Jaa

Miten Microsoft Defenderin XDR-käyttöoikeuksien asiantuntijat toimivat

  • Artikkeli

Koskee seuraavia:

Microsoft Defenderin asiantuntijoille XDR-tapausten tutkintaa varten, kun asiantuntijamme tarvitsevat pääsyn vuokraajiisi, noudatamme juuri sopivan ja pienintä etuoikeutta koskevia periaatteita tarjotaksemme oikean käyttöoikeustason oikeaan aikaan. Näiden vaatimusten täyttämiseksi rakensimme Microsoft Defender Experts -käyttöoikeusympäristön käyttämällä seuraavia Microsoft Entra ID:n ominaisuuksia:

  • Hajautetut delegoidut järjestelmänvalvojan oikeudet (GDAP): Perehdyttämisen osana valmistelemme Microsoft-asiantuntijoiden vuokraajan vuokraajasi palveluntarjoajaksi, jotta voimme käyttää GDAP-ominaisuutta ja saada oikean käyttöoikeustason asiantuntijoillemme. Asiantuntijoillemme myönnetyt roolit määritetään vuokraajien välisen roolimäärityksen avulla sen varmistamiseksi, että heillä on vain käyttöoikeudet, jotka olet myöntänyt heille eksplisiittisesti.
  • Microsoft Entran vuokraajien väliset käyttöoikeuskäytännöt: Jotta voimme pakottaa rajoituksia asiantuntijoillemme, jotta voimme käyttää vuokraajaasi, meidän on muodostettava vuokraajien välinen luottamus asiantuntijoiden ja vuokraajasi välille. Jos haluat ottaa tämän luottamuksen käyttöön, määritämme vuokraajien välisen käyttöoikeuskäytännön vuokraajassasi osana perehdytystä. Nämä vuokraajienväliset käyttöoikeuskäytännöt luodaan vain luku -käyttöoikeuksilla häiriöiden välttämiseksi.
  • Ulkoisten käyttäjien ehdollinen käyttöoikeus: Rajoitamme asiantuntijoiden pääsyä vuokraajiimme turvallisesta ympäristöstämme käyttämällä yhteensopivia laitteita, joissa on vahva monimenetelmäinen todentaminen (MFA). Jos haluat pakottaa vuokraajien laajuisiin käyttöoikeuskäytäntöihin määritetyt luottamusasetukset ja estää käytön, määritämme nämä ehdolliset käyttöoikeuskäytännöt vuokraajassasi.
  • Just-in-time (JIT) -käyttöoikeus: Vaikka olet sallinut asiantuntijoillemme pääsyn ympäristöösi, heidän käyttöoikeuttaan rajoitetaan JIT-käyttöoikeuksien perusteella tapaustutkimukseen, ja kunkin roolin kesto on rajoitettu. Asiantuntijoittemme on ensin pyydettävä käyttöoikeutta ja saatava hyväksyntä sisäisessä järjestelmässämme, jotta he saavat asianmukaisen roolin vuokraajassasi. Asiantuntijoittemme käyttöoikeuksia vuokraajaan valvotaan osana Microsoft Entran kirjautumislokeja, joita voit tarkastella

Käyttöoikeuksien määrittäminen asiakkaiden vuokraajissa

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Kun valitset käyttöoikeudet, jotka haluat myöntää asiantuntijoillemme, vuokraajasi suojausjärjestelmänvalvojan tai yleisen järjestelmänvalvojan kontekstissa luodaan seuraavat käytännöt:

  • Määritä Microsoft-asiantuntijat palveluntarjoajiksi – Tämän asetuksen avulla asiantuntijamme voivat käyttää vuokraajaympäristöä ulkoisina yhteistyökumppaneina ilman, että sinun tarvitsee luoda tilejä heille.
  • Määritä asiantuntijoillemme roolimääritykset – Tämä asetus määrittää, mitkä roolit asiantuntijoilla on vuokraajassa. Valitset asianmukaiset roolit perehdytysprosessin aikana
  • Määritä vuokraajien väliset käyttöoikeusasetukset monimenetelmäisen todentamisen ja yhteensopivan laitteen kanssa luottamusasetuksina – Tämä asetus määrittää luottamussuhteen asiakkaiden ja Microsoft-asiantuntijoiden vuokraajien välillä monimenetelmäisen todentamisen ja laitteiden yhteensopivuuden perusteella Microsoft Experts -vuokraajassa. Tämä käytäntö löytyy kohdasta Microsoft Entra ID>Ulkoiset käyttäjätiedot>Vuokraajien välinen käyttöasetukset nimellä Microsoft Experts.
  • Määritä ehdolliset käyttöoikeuskäytännöt – Nämä käytännöt rajoittavat asiantuntijoitamme käyttämään vuokraajaasi vain Microsoft-asiantuntijoiden suojatuissa työasemissa MFA-vahvistuksella. Kaksi käytäntöä on määritetty nimeämiskäytännöllä Microsoft Security Experts-policy< name-DO> NOT DELETE.

Nämä käytännöt määritetään perehdytysprosessin aikana, ja ne edellyttävät, että asianmukainen järjestelmänvalvoja pysyy kirjautuneena sisään, jotta vaiheet voidaan suorittaa. Kun edellä mainitut käytännöt on luotu ja käyttöoikeuksien määritys katsotaan valmiiksi, näkyviin tulee ilmoitus siitä, että asennus on valmis.

Tutustu myös seuraaviin ohjeartikkeleihin:

Tärkeitä huomioon otettavia seikkoja Microsoft Defender experts for XDR:lle

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.