Privileged Identity Management (PIM) en waarom u deze gebruikt met Microsoft Defender voor Office 365

Privileged Identity Management (PIM) is een Azure-functie die gebruikers gedurende een beperkte periode toegang geeft tot gegevens (ook wel een tijdsperiode genoemd). Toegang krijgt 'Just-In-Time' om de vereiste actie uit te voeren en vervolgens wordt de toegang verwijderd. PIM beperkt gebruikerstoegang tot gevoelige gegevens, wat het risico vermindert in vergelijking met traditionele beheerdersaccounts met permanente toegang tot gegevens en andere instellingen. Hoe kunnen we deze functie (PIM) gebruiken met Microsoft Defender voor Office 365?

Tip

PIM-toegang is beperkt tot het rol- en identiteitsniveau, zodat meerdere taken kunnen worden voltooid. Privileged Access Management (PAM) is daarentegen binnen het bereik van het taakniveau.

Stappen om PIM te gebruiken om just-in-time toegang te verlenen tot aan Defender voor Office 365 gerelateerde taken

Door PIM in te stellen voor gebruik met Microsoft Defender voor Office 365, maken beheerders een proces voor een gebruiker om de benodigde verhoogde bevoegdheden aan te vragen en uit te voeren.

In dit artikel wordt het scenario gebruikt voor een gebruiker met de naam Alex in het beveiligingsteam. We kunnen de machtigingen van Alex verhogen voor de volgende scenario's:

• Machtigingen voor normale dagelijkse bewerkingen (bijvoorbeeld Opsporing van bedreigingen).
• Een tijdelijk hoger bevoegdheidsniveau voor minder frequente, gevoelige bewerkingen (bijvoorbeeld het herstellen van kwaadwillende bezorgde e-mail).

Tip

Hoewel het artikel specifieke stappen bevat voor het scenario zoals beschreven, kunt u dezelfde stappen uitvoeren voor andere machtigingen. Bijvoorbeeld wanneer een informatiemedewerker dagelijkse toegang in eDiscovery nodig heeft om zoekopdrachten en casewerk uit te voeren, maar af en toe de verhoogde machtigingen nodig heeft om gegevens uit de organisatie te exporteren.

Stap 1. Voeg in de Azure PIM-console voor uw abonnement de gebruiker (Alex) toe aan de rol Azure Security Reader en configureer de beveiligingsinstellingen met betrekking tot activering.

1. Meld u aan bij het Microsoft Entra Beheer Center en selecteer Microsoft Entra ID>Rollen en beheerders.
2. Selecteer Beveiligingslezer in de lijst met rollen en vervolgens Instellingen>Bewerken
3. Stel de 'maximale duur van activering (uren)' in op een normale werkdag en 'Bij activering' om Azure MFA te vereisen.
4. Omdat dit het normale bevoegdheidsniveau van Alex is voor dagelijkse bewerkingen, schakelt u Reden vereisen bij activeringsupdate> uit.
5. Selecteer Toewijzingen> toevoegenGeen lid geselecteerd> selecteer of typ de naam om naar het juiste lid te zoeken.
6. Selecteer de knop Selecteren om het lid te kiezen dat u wilt toevoegen voor PIM-bevoegdheden > , selecteer Volgende> geen wijzigingen aanbrengen op de pagina Toewijzing toevoegen (zowel toewijzingstype in aanmerking komend als duur permanent in aanmerking komen zijn standaardwaarden) en Toewijzen.

De naam van de gebruiker (Alex in dit scenario) wordt weergegeven onder In aanmerking komende toewijzingen op de volgende pagina. Dit resultaat betekent dat ze pim kunnen uitvoeren in de rol met de instellingen die eerder zijn geconfigureerd.

Opmerking

Zie deze video voor een korte bespreking van Privileged Identity Management.

Stap 2. Creatie de vereiste tweede (verhoogde) machtigingsgroep voor andere taken en wijs geschiktheid toe.

Met Groepen met uitgebreide toegang kunnen we nu onze eigen aangepaste groepen maken en machtigingen combineren of waar nodig de granulariteit vergroten om aan uw organisatiepraktijken en -behoeften te voldoen.

Creatie een rol of rolgroep met de vereiste machtigingen

Gebruik een van de volgende methoden:

• Creatie een Email & samenwerkingsrolgroep in de Microsoft Defender-portal:

Of

• Creatie een aangepaste rol in Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC). Zie Microsoft Defender XDR Unified RBAC-model gebruiken voor informatie en instructies.

Voor beide methoden:

• Gebruik een beschrijvende naam (bijvoorbeeld Contoso Search en Pim opschonen).
• Voeg geen leden toe. Voeg de vereiste machtigingen toe, sla op en ga naar de volgende stap.

Creatie de beveiligingsgroep in Microsoft Entra ID voor verhoogde machtigingen

1. Blader terug naar het Microsoft Entra Beheer Center en navigeer naar Microsoft Entra ID>Groepen>Nieuwe groep.
2. Geef uw Microsoft Entra groep een naam om het doel ervan weer te geven. Op dit moment zijn er geen eigenaren of leden vereist.
3. Zet Microsoft Entra rollen kunnen worden toegewezen aan de groep op Ja.
4. Voeg geen rollen, leden of eigenaren toe, maak de groep.
5. Terug in de groep die u hebt gemaakt en selecteer Privileged Identity Management>Pim in aanmerking komen.
6. Selecteer in de groep In aanmerking komende toewijzingen Toewijzingentoevoegen Voeg de gebruiker toe die Search & Opschonen >> nodig heeft als een rol lid.
7. Configureer Instellingen in het deelvenster Uitgebreide toegang van de groep. Kies om de instellingen voor de rol van Lid te bewerken.
8. Pas de activeringstijd aan uw organisatie aan. In dit voorbeeld is Microsoft Entra meervoudige verificatie, rechtvaardiging en ticketgegevens vereist voordat u Bijwerken selecteert.

Nest de zojuist gemaakte beveiligingsgroep in de rollengroep

Opmerking

Deze stap is alleen vereist als u een Email & samenwerkingsrolgroep hebt gebruikt in Creatie een rol of rolgroep met de vereiste machtigingen. Defender XDR Unified RBAC ondersteunt directe machtigingentoewijzingen voor Microsoft Entra groepen en u kunt leden toevoegen aan de groep voor PIM.

1. Maak verbinding met het Beveiligings- en compliancecentrum van PowerShell en voer de volgende opdracht uit:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Test uw configuratie van PIM met Defender voor Office 365

1. Meld u aan met de testgebruiker (Alex), die op dit moment geen beheerderstoegang mag hebben in de Microsoft Defender-portal.

2. Navigeer naar PIM, waar de gebruiker de rol van de dagelijkse beveiligingslezer kan activeren.

3. Als u probeert een e-mail op te ruimen met threat explorer, krijgt u een foutmelding waarin wordt aangegeven dat u meer machtigingen nodig hebt.

4. PIM een tweede keer in de meer verhoogde rol, na een korte vertraging moet u nu in staat zijn om e-mailberichten zonder problemen te verwijderen.

   

Permanente toewijzing van beheerdersrollen en machtigingen is niet afgestemd op het Zero Trust-beveiligingsinitiatief. In plaats daarvan kunt u PIM gebruiken om Just-In-Time-toegang te verlenen tot de vereiste hulpprogramma's.

Onze dank aan Klanttechnicus Ben Harris voor toegang tot het blogbericht en de bronnen die voor deze inhoud worden gebruikt.