Privileged Identity Management (PIM) e perché usarlo con Microsoft Defender per Office 365
Privileged Identity Management (PIM) è una funzionalità di Azure che consente agli utenti di accedere ai dati per un periodo di tempo limitato (a volte definito periodo di tempo predefinito). Per eseguire l'azione necessaria, viene concesso l'accesso "JUST-in-time" e quindi l'accesso viene rimosso. PIM limita l'accesso degli utenti ai dati sensibili, riducendo i rischi rispetto agli account di amministrazione tradizionali con accesso permanente ai dati e ad altre impostazioni. Quindi, come possiamo usare questa funzionalità (PIM) con Microsoft Defender per Office 365?
Consiglio
L'accesso PIM è limitato al ruolo e al livello di identità per consentire il completamento di più attività. Al contrario, l'ambito di Privileged Access Management (PAM) è a livello di attività.
Passaggi per usare PIM per concedere l'accesso just-in-time alle attività correlate a Defender per Office 365
Configurando PIM per l'uso con Microsoft Defender per Office 365, gli amministratori creano un processo per consentire a un utente di richiedere e giustificare i privilegi elevati necessari.
Questo articolo usa lo scenario per un utente di nome Alex nel team di sicurezza. È possibile elevare le autorizzazioni di Alex per gli scenari seguenti:
- Autorizzazioni per le normali operazioni quotidiane, ad esempio Threat Hunting.
- Un livello di privilegio temporaneo superiore per operazioni meno frequenti e sensibili, ad esempio la correzione di messaggi di posta elettronica recapitati dannosi.
Consiglio
Anche se l'articolo include passaggi specifici per lo scenario come descritto, è possibile eseguire gli stessi passaggi per altre autorizzazioni. Ad esempio, quando un information worker richiede l'accesso quotidiano in eDiscovery per eseguire ricerche e case work, ma occasionalmente necessita delle autorizzazioni elevate per esportare i dati dall'organizzazione.
Passaggio 1. Nella console di Azure PIM relativa al proprio abbonamento, aggiungere l'utente (Alex) al ruolo con autorizzazioni di lettura per la sicurezza di Azure e configurare le impostazioni di sicurezza relative all'attivazione.
- Accedere al Centro Microsoft Entra Amministrazione e selezionare Microsoft Entra ID>Ruoli e amministratori.
- Selezionare Ruolo con autorizzazioni di lettura per la sicurezza dall'elenco dei ruoli, quindi Impostazioni>Modifica
- Impostare 'Activation maximum duration (hours)' su una normale giornata lavorativa e 'On activation' per richiedere 'autenticazione a più fattori di Azure.
- Poiché si tratta del normale livello di privilegio di Alex per le operazioni quotidiane, deselezionare Richiedi giustificazione per l'aggiornamento attivazione>.
- Selezionare Aggiungi assegnazioni>Nessun membro selezionato> selezionare o digitare il nome per cercare il membro corretto.
- Selezionare il pulsante Seleziona per scegliere il membro che è necessario aggiungere per i privilegi > PIM selezionare Avanti> non apportare modifiche nella pagina Aggiungi assegnazione (sia il tipo di assegnazione Idoneo che la durata sono predefiniti) e Assegna.
Il nome dell'utente (Alex in questo scenario) viene visualizzato in Assegnazioni idonee nella pagina successiva. Questo risultato significa che sono in grado di inserire PIM nel ruolo con le impostazioni configurate in precedenza.
Nota
Per una rapida revisione dei Privileged Identity Management, vedere questo video.
Passaggio 2. Create il secondo gruppo di autorizzazioni richiesto (con privilegi elevati) per altre attività e assegnare l'idoneità.
Usando gruppi di Accesso con privilegi è ora possibile creare gruppi personalizzati e combinare le autorizzazioni o aumentare la granularità laddove necessario per soddisfare le procedure e le esigenze dell'organizzazione.
Create un ruolo o un gruppo di ruoli con le autorizzazioni necessarie
utilizzando uno dei metodi seguenti:
Oppure
- Create un ruolo personalizzato in Microsoft Defender XDR controllo degli accessi in base al ruolo unificato. Per informazioni e istruzioni, vedere Iniziare a usare Microsoft Defender XDR modello controllo degli accessi in base al ruolo unificato.
Per entrambi i metodi:
- Usare un nome descrittivo, ad esempio "Contoso Search e Ripulisci PIM".
- Non aggiungere membri. Aggiungere le autorizzazioni necessarie, salvare e quindi passare al passaggio successivo.
Create il gruppo di sicurezza in Microsoft Entra ID per le autorizzazioni con privilegi elevati
- Tornare al centro Microsoft Entra Amministrazione e passare a Microsoft Entra ID>Gruppi>nuovo gruppo.
- Assegnare un nome al gruppo di Microsoft Entra in modo che rifletta lo scopo, al momento non sono necessari proprietari o membri.
- Attivare Microsoft Entra ruoli possono essere assegnati al gruppo su Sì.
- Non aggiungere ruoli, membri o proprietari, creare il gruppo.
- Indietro nel gruppo creato e selezionare Privileged Identity Management>Abilitare PIM.
- All'interno del gruppo selezionare Assegnazioni idonee>Aggiungi assegnazioni> Aggiungere l'utente che ha bisogno di Search & Ripulisci come ruolo membro.
- Configurare la Impostazioni all'interno del riquadro Accesso privilegiato del gruppo. Scegliere di Modificare le impostazioni per il ruolo di Membro.
- Modificare il tempo di attivazione in base all'organizzazione. Questo esempio richiede Microsoft Entra l'autenticazione a più fattori, la giustificazione e le informazioni sui ticket prima di selezionare Aggiorna.
Annidare il gruppo di sicurezza appena creato nel gruppo di ruoli.
Nota
Questo passaggio è necessario solo se è stato usato un gruppo di ruoli di collaborazione Email & in Create un ruolo o un gruppo di ruoli con le autorizzazioni necessarie. Defender XDR controllo degli accessi in base al ruolo unificato supporta le assegnazioni di autorizzazioni dirette ai gruppi Microsoft Entra ed è possibile aggiungere membri al gruppo per PIM.
Connettersi alla Powershell di Sicurezza e conformità ed eseguire il comando seguente:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Testare la configurazione di PIM con Defender per Office 365
Accedere con l'utente di test (Alex), che a questo punto non deve avere accesso amministrativo all'interno del portale di Microsoft Defender.
Passare a PIM, dove l'utente può attivare il ruolo di lettore di sicurezza su base giornaliera.
Se si tenta di eliminare un messaggio di posta elettronica usando Esplora minacce, viene visualizzato un errore che indica che sono necessarie altre autorizzazioni.
PIM una seconda volta nel ruolo con privilegi più elevati, dopo un breve ritardo dovrebbe essere possibile eliminare i messaggi e-mail senza problemi.
L'assegnazione permanente di ruoli amministrativi e autorizzazioni non è allineata all'iniziativa di sicurezza Zero Trust. È invece possibile usare PIM per concedere l'accesso JUST-in-time agli strumenti necessari.
Il nostro ringraziamento al customer engineer Ben Steve per l'accesso al post di blog e alle risorse usate per questo contenuto.