Slik fungerer Microsoft Defender-eksperter for XDR-tillatelser
Gjelder for:
Når det gjelder hendelsesundersøkelser for Microsoft Defender Experts for XDR, når ekspertene våre trenger tilgang til tenantene dine, følger vi just-in-time og least privilege-prinsippene for å gi riktig tilgangsnivå til rett tid. For å levere på disse kravene bygget vi Microsoft Defender Experts-tillatelsesplattformen ved hjelp av følgende funksjoner i Microsoft Entra ID:
- Detaljerte delegerte administratorrettigheter (GDAP): Som en del av pålasting klargjør vi Microsoft Experts-leieren som tjenesteleverandør på leieren din for å bruke GDAP-funksjonen og få riktig tilgangsnivå til ekspertene våre. Rollene som gis til ekspertene våre, konfigureres ved hjelp av rolletildeling på tvers av leier for å sikre at de bare har tillatelser som du eksplisitt har gitt dem.
- Tilgangspolicyer for Microsoft Entra på tvers av leiere: Hvis du vil håndheve begrensninger på ekspertenes tilgang til leieren, må vi etablere en tillit på tvers av tenanten mellom ekspertene våre og leieren din. Hvis du vil aktivere denne tilliten, konfigurerer vi en tilgangspolicy på tvers av leier i leieren som en del av pålastingen. Disse tilgangspolicyene for flere leiere opprettes med skrivebeskyttede tillatelser for å unngå forstyrrelser.
- Betinget tilgang for eksterne brukere: Vi begrenser ekspertenes tilgang til tenantene fra vårt sikre miljø ved å bruke kompatible enheter med sterk godkjenning med flere faktorer (MFA). Hvis du vil fremtvinge klareringsinnstillingene som er konfigurert i policyen for tilgang på tvers av leiere og blokkere tilgang ellers, konfigurerer vi disse policyene for betinget tilgang i leieren.
- Just-in-time (JIT)-tilgang: Selv etter at du har gitt våre eksperter tilgang til miljøet ditt, begrenser vi tilgangen basert på JIT-tillatelser for saksundersøkelse, med begrenset varighet for hver rolle. Våre eksperter må først be om tilgang og få godkjenning i vårt interne system for å få den riktige rollen i leieren din. Våre eksperters tilgang til leieren overvåkes som en del av Microsoft Entra-påloggingslogger som du kan se gjennom
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Når du har valgt tillatelsene du vil gi til ekspertene våre, oppretter vi følgende policyer i leieren ved hjelp av sikkerhetsadministratoren eller den globale administratorkonteksten:
- Konfigurer Microsoft-eksperter som tjenesteleverandør – med denne innstillingen kan ekspertene våre få tilgang til leiermiljøet som eksterne samarbeidspartnere uten at du må opprette kontoer for dem.
- Konfigurer rolletilordninger for ekspertene våre – denne innstillingen styrer rollene ekspertene våre tillater i leieren. Du velger de riktige rollene under pålastingsprosessen
- Konfigurer tilgangsinnstillinger på tvers av leier med MFA og kompatibel enhet som klareringsinnstillinger – denne innstillingen konfigurerer et klareringsforhold mellom kunde- og Microsoft Experts-leiere basert på MFA og enhetssamsvar i Microsoft Experts-leieren. Du finner denne policyen under Microsoft Entra ID>External Identities>Cross-tenant access Settings med navnet Microsoft Experts.
- Konfigurer policyer for betinget tilgang – disse policyene begrenser ekspertene våre til bare å få tilgang til leieren din fra Microsoft Experts-sikre arbeidsstasjoner med MFA-bekreftelse. To policyer er konfigurert med navnekonvensjonen Microsoft Security Experts-policy< name-DO> NOT DELETE.
Disse policyene konfigureres under pålastingsprosessen og krever at den relevante administratoren forblir pålogget for å fullføre trinnene. Når policyene ovenfor er opprettet og konfigurasjonen av tillatelser anses som fullført, ser du et varsel om at oppsettet er fullført.
Viktige hensyn for Microsoft Defender-eksperter for XDR
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.