Privileged Identity Management (PIM), és miért érdemes használni Office 365-höz készült Microsoft Defender

A Privileged Identity Management (PIM) egy Azure-szolgáltatás, amely korlátozott ideig (más néven időkeretes időszakként) biztosít hozzáférést a felhasználóknak az adatokhoz. A hozzáférés "igény szerint" meg van adva a szükséges művelet végrehajtásához, majd a hozzáférés el lesz távolítva. A PIM korlátozza a felhasználók bizalmas adatokhoz való hozzáférését, ami csökkenti a kockázatot az adatokhoz és más beállításokhoz állandó hozzáféréssel rendelkező hagyományos rendszergazdai fiókokhoz képest. Hogyan használhatjuk ezt a funkciót (PIM) Office 365-höz készült Microsoft Defender?

Tipp

A PIM-hozzáférés szerepkör- és identitásszintre van korlátozva, hogy több feladat is befejeződhessen. Ezzel szemben a Privileged Access Management (PAM) hatóköre a feladat szintjén van korlátozva.

A PIM használatának lépései Office 365-höz készült Defender kapcsolódó feladatokhoz való igényalapú hozzáférés biztosításához

Ha úgy állítja be a PIM-et, hogy az Office 365-höz készült Microsoft Defender működjön, a rendszergazdák létrehoznak egy folyamatot, amellyel a felhasználók kérhetik és igazolhatják a szükséges emelt szintű jogosultságokat.

Ez a cikk egy Alex nevű felhasználó forgatókönyvét használja a biztonsági csapatban. Alex engedélyeit a következő helyzetekre emelhetjük:

• A normál napi műveletek (például veszélyforrás-keresés) engedélyei.
• Ideiglenes magasabb szintű jogosultság a ritkábban előforduló, bizalmas műveletekhez (például a kártékony kézbesítésű e-mailek kijavítása).

Tipp

Bár a cikk az ismertetett forgatókönyv konkrét lépéseit tartalmazza, más engedélyek esetében is elvégezheti ugyanezeket a lépéseket. Ha például egy informatikus napi szintű hozzáférést igényel az elektronikus feltárásban a keresésekhez és az esetmunkához, de időnként emelt szintű engedélyre van szüksége az adatok szervezetből való exportálásához.

1. lépés. Az előfizetéséhez tartozó Azure PIM-konzolon adja hozzá a felhasználót (Alex) az Azure Security Reader szerepkörhöz, és konfigurálja az aktiválással kapcsolatos biztonsági beállításokat.

1. Jelentkezzen be a Microsoft Entra Rendszergazda Központba, és válassza a Microsoft Entra ID>Szerepkörök és rendszergazdák lehetőséget.
2. Válassza a Biztonsági olvasó lehetőséget a szerepkörök listájában, majd a Beállítások>szerkesztése lehetőséget
3. Állítsa az "Aktiválás maximális időtartama (óra)" beállítást normál munkanapra, a "Bekapcsolva" értéket pedig az Azure MFA megköveteléséhez.
4. Mivel Ez Alex normál jogosultsági szintje a mindennapos műveletekhez, törölje az Aktiválási> frissítés indoklásának megkövetelésejelölőnégyzet jelölését.
5. Válassza a Hozzárendelések> hozzáadása: Nincs kijelölt> tag választógombot, vagy írja be a nevet a megfelelő tag kereséséhez.
6. A Kiválasztás gombra kattintva válassza ki a PIM-jogosultságokhoz > hozzáadni kívánt tagot, válassza a Tovább> : Módosítás nélkül lehetőséget a Hozzárendelés hozzáadása lapon (a Hozzárendelés típusa és a Tartósan jogosult időtartam is alapértelmezett) és a Hozzárendelés lehetőséget.

A felhasználó neve (ebben a forgatókönyvben Alex) a jogosult hozzárendelések alatt jelenik meg a következő oldalon. Ez az eredmény azt jelenti, hogy a korábban konfigurált beállításokkal piM-et tudnak létrehozni a szerepkörbe.

Megjegyzés:

A Privileged Identity Management gyors áttekintéséhez tekintse meg ezt a videót.

2. lépés. Létrehozás az egyéb tevékenységekhez szükséges második (emelt szintű) engedélycsoportot, és rendelje hozzá a jogosultságot.

A Privileged Access-csoportok használatával most már létrehozhatunk saját egyéni csoportokat, és egyesíthetjük az engedélyeket, vagy növelhetjük a részletességet, ha szükséges, a szervezeti eljárások és igények kielégítéséhez.

szerepkör vagy szerepkörcsoport Létrehozás a szükséges engedélyekkel

Használja az alábbi módszerek egyikét:

• Létrehozás Email & együttműködési szerepkörcsoportot a Microsoft Defender portálon:

Vagy

• egyéni szerepkör Létrehozás Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlésben (RBAC). További információkért és utasításokért lásd: Microsoft Defender XDR Unified RBAC-modell használatának megkezdése.

Mindkét módszer esetén:

• Használjon leíró nevet (például "Contoso Keresés és Purge PIM").
• Ne vegyen fel tagokat. Adja hozzá a szükséges engedélyeket, mentse, majd folytassa a következő lépésekkel.

emelt szintű engedélyek Létrehozás a biztonsági csoport Microsoft Entra ID

1. Lépjen vissza a Microsoft Entra Rendszergazda Központba, és lépjen a Microsoft Entra ID>Csoportok>Új csoport elemre.
2. Nevezze el a Microsoft Entra csoportot, hogy tükrözze rendeltetését, jelenleg nincs szükség tulajdonosra vagy tagra.
3. Állítsa a csoporthoz hozzárendelhető Microsoft Entra szerepköröketIgen értékre.
4. Ne adjon hozzá szerepköröket, tagokat vagy tulajdonosokat, és hozza létre a csoportot.
5. Vissza a létrehozott csoportba, és válassza a Privileged Identity Management>Enable PIM lehetőséget.
6. A csoportban válassza a Jogosult hozzárendelések Hozzárendelések>>hozzáadása Lehetőséget Adja hozzá azt a felhasználót, akinek szüksége van Keresés & Végleges törlés tagi szerepkörre.
7. Konfigurálja a beállításokat a csoport Privileged Access paneljén. Válassza a Tag szerepkör beállításainak szerkesztése lehetőséget.
8. Módosítsa az aktiválási időt a szervezetének megfelelően. Ebben a példában Microsoft Entra többtényezős hitelesítésre, indoklásra és jegyinformációra van szükség a Frissítés lehetőség kiválasztása előtt.

Az újonnan létrehozott biztonsági csoport beágyazása a szerepkörcsoportba

Megjegyzés:

Erre a lépésre csak akkor van szükség, ha Email & együttműködési szerepkörcsoportot használt Létrehozás a szükséges engedélyekkel rendelkező szerepkörben vagy szerepkörcsoportban. Defender XDR Egyesített RBAC támogatja Microsoft Entra csoportok közvetlen engedély-hozzárendelését, és a PIM-hez tagokat adhat hozzá a csoporthoz.

1. Csatlakozzon a Security & Compliance PowerShellhez , és futtassa a következő parancsot:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

A PIM konfigurációjának tesztelése Office 365-höz készült Defender

1. Jelentkezzen be a tesztfelhasználóval (Alex), akinek jelenleg nincs rendszergazdai hozzáférése a Microsoft Defender portálon.

2. Lépjen a PIM-hez, ahol a felhasználó aktiválhatja a napi biztonsági olvasói szerepkörét.

3. Ha megpróbál törölni egy e-mailt a Threat Explorerrel, hibaüzenet jelenik meg, amely szerint további engedélyekre van szüksége.

4. A PIM-et egy második alkalommal emelt szintű szerepkörbe helyezték, rövid késleltetés után most már probléma nélkül ki kell tudni üríteni az e-maileket.

   

A rendszergazdai szerepkörök és engedélyek végleges hozzárendelése nem felel meg a Teljes felügyelet biztonsági kezdeményezésnek. Ehelyett a PIM-et arra használhatja, hogy igény szerint hozzáférést biztosítson a szükséges eszközökhöz.

Köszönjük Ben Harris ügyfélmérnöknek, hogy hozzáfért a blogbejegyzéshez és a tartalomhoz használt forrásokhoz.