Privileged Identity Management (PIM) a proč ho používat s Microsoft Defender pro Office 365

Privileged Identity Management (PIM) je funkce Azure, která uživatelům poskytuje přístup k datům po omezenou dobu (někdy se označuje jako časové období). Aplikaci Access se pro provedení požadované akce přidělí "za běhu", a pak se přístup odebere. PIM omezuje přístup uživatelů k citlivým datům, což snižuje riziko ve srovnání s tradičními účty správců s trvalým přístupem k datům a dalším nastavením. Jak tedy můžeme tuto funkci (PIM) používat s Microsoft Defender pro Office 365?

Tip

Přístup PIM je vymezený na úroveň role a identity, aby bylo možné dokončit více úloh. Naproti tomu privileged Access Management (PAM) je vymezený na úrovni úlohy.

Postup použití PIM k udělení přístupu za běhu k Defender pro Office 365 souvisejícím úlohám

Nastavením PIM pro práci s Microsoft Defender pro Office 365 správci vytvoří proces, který uživateli umožní požádat a ospravedlnit zvýšená oprávnění, která potřebují.

Tento článek používá scénář pro uživatele Jménem Alex v týmu zabezpečení. Alexova oprávnění můžeme zvýšit v následujících scénářích:

• Oprávnění pro běžné každodenní operace (například proaktivní vyhledávání hrozeb).
• Dočasná vyšší úroveň oprávnění pro méně časté a citlivé operace (například náprava škodlivých doručených e-mailů).

Tip

I když článek obsahuje konkrétní kroky pro scénář, jak je popsáno, můžete stejný postup provést i pro další oprávnění. Například když informační pracovník vyžaduje každodenní přístup v eDiscovery k vyhledávání a práci s případem, ale občas potřebuje zvýšená oprávnění k exportu dat z organizace.

Krok 1. V konzole Azure PIM pro vaše předplatné přidejte uživatele (Alex) do role Čtenář zabezpečení Azure a nakonfigurujte nastavení zabezpečení související s aktivací.

1. Přihlaste se do centra Microsoft Entra Správa a vyberte Microsoft Entra ID>Role a správci.
2. V seznamu rolí vyberte Čtenář zabezpečení a pak Nastavení>Upravit.
3. Nastavte maximální dobu aktivace (hodiny) na běžný pracovní den a při aktivaci, aby se vyžadovalo Azure MFA.
4. Vzhledem k tomu, že se jedná o normální úroveň oprávnění Alexe pro každodenní operace, zrušte zaškrtnutí políčka Vyžadovat odůvodnění při aktivaci>Aktualizace.
5. Vyberte Přidat přiřazení>: Není vybraný> žádný člen, vyberte nebo zadejte jméno a vyhledejte správného člena.
6. Vyberte tlačítko Vybrat a zvolte člena, který potřebujete přidat pro oprávnění > PIM, vyberte Další> neprovést žádné změny na stránce Přidat přiřazení (výchozí nastavení jsou typy přiřazení Nárok a doba trvání Trvale způsobilé ) a Přiřadit.

Jméno uživatele (v tomto scénáři Alex) se zobrazí v části Způsobilá přiřazení na další stránce. Tento výsledek znamená, že se do role můžou připojit pim s nastavením nakonfigurovaným dříve.

Poznámka

Rychlý přehled Privileged Identity Management najdete v tomto videu.

Krok 2. Create požadovanou druhou skupinu oprávnění (se zvýšenými oprávněními) pro jiné úkoly a přiřadit způsobilost.

Pomocí skupin privilegovaného přístupu teď můžeme vytvářet vlastní skupiny a kombinovat oprávnění nebo zvýšit členitost tam, kde je to potřeba pro splnění postupů a potřeb vaší organizace.

Create role nebo skupiny rolí s požadovanými oprávněními

Použijte jednu z následujících metod:

• Create skupiny rolí pro spolupráci Email & na portálu Microsoft Defender:

Nebo

• Create vlastní roli v Microsoft Defender XDR řízení přístupu na základě role (RBAC). Informace a pokyny najdete v tématu Začínáme používat model Microsoft Defender XDR Unified RBAC.

Pro kteroukoli z těchto metod:

• Použijte popisný název (například Contoso Search a Purge PIM).
• Nepřidávejte členy. Přidejte požadovaná oprávnění, uložte je a přejděte k dalšímu kroku.

Create skupiny zabezpečení v Microsoft Entra ID pro zvýšená oprávnění

1. Přejděte zpět do centra Microsoft Entra Správa a přejděte na Microsoft Entra ID>Skupina>Nová skupina.
2. Pojmenujte skupinu Microsoft Entra tak, aby odpovídala jejímu účelu. V současné chvíli nejsou vyžadováni žádní vlastníci ani členové.
3. Turn Microsoft Entra role se dají skupině přiřadit na Ano.
4. Nepřidávejte žádné role, členy ani vlastníky, vytvořte skupinu.
5. Zpět do skupiny, kterou jste vytvořili, a vyberte Privileged Identity Management>Ponít PIM.
6. Ve skupině vyberte Způsobilá přiřazení>Přidat přiřazení>: Přidejte uživatele, který potřebuje Search & vyprázdnit jako roli člena.
7. Nakonfigurujte Nastavení v podokně Privilegovaný přístup skupiny. Zvolte Upravit nastavení pro roli člena.
8. Změňte dobu aktivace tak, aby vyhovovala vaší organizaci. Tento příklad vyžaduje Microsoft Entra informace o vícefaktorovém ověřování, odůvodnění a lístku před výběrem možnosti Aktualizovat.

Vnoření nově vytvořené skupiny zabezpečení do skupiny rolí

Poznámka

Tento krok je povinný jenom v případě, že jste v Create role nebo skupiny rolí s požadovanými oprávněními použili skupinu rolí Email & spolupráci. Defender XDR Unified RBAC podporuje přímá přiřazení oprávnění ke skupinám Microsoft Entra a můžete do skupiny přidat členy pro PIM.

1. Připojte se k PowerShellu security & Compliance a spusťte následující příkaz:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Otestování konfigurace PIM pomocí Defender pro Office 365

1. Přihlaste se pomocí testovacího uživatele (Alex), který by v tuto chvíli neměl mít na portálu Microsoft Defender přístup pro správu.

2. Přejděte na PIM, kde může uživatel aktivovat svoji každodenní roli čtenáře zabezpečení.

3. Pokud se pokusíte vyprázdnit e-mail pomocí Průzkumníka hrozeb, zobrazí se chyba s oznámením, že potřebujete další oprávnění.

4. PiM se podruhé dostanete do vyšší role, po krátké prodlevě byste teď měli být schopni vyprázdnit e-maily bez problémů.

   

Trvalé přiřazení rolí a oprávnění pro správu neodpovídá iniciativě zabezpečení nulová důvěra (Zero Trust). Místo toho můžete pomocí PIM udělit přístup k požadovaným nástrojům za běhu.

Děkujeme zákaznickému inženýru Benu Harrisi za přístup k blogovém příspěvku a zdrojům, které pro tento obsah používáme.