziomie zadania.

Procedura udzielania dostępu just in time do Ochrona usługi Office 365 w usłudze Defender powiązanych zadań przy użyciu usługi PIM

Konfigurując usługę PIM do pracy z Ochrona usługi Office 365 w usłudze Microsoft Defender, administratorzy tworzą proces żądania i uzasadniania wymaganych przez użytkownika uprawnień z podwyższonym poziomem uprawnień.

W tym artykule użyto scenariusza dla użytkownika o nazwie Alex w zespole ds. zabezpieczeń. Możemy podnieść uprawnienia Alexa w następujących scenariuszach:

• Uprawnienia do normalnych codziennych operacji (na przykład do wyszukiwania zagrożeń).
• Tymczasowy wyższy poziom uprawnień dla rzadszych, poufnych operacji (na przykład korygowania złośliwych dostarczonych wiadomości e-mail).

Porada

Chociaż artykuł zawiera konkretne kroki dla scenariusza zgodnie z opisem, możesz wykonać te same kroki dla innych uprawnień. Jeśli na przykład proces roboczy informacji wymaga codziennego dostępu w środowisku zbierania elektronicznych materiałów dowodowych do wykonywania wyszukiwania i wykonywania spraw, ale czasami wymaga podwyższonego poziomu uprawnień do eksportowania danych z organizacji.

Krok 1. W konsoli usługi Azure PIM dla subskrypcji dodaj użytkownika (Alex) do roli Czytelnik zabezpieczeń platformy Azure i skonfiguruj ustawienia zabezpieczeń związane z aktywacją.

1. Zaloguj się do centrum Microsoft Entra Administracja i wybierz pozycję Tożsamość Microsoft Entra>Role i administratorzy.
2. Wybierz pozycję Czytelnik zabezpieczeń na liście ról, a następnie pozycję Edytuj ustawienia>
3. Ustaw wartość "Maksymalny czas trwania aktywacji (godziny)" na normalny dzień roboczy i wartość "Po aktywacji", aby wymagać usługi Azure MFA.
4. Ponieważ jest to normalny poziom uprawnień Alexa dla codziennych operacji, usuń zaznaczenie pola Wymagaj uzasadnienia aktualizacji aktywacji>.
5. Wybierz pozycję Dodaj przypisania>Żaden członek nie został wybrany> , lub wpisz nazwę, aby wyszukać prawidłowy element członkowski.
6. Wybierz przycisk Wybierz, aby wybrać członka, który ma zostać dodany dla uprawnień > usługi PIM, wybierz pozycję Dalej>, aby nie wprowadzać żadnych zmian na stronie Dodawanie przypisania (domyślnie są domyślniekwalifikujące się typy przydziałów i czas trwania Kwalifikowane) i Przypisz.

Nazwa użytkownika (Alex w tym scenariuszu) jest wyświetlana w obszarze Kwalifikujące się przypisania na następnej stronie. Ten wynik oznacza, że mogą oni włączyć usługę PIM do roli przy użyciu ustawień skonfigurowanych wcześniej.

Uwaga

Aby uzyskać szybki przegląd Privileged Identity Management zobacz ten film wideo.

Krok 2. Twórca wymaganą drugą (podwyższoną) grupę uprawnień dla innych zadań i przypisz uprawnienia.

Korzystając z grup dostępu uprzywilejowanego , możemy teraz tworzyć własne grupy niestandardowe i łączyć uprawnienia lub zwiększać stopień szczegółowości, jeśli jest to wymagane w celu spełnienia twoich praktyk i potrzeb organizacji.

Twórca roli lub grupy ról z wymaganymi uprawnieniami

Aby to zrobić, należy skorzystać z jednej z następujących metod:

• Twórca grupę ról współpracy Email & w portalu Microsoft Defender:

Lub

• Twórca rolę niestandardową w Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC). Aby uzyskać informacje i instrukcje, zobacz Rozpoczynanie korzystania z Microsoft Defender XDR ujednoliconego modelu RBAC.

Dla jednej z metod:

• Użyj opisowej nazwy (na przykład "Contoso Search and Purge PIM".
• Nie dodaj członków. Dodaj wymagane uprawnienia, zapisz, a następnie przejdź do następnego kroku.

Twórca grupę zabezpieczeń w Tożsamość Microsoft Entra uprawnień z podwyższonym poziomem uprawnień

1. Przejdź z powrotem do centrum Microsoft Entra Administracja i przejdź do obszaru Tożsamość Microsoft Entra>Grupy>Nowa grupa.
2. Nadaj grupie Microsoft Entra nazwę, aby odzwierciedlała jej przeznaczenie. W tej chwili nie są wymagane żadne właściciele ani członkowie.
3. Włącz Microsoft Entra role można przypisać do grupytak.
4. Nie dodaj żadnych ról, członków ani właścicieli, aby utworzyć grupę.
5. Wstecz do utworzonej grupy i wybierz pozycję Privileged Identity Management>Enable PIM.
6. W grupie wybierz pozycję Kwalifikujące się przypisania>Dodaj przypisania> Dodaj użytkownika, który potrzebuje Search & przeczyszczania jako rolę członka.
7. Skonfiguruj ustawienia w okienku Uprzywilejowany dostęp grupy. Wybierz pozycję Edytuj ustawienia roli Członka.
8. Zmień czas aktywacji na odpowiedni dla Twojej organizacji. Ten przykład wymaga Microsoft Entra uwierzytelniania wieloskładnikowego, uzasadnienia i informacji o biletach przed wybraniem pozycji Aktualizuj.

Zagnieżdżanie nowo utworzonej grupy zabezpieczeń w grupie ról

Uwaga

Ten krok jest wymagany tylko wtedy, gdy użyto grupy ról współpracy Email & w Twórca roli lub grupy ról z wymaganymi uprawnieniami. Defender XDR Unified RBAC obsługuje bezpośrednie przypisania uprawnień do Microsoft Entra grup i można dodawać członków do grupy dla usługi PIM.

1. Połącz się z programem PowerShell security & Compliance i uruchom następujące polecenie:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Testowanie konfiguracji usługi PIM przy użyciu Ochrona usługi Office 365 w usłudze Defender

1. Zaloguj się przy użyciu użytkownika testowego (Alex), który w tym momencie nie powinien mieć dostępu administracyjnego w portalu Microsoft Defender.

2. Przejdź do usługi PIM, gdzie użytkownik może aktywować swoją codzienną rolę czytelnika zabezpieczeń.

3. Jeśli spróbujesz przeczyścić wiadomość e-mail przy użyciu Eksploratora zagrożeń, zostanie wyświetlony błąd informujący, że potrzebujesz więcej uprawnień.

4. PiM po raz drugi do roli bardziej podwyższone, po krótkim opóźnieniu powinno być teraz możliwe przeczyszczanie wiadomości e-mail bez problemu.

   

Stałe przypisanie ról i uprawnień administracyjnych nie jest zgodne z inicjatywą zabezpieczeń Zero Trust. Zamiast tego możesz użyć usługi PIM, aby udzielić dostępu just in time do wymaganych narzędzi.

Dziękujemy inżynierowi klienta Benowi Harrisowi za dostęp do wpisu w blogu i zasobów używanych do tej zawartości.