Funcionamiento de los expertos de Microsoft Defender para permisos XDR
Se aplica a:
Para las investigaciones de incidentes de Expertos de Microsoft Defender para XDR, cuando nuestros expertos necesitan acceso a sus inquilinos, seguimos los principios Just-In-Time y con privilegios mínimos para proporcionar el nivel de acceso adecuado en el momento adecuado. Para cumplir estos requisitos, hemos creado la plataforma de permisos de expertos de Microsoft Defender con las siguientes funcionalidades en Microsoft Entra ID:
- Privilegios de administrador delegados pormenorizadas (GDAP): como parte de la incorporación, aprovisionamos el inquilino de Microsoft Experts como proveedor de servicios en el inquilino para usar la funcionalidad GDAP y obtener el nivel de acceso adecuado para nuestros expertos. Los roles concedidos a nuestros expertos se configuran mediante la asignación de roles entre inquilinos para asegurarse de que solo tienen permisos que se les han concedido explícitamente.
- Directivas de acceso entre inquilinos de Microsoft Entra: para aplicar restricciones en el acceso de nuestros expertos al inquilino, es preciso establecer una confianza entre inquilinos entre nuestros expertos y su inquilino. Para habilitar esta confianza, configuramos una directiva de acceso entre inquilinos en el inquilino como parte de la incorporación. Estas directivas de acceso entre inquilinos se crean con permisos de solo lectura para evitar cualquier interrupción.
- Acceso condicional para usuarios externos: restringemos el acceso de nuestros expertos a los inquilinos desde nuestro entorno seguro mediante dispositivos compatibles con una autenticación multifactor fuerte (MFA). Para aplicar la configuración de confianza configurada en la directiva de acceso entre inquilinos y bloquear el acceso en caso contrario, se configuran estas directivas de acceso condicional en el inquilino.
- Acceso Just-In-Time (JIT): incluso después de permitir que nuestros expertos accedan a su entorno, limitamos su acceso en función de los permisos JIT para la investigación de casos, con una duración limitada para cada rol. Nuestros expertos primero deben solicitar acceso y obtener aprobación en nuestro sistema interno para obtener el rol adecuado en su inquilino. El acceso de nuestros expertos a su inquilino se audita como parte de los registros de inicio de sesión de Microsoft Entra para que pueda revisarlo.
Configuración de permisos en inquilinos de clientes
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Una vez que seleccione los permisos que desea conceder a nuestros expertos, crearemos las siguientes directivas en el inquilino mediante el contexto administrador de seguridad o administrador global:
- Configurar expertos de Microsoft como proveedor de servicios : esta configuración permite a nuestros expertos acceder al entorno de inquilino como colaboradores externos sin necesidad de crear cuentas para ellos.
- Configurar asignaciones de roles para nuestros expertos : esta configuración controla los roles que permiten nuestros expertos en el inquilino. Los roles adecuados se seleccionan durante el proceso de incorporación
- Configurar las opciones de acceso entre inquilinos con MFA y el dispositivo compatible como valores de confianza : esta configuración configura una relación de confianza entre los inquilinos de clientes y expertos de Microsoft en función de MFA y el cumplimiento de dispositivos en el inquilino de Microsoft Experts. Esta directiva se puede encontrar en Microsoft Entra IDExternal IdentitiesCross-tenant access Settings (Configuración de acceso entre inquilinos> de Microsoft Entra ID>) con el nombre Microsoft Experts (Expertos de Microsoft).
- Configurar directivas de acceso condicional : estas directivas restringen a nuestros expertos el acceso solo a su inquilino desde las estaciones de trabajo seguras de Microsoft Experts con la comprobación de MFA. Dos directivas se configuran con la convención de nomenclatura Microsoft Security Experts-policy< name-DO> NOT DELETE.
Estas directivas se configuran durante el proceso de incorporación y requieren que el administrador correspondiente permanezca conectado para completar los pasos. Una vez creadas las directivas anteriores y la configuración de permisos se considera completa, verá una notificación de que la instalación se ha completado.
Vea también
Consideraciones importantes para expertos de Microsoft Defender para XDR
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de