Privileged Identity Management (PIM), og hvorfor du skal bruge den sammen med Microsoft Defender for Office 365
Privileged Identity Management (PIM) er en Azure-funktion, der giver brugerne adgang til data i en begrænset periode (også kaldet en tidsrammet tidsperiode). Adgang tildeles "just-in-time" for at udføre den nødvendige handling, og derefter fjernes adgangen. PIM begrænser brugeradgangen til følsomme data, hvilket reducerer risikoen sammenlignet med traditionelle administratorkonti med permanent adgang til data og andre indstillinger. Så hvordan kan vi bruge denne funktion (PIM) med Microsoft Defender for Office 365?
Tip
PIM-adgang er begrænset til rolle- og identitetsniveauet for at tillade fuldførelse af flere opgaver. I modsætning hertil er PAM (Privileged Access Management) begrænset på opgaveniveau.
Trin til at bruge PIM til at give just-in-time-adgang til Defender for Office 365 relaterede opgaver
Ved at konfigurere PIM til at arbejde med Microsoft Defender for Office 365 opretter administratorer en proces, hvor en bruger kan anmode om og retfærdiggøre de administratorrettigheder, de har brug for.
I denne artikel bruges scenariet for en bruger med navnet Alex i sikkerhedsteamet. Vi kan hæve Alex' tilladelser til følgende scenarier:
- Tilladelser til normale daglige handlinger (f.eks . Threat Hunting).
- Et midlertidigt højere rettighedsniveau for mindre hyppige, følsomme handlinger (f.eks. afhjælpning af ondsindet leveret mail).
Tip
Selvom artiklen indeholder specifikke trin til scenariet som beskrevet, kan du udføre de samme trin for andre tilladelser. Hvis en informationsmedarbejder f.eks. kræver dag-til-dag-adgang i eDiscovery for at kunne udføre søgninger og sagsarbejde, men af og til har brug for administratorrettigheder til at eksportere data fra organisationen.
Trin 1. I Azure PIM-konsollen for dit abonnement skal du føje brugeren (Alex) til rollen Azure Security Reader og konfigurere de sikkerhedsindstillinger, der er relateret til aktivering.
- Log på Microsoft Entra Administration Center, og vælg Microsoft Entra ID>Rolles og administratorer.
- Vælg Sikkerhedslæser på listen over roller og derefter Indstillinger>Rediger
- Angiv 'Maksimal aktiveringsvarighed (timer)' til en normal arbejdsdag og 'Ved aktivering' for at kræve Azure MFA.
- Da dette er Alex' normale rettighedsniveau for daglige handlinger, skal du fjerne markeringen af Kræv berettigelse for aktiveringsopdatering>.
- Vælg Tilføj tildelinger>Der er ikke valgt> et medlem, eller skriv navnet for at søge efter det korrekte medlem.
- Vælg knappen Vælg for at vælge det medlem, du vil tilføje for PIM-rettigheder > , vælg Næste> foretag ingen ændringer på siden Tilføj tildeling (både tildelingstype Berettiget og varighed Permanent berettiget er standard) og Tildel.
Navnet på brugeren (Alex i dette scenarie) vises under Berettigede tildelinger på næste side. Dette resultat betyder, at de kan bruge PIM til rollen med de indstillinger, der er konfigureret tidligere.
Bemærk!
Du kan få en hurtig gennemgang af Privileged Identity Management i denne video.
Trin 2. Create den nødvendige anden tilladelsesgruppe (med administratorrettigheder) for andre opgaver og tildele berettigelse.
Ved hjælp af privilegerede adgangsgrupper kan vi nu oprette vores egne brugerdefinerede grupper og kombinere tilladelser eller øge granulariteten, hvor det er nødvendigt for at opfylde dine organisatoriske fremgangsmåder og behov.
Create en rolle eller rollegruppe med de nødvendige tilladelser
Brug en af følgende metoder:
Eller
- Create en brugerdefineret rolle i Microsoft Defender XDR RBAC (Unified Role Based Access Control). Du kan finde oplysninger og instruktioner under Begynd at bruge Microsoft Defender XDR Unified RBAC-model.
For begge metoder:
- Brug et beskrivende navn (f.eks. 'Contoso Søg og Fjern PIM').
- Tilføj ikke medlemmer. Tilføj de nødvendige tilladelser, gem, og gå derefter til næste trin.
Create sikkerhedsgruppen i Microsoft Entra ID for administratorrettigheder
- Gå tilbage til Microsoft Entra Administration Center, og naviger til Microsoft Entra ID>Grupper>Ny gruppe.
- Navngiv din Microsoft Entra gruppe, så den afspejler formålet. Der kræves ingen ejere eller medlemmer lige nu.
- Slå Microsoft Entra roller kan tildeles til gruppen til Ja.
- Tilføj ikke nogen roller, medlemmer eller ejere, opret gruppen.
- Gå tilbage til den gruppe, du har oprettet, og vælg Privileged Identity Management>Enable PIM.
- I gruppen skal du vælge Berettigede tildelinger>Tilføj tildelinger> Tilføj den bruger, der skal bruge Søg & Tøm som medlem.
- Konfigurer Indstillinger i gruppens rude privilegeret adgang. Vælg at redigere indstillingerne for rollen medlem.
- Skift aktiveringstiden, så den passer til din organisation. Dette eksempel kræver Microsoft Entra multifaktorgodkendelse, begrundelse og billetoplysninger, før du vælger Opdater.
Indlejrer den nyoprettede sikkerhedsgruppe i rollegruppen
Bemærk!
Dette trin er kun påkrævet, hvis du har brugt en mail & rollegruppe for samarbejde i Create en rolle eller rollegruppe med de nødvendige tilladelser. Defender XDR Unified RBAC understøtter tildeling af direkte tilladelser til Microsoft Entra grupper, og du kan føje medlemmer til gruppen for PIM.
Opret forbindelse til Security & Compliance PowerShell , og kør følgende kommando:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Test din konfiguration af PIM med Defender for Office 365
Log på med testbrugeren (Alex), som på nuværende tidspunkt ikke skal have administrativ adgang på Microsoft Defender-portalen.
Gå til PIM, hvor brugeren kan aktivere sin daglige sikkerhedslæserrolle.
Hvis du forsøger at fjerne en mail ved hjælp af Threat Explorer, får du vist en fejl, der angiver, at du har brug for flere tilladelser.
PIM en anden gang ind i den mere forhøjede rolle, efter en kort forsinkelse bør du nu være i stand til at rense e-mails uden problem.
Permanent tildeling af administrative roller og tilladelser stemmer ikke overens med Nul tillid sikkerhedsinitiativet. Du kan i stedet bruge PIM til at give just-in-time-adgang til de påkrævede værktøjer.
Vores tak til Kundetekniker Ben Harris for adgang til blogindlægget og ressourcer, der bruges til dette indhold.