다음을 통해 공유

PIM(Privileged Identity Management) 및 Office 365용 Microsoft Defender와 함께 사용해야 하는 이유

  • 아티클

PIM(Privileged Identity Management)은 사용자에게 제한된 기간(시간 박스형 기간이라고도 함)에 대한 데이터에 대한 액세스를 제공하는 Azure 기능입니다. 필요한 작업을 수행하려면 액세스가 'Just-In-Time'으로 제공된 다음 액세스가 제거됩니다. PIM은 중요한 데이터에 대한 사용자 액세스를 제한하여 데이터 및 기타 설정에 영구적으로 액세스할 수 있는 기존 관리자 계정에 비해 위험을 줄입니다. 그렇다면 이 기능(PIM)을 Office 365용 Microsoft Defender 어떻게 사용할 수 있을까요?

PIM 액세스는 여러 작업을 완료할 수 있도록 역할 및 ID 수준으로 범위가 지정됩니다. 반면 PAM(Privileged Access Management)은 작업 수준에서 범위가 지정됩니다.

관리자는 Office 365용 Microsoft Defender 작동하도록 PIM을 설정하여 사용자가 필요한 상승된 권한을 요청하고 정당화할 수 있는 프로세스를 만듭니다.

이 문서에서는 보안 팀의 Alex라는 사용자에 대한 시나리오를 사용합니다. 다음 시나리오에 대해 Alex의 권한을 상승시킬 수 있습니다.

문서에는 설명된 대로 시나리오에 대한 특정 단계가 포함되어 있지만 다른 권한에 대해 동일한 단계를 수행할 수 있습니다. 예를 들어 정보 작업자가 검색 및 사례 작업을 수행하기 위해 eDiscovery에서 일상적인 액세스가 필요하지만 organization 데이터를 내보내기 위해 상승된 권한이 필요한 경우가 있습니다.

1단계. 구독에 대한 Azure PIM 콘솔에서 사용자(Alex)를 Azure 보안 리더 역할에 추가하고 활성화와 관련된 보안 설정을 구성합니다.

  1. Microsoft Entra 관리 센터에 로그인하고 Microsoft Entra ID>등록 및 관리자를 선택합니다.
  2. 역할 목록에서 보안 리더를 선택한 다음 설정>편집을 선택합니다.
  3. '활성화 최대 기간(시간)'을 정상 근무일로 설정하고 '활성화 시'에 Azure MFA를 요구하도록 설정합니다.
  4. 일상적인 작업에 대한 Alex의 정상적인 권한 수준이기 때문에 활성화 >업데이트에 대한 근거 필요를 선택 취소합니다.
  5. 할당 추가 구성원>이 선택되지 않음을> 선택하거나 이름을 입력하여 올바른 멤버를 검색합니다.
  6. 선택 단추를 선택하여 PIM 권한 > 에 대해 추가해야 하는 멤버를 선택합니다. 할당 추가 페이지에서 다음>을 변경하지 않음(할당 유형 적격영구 적격 기간 모두 기본값임) 및 할당을 선택합니다.

사용자의 이름(이 시나리오에서는 Alex)이 다음 페이지의 적격 할당 아래에 표시됩니다. 이 결과는 이전에 구성된 설정을 사용하여 역할에 PIM을 적용할 수 있음을 의미합니다.

참고

Privileged Identity Management에 대한 간략한 검토는 이 동영상을 참조하세요.

역할 설정 세부 정보 - 보안 읽기 권한자 페이지

2단계. 다른 작업에 필요한 두 번째(상승된) 권한 그룹을 Create 자격을 할당합니다.

권한 있는 액세스 그룹을 사용하여 이제 자체 사용자 지정 그룹을 만들고 권한을 결합하거나 조직의 관행 및 요구 사항을 충족하는 데 필요한 세분성을 높일 수 있습니다.

필요한 권한이 있는 역할 또는 역할 그룹 Create

다음 방법 중 하나를 사용합니다.

또는

두 방법 중 하나에 대해 다음을 수행합니다.

  • 설명이 포함된 이름(예: 'Contoso Search 및 PIM 제거')을 사용합니다.
  • 멤버를 추가하지 마세요. 필요한 권한을 추가하고 저장한 다음 다음 단계로 이동합니다.

관리자 권한에 대해 Microsoft Entra ID 보안 그룹 Create

  1. Microsoft Entra 관리 센터로 돌아가서 Microsoft Entra ID>그룹>새 그룹으로 이동합니다.
  2. 용도를 반영하도록 Microsoft Entra 그룹의 이름을 지정합니다. 지금은 소유자나 구성원이 필요하지 않습니다.
  3. Microsoft Entra 역할을 그룹에 할당할 수 있습니다.
  4. 역할, 멤버 또는 소유자를 추가하지 말고 그룹을 만듭니다.
  5. 만든 그룹에 돌아가기 Privileged Identity Management>사용 가능한 PIM을 선택합니다.
  6. 그룹 내에서 적격 할당>할당 추가 멤버 역할로 제거를 Search & 필요한 사용자 추가 > 를 선택합니다.
  7. 그룹의 권한 있는 액세스 창에서 설정을 구성합니다. 구성원 역할에 대한 설정을 편집하도록 선택합니다.
  8. 조직에 맞게 활성화 시간을 변경하세요. 이 예제에서는 업데이트를 선택하기 전에 다단계 인증, 근거티켓 정보를 Microsoft Entra 필요합니다.

새로 생성된 보안 그룹을 역할 그룹에 중첩

참고

이 단계는 필요한 권한이 있는 역할 또는 역할 그룹을 Create Email & 공동 작업 역할 그룹을 사용한 경우에만 필요합니다. Defender XDR 통합 RBAC는 Microsoft Entra 그룹에 대한 직접 권한 할당을 지원하며 PIM에 대한 그룹에 멤버를 추가할 수 있습니다.

  1. Security & Compliance PowerShell에 연결하고 다음을 명령을 실행합니다.

    Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`

Office 365용 Defender로 PIM 구성 테스트

  1. 이 시점에서 Microsoft Defender 포털 내에서 관리 액세스 권한이 없어야 하는 테스트 사용자(Alex)로 로그인합니다.

  2. 사용자가 일상적인 보안 리더 역할을 활성화할 수 있는 PIM으로 이동합니다.

  3. 위협 Explorer 사용하여 전자 메일을 제거하려고 하면 더 많은 권한이 필요하다는 오류가 표시됩니다.

  4. PIM을 두 번째로 더 높은 역할로 변경하면 잠시 후 이제 문제 없이 이메일을 삭제할 수 있습니다.

    메일 탭 아래의 작업 창

관리 역할 및 권한의 영구 할당은 제로 트러스트 보안 이니셔티브와 일치하지 않습니다. 대신 PIM을 사용하여 필요한 도구에 대한 Just-In-Time 액세스 권한을 부여할 수 있습니다.

블로그 게시물과 이 콘텐츠에 사용된 리소스에 액세스할 수 있게 해 준 고객 엔지니어 Ben Harris에게 감사드립니다.