إدارة الهويات المتميزة (PIM) ولماذا تستخدمه مع Microsoft Defender لـ Office 365

إدارة الهويات المتميزة (PIM) هي ميزة Azure تمنح المستخدمين حق الوصول إلى البيانات لفترة زمنية محدودة (تسمى أحيانا فترة زمنية محددة زمنيا). يتم منح الوصول "في الوقت المناسب" لاتخاذ الإجراء المطلوب، ثم تتم إزالة الوصول. يحد PIM من وصول المستخدم إلى البيانات الحساسة، ما يقلل من المخاطر مقارنة بحسابات المسؤولين التقليدية مع الوصول الدائم إلى البيانات والإعدادات الأخرى. لذلك، كيف يمكننا استخدام هذه الميزة (PIM) مع Microsoft Defender لـ Office 365؟

تلميح

يتم تحديد نطاق الوصول إلى PIM إلى مستوى الدور والهوية للسماح بإكمال مهام متعددة. في المقابل، يتم تحديد نطاق إدارة الوصول المتميز (PAM) على مستوى المهمة.

خطوات استخدام إدارة الهويات المتميزة لمنح حق الوصول في الوقت المناسب إلى Defender لـ Office 365 المهام ذات الصلة

من خلال إعداد إدارة الهويات المتميزة للعمل مع Microsoft Defender لـ Office 365، يقوم المسؤولون بإنشاء عملية للمستخدم لطلب الامتيازات المرتفعة التي يحتاجونها وتبريرها.

تستخدم هذه المقالة السيناريو لمستخدم يسمى Alex في فريق الأمان. يمكننا رفع أذونات Alex للسيناريوهات التالية:

• أذونات العمليات اليومية العادية (على سبيل المثال، تتبع التهديدات).
• مستوى امتياز مؤقت أعلى لعمليات أقل تكرارا وحساسة (على سبيل المثال، معالجة البريد الإلكتروني الضار الذي تم تسليمه).

تلميح

على الرغم من أن المقالة تتضمن خطوات محددة للسيناريو كما هو موضح، يمكنك القيام بنفس الخطوات للأذونات الأخرى. على سبيل المثال، عندما يتطلب عامل المعلومات الوصول اليومي في eDiscovery لإجراء عمليات البحث وعمل الحالة، ولكنه يحتاج أحيانا إلى أذونات مرتفعة لتصدير البيانات من المؤسسة.

الخطوة 1. في وحدة تحكم Azure PIM لاشتراكك، أضف المستخدم (Alex) إلى دور Azure Security Reader وقم بتكوين إعدادات الأمان المتعلقة بالتنشيط.

1. سجل الدخول إلى مركز Microsoft Entra مسؤول وحدد Microsoft Entra ID>Roles والمسؤولين.
2. حدد قارئ الأمان في قائمة الأدوار ثم الإعدادات>تحرير
3. قم بتعيين "الحد الأقصى لمدة التنشيط (ساعات)" إلى يوم عمل عادي و"عند التنشيط" لطلب Azure MFA.
4. نظرا لأن هذا هو مستوى الامتياز العادي ل Alex للعمليات اليومية، فقم بإلغاء تحديد طلب التبرير على تحديث التنشيط>.
5. حدد Add Assignments>No member selected> أو اكتب الاسم للبحث عن العضو الصحيح.
6. حدد الزر تحديد لاختيار العضو الذي تحتاج إلى إضافته لامتيازات > PIM، حدد التالي> لا يتم إجراء أي تغييرات على صفحة إضافة تعيين (كل من نوع التعيين مؤهل والمدة المؤهلة بشكل دائم افتراضيان) وتعيين.

يظهر اسم المستخدم (Alex في هذا السيناريو) ضمن التعيينات المؤهلة في الصفحة التالية. تعني هذه النتيجة أنهم قادرون على إدارة الهويات المتميزة (PIM) في الدور مع الإعدادات التي تم تكوينها مسبقا.

ملاحظة

للحصول على مراجعة سريعة إدارة الهويات المتميزة راجع هذا الفيديو.

الخطوة 2. الإنشاء مجموعة الأذونات الثانية (المرتفعة) المطلوبة للمهام الأخرى وتعيين الأهلية.

باستخدام مجموعات الوصول المتميز ، يمكننا الآن إنشاء مجموعات مخصصة خاصة بنا ودمج الأذونات أو زيادة الدقة عند الحاجة لتلبية ممارساتك واحتياجاتك التنظيمية.

الإنشاء دور أو مجموعة دور بالأذونات المطلوبة

استخدم إحدى الطرق التالية:

• الإنشاء مجموعة دور التعاون & البريد الإلكتروني في مدخل Microsoft Defender:

او

• الإنشاء دورا مخصصا في التحكم في الوصول المستند إلى الدور الموحد (RBAC) Microsoft Defender XDR. للحصول على المعلومات والإرشادات، راجع البدء في استخدام نموذج التحكم في الوصول استنادا إلى الدور الموحد Microsoft Defender XDR.

لأي من الأسلوبين:

• استخدم اسما وصفيا (على سبيل المثال، "Contoso البحث و Purge PIM").
• لا تقم بإضافة أعضاء. أضف الأذونات المطلوبة، واحفظها، ثم انتقل إلى الخطوة التالية.

الإنشاء مجموعة الأمان في Microsoft Entra ID للحصول على أذونات مرتفعة

1. استعرض للخلف إلى مركز Microsoft Entra مسؤول وانتقل إلى Microsoft Entra ID>Groups>New Group.
2. قم بتسمية مجموعتك Microsoft Entra لتعكس الغرض منها، ولا يلزم وجود مالكين أو أعضاء في الوقت الحالي.
3. يمكن تعيين أدوار Microsoft Entra للمجموعة إلى نعم.
4. لا تقم بإضافة أي أدوار أو أعضاء أو مالكين، قم بإنشاء المجموعة.
5. ارجع إلى المجموعة التي أنشأتها، وحدد إدارة الهويات المتميزة>Enable PIM.
6. ضمن المجموعة، حدد التعيينات المؤهلة>إضافة تعيينات> إضافة المستخدم الذي يحتاج إلى البحث & إزالة كدور عضو.
7. تكوين الإعدادات داخل جزء الوصول المتميز للمجموعة. اختر تحرير إعدادات دور العضو.
8. قم بتغيير وقت التنشيط ليناسب مؤسستك. يتطلب هذا المثال Microsoft Entra معلومات المصادقة والتبريروالتذاكرمتعددة العوامل قبل تحديد Update.

تداخل مجموعة الأمان التي تم إنشاؤها حديثا في مجموعة الأدوار

ملاحظة

هذه الخطوة مطلوبة فقط إذا استخدمت مجموعة دور التعاون & البريد الإلكتروني في الإنشاء دور أو مجموعة دور بالأذونات المطلوبة. يدعم Defender XDR Unified RBAC تعيينات الأذونات المباشرة لمجموعات Microsoft Entra، ويمكنك إضافة أعضاء إلى المجموعة ل PIM.

1. اتصل ب Security & Compliance PowerShell وقم بتشغيل الأمر التالي:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

اختبر تكوين إدارة الهويات المتميزة (PIM) باستخدام Defender لـ Office 365

1. سجل الدخول باستخدام مستخدم الاختبار (Alex)، الذي يجب ألا يكون لديه حق الوصول الإداري داخل مدخل Microsoft Defender في هذه المرحلة.

2. انتقل إلى PIM، حيث يمكن للمستخدم تنشيط دور قارئ الأمان اليومي.

3. إذا حاولت إزالة بريد إلكتروني باستخدام مستكشف التهديدات، فستتلقى رسالة خطأ تفيد بأنك بحاجة إلى المزيد من الأذونات.

4. PIM مرة ثانية في دور أكثر ارتفاعا، بعد تأخير قصير يجب أن تكون الآن قادرا على إزالة رسائل البريد الإلكتروني دون مشكلة.

   

لا يتوافق التعيين الدائم للأدوار والأذونات الإدارية مع مبادرة الأمان ثقة معدومة. بدلا من ذلك، يمكنك استخدام PIM لمنح الوصول في الوقت المناسب إلى الأدوات المطلوبة.

نشكر مهندس العملاء بن هاريس على الوصول إلى منشور المدونة والموارد المستخدمة لهذا المحتوى.