Privileged Identity Management (PIM) y por qué usarlo con Microsoft Defender para Office 365

Privileged Identity Management (PIM) es una característica de Azure que proporciona a los usuarios acceso a los datos durante un período de tiempo limitado (a veces denominado período de tiempo establecido). El acceso se da "Just-In-Time" para realizar la acción necesaria y, a continuación, se quita el acceso. PIM limita el acceso de los usuarios a datos confidenciales, lo que reduce el riesgo en comparación con las cuentas de administrador tradicionales con acceso permanente a los datos y otras configuraciones. Por lo tanto, ¿cómo podemos usar esta característica (PIM) con Microsoft Defender para Office 365?

Sugerencia

El acceso de PIM se limita al nivel de rol e identidad para permitir la realización de varias tareas. Por el contrario, Privileged Access Management (PAM) se limita al nivel de tarea.

Pasos para usar PIM para conceder acceso just-In-Time a las tareas relacionadas con Defender para Office 365

Al configurar PIM para que funcione con Microsoft Defender para Office 365, los administradores crean un proceso para que un usuario solicite y justifique los privilegios elevados que necesita.

En este artículo se usa el escenario para un usuario llamado Alex en el equipo de seguridad. Podemos elevar los permisos de Alex para los siguientes escenarios:

• Permisos para operaciones diarias normales (por ejemplo, búsqueda de amenazas).
• Un nivel de privilegios más alto temporal para operaciones menos frecuentes y confidenciales (por ejemplo, corregir el correo electrónico entregado malintencionado).

Sugerencia

Aunque el artículo incluye pasos específicos para el escenario tal como se describe, puede realizar los mismos pasos para otros permisos. Por ejemplo, cuando un trabajador de la información requiere acceso diario en eDiscovery para realizar búsquedas y casos de trabajo, pero en ocasiones necesita los permisos elevados para exportar datos de la organización.

Paso 1. En la consola de Azure PIM de la suscripción, agregue al usuario (Alex) al rol lector de seguridad de Azure y configure las opciones de seguridad relacionadas con la activación.

1. Inicie sesión en el Centro de Microsoft Entra Administración y seleccione Microsoft Entra ID>Roles y administradores.
2. Seleccione Lector de seguridad en la lista de roles y, a continuación,Editar>Configuración
3. Establezca la "duración máxima de activación (horas)" a un día laborable normal y "Al activar" para requerir Azure MFA.
4. Dado que este es el nivel de privilegios normal de Alex para las operaciones diarias, desactive Requerir justificación en laactualización de activación>.
5. Seleccione Agregar asignaciones>Sin miembro seleccionado> o escriba el nombre para buscar el miembro correcto.
6. Seleccione el botón Seleccionar para elegir el miembro que necesita agregar para los privilegios > de PIM, seleccione Siguiente> no realizar ningún cambio en la página Agregar asignación (tanto el tipo de asignación Apto como la duración Apto permanentemente son valores predeterminados) y Asignar.

El nombre del usuario (Alex en este escenario) aparece en Asignaciones aptas en la página siguiente. Este resultado significa que pueden usar PIM en el rol con la configuración configurada anteriormente.

Nota:

Para una revisión rápida de Privileged Identity Management vea este vídeo.

Paso 2. Create el segundo grupo de permisos necesario (con privilegios elevados) para otras tareas y asigne la idoneidad.

Con los Grupos de acceso con privilegios, ya se pueden crear grupos personalizados y combinar permisos o aumentar la granularidad cuando sea necesario para satisfacer las prácticas y necesidades de la organización.

Create un rol o grupo de roles con los permisos necesarios

Utilice uno de los métodos siguientes:

• Create un grupo de roles de colaboración Email & en el portal de Microsoft Defender:

O bien,

• Create un rol personalizado en Microsoft Defender XDR control de acceso basado en rol unificado (RBAC). Para obtener información e instrucciones, consulte Empezar a usar Microsoft Defender XDR modelo de RBAC unificado.

Para cualquiera de los métodos:

• Use un nombre descriptivo (por ejemplo, "Contoso Búsqueda y Purgar PIM").
• No agregue miembros. Agregue los permisos necesarios, guarde y, a continuación, vaya al paso siguiente.

Create el grupo de seguridad de Microsoft Entra ID para permisos elevados

1. Vuelva al Centro de Microsoft Entra Administración y vaya a Microsoft Entra ID>Grupos>nuevo grupo.
2. Asigne un nombre al grupo de Microsoft Entra para que refleje su propósito, no se requiere propietarios ni miembros en este momento.
3. Turn Microsoft Entra roles se pueden asignar al grupo a Sí.
4. No agregue roles, miembros ni propietarios, cree el grupo.
5. Volver en el grupo que creó y seleccione Privileged Identity Management>Enable PIM.
6. En el grupo, seleccione Asignaciones aptas>Agregar asignaciones> Agregue el usuario que necesita Búsqueda & Purgar como rol de miembro.
7. Configure laConfiguración en el panel Acceso con privilegios del grupo. Elija Editar la configuración del rol de miembro.
8. Cambie el tiempo de activación para adaptarlo a su organización. En este ejemplo se requiere Microsoft Entra información de autenticación, justificación y valemultifactor antes de seleccionar Actualizar.

Anide el grupo de seguridad recién creado en el grupo de roles

Nota:

Este paso solo es necesario si ha usado un grupo de roles de colaboración Email & en Create un rol o grupo de roles con los permisos necesarios. Defender XDR Unified RBAC admite asignaciones de permisos directos a grupos de Microsoft Entra y puede agregar miembros al grupo para PIM.

1. Conéctese a Security & Compliance de PowerShell y ejecute el siguiente comando:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Probar la configuración de PIM con Defender para Office 365

1. Inicie sesión con el usuario de prueba (Alex), que no debe tener acceso administrativo en el portal de Microsoft Defender en este momento.

2. Vaya a PIM, donde el usuario puede activar su rol de lector de seguridad diario.

3. Si intenta purgar un correo electrónico mediante el Explorador de amenazas, recibirá un error que indica que necesita más permisos.

4. Utilice PIM una segunda vez en el rol más elevado. Tras un breve retraso, ahora debería poder purgar los correos electrónicos sin problemas.

   

La asignación permanente de roles administrativos y permisos no se alinea con la iniciativa de seguridad de Confianza cero. En su lugar, puede usar PIM para conceder acceso Just-In-Time a las herramientas necesarias.

Expresamos nuestros agradecimientos al ingeniero de clientes Ben Harris por el acceso a la entrada de blog y a los recursos usados para este contenido.