Udostępnij za pośrednictwem


Jak działają uprawnienia ekspertów usługi Microsoft Defender dla XDR

Dotyczy:

W przypadku badań zdarzeń XDR ekspertów w usłudze Microsoft Defender, gdy nasi eksperci potrzebują dostępu do Twoich dzierżaw, przestrzegamy zasad just in time i najmniejszych uprawnień, aby zapewnić odpowiedni poziom dostępu we właściwym czasie. Aby spełnić te wymagania, skompilowaliśmy platformę uprawnień ekspertów usługi Microsoft Defender przy użyciu następujących możliwości w identyfikatorze Entra firmy Microsoft:

  • Szczegółowe uprawnienia administratora delegowanego (GDAP): W ramach dołączania aprowizujemy dzierżawę ekspertów firmy Microsoft jako dostawcę usług w dzierżawie, aby korzystać z funkcji GDAP i uzyskać odpowiedni poziom dostępu do naszych ekspertów. Role przyznane naszym ekspertom są konfigurowane przy użyciu przypisania roli między dzierżawami , aby upewnić się, że mają tylko uprawnienia, które zostały im jawnie przyznane.
  • Zasady dostępu między dzierżawami firmy Microsoft Entra: aby wymusić ograniczenia dostępu naszych ekspertów do twojej dzierżawy, musimy ustanowić relację zaufania między dzierżawami między naszymi ekspertami a dzierżawą. Aby włączyć to zaufanie, skonfigurujemy zasady dostępu między dzierżawami w dzierżawie w ramach dołączania. Te zasady dostępu między dzierżawami są tworzone z uprawnieniami tylko do odczytu, aby uniknąć zakłóceń.
  • Dostęp warunkowy dla użytkowników zewnętrznych: ograniczamy dostęp naszych ekspertów do dzierżaw z naszego bezpiecznego środowiska przy użyciu zgodnych urządzeń z silnym uwierzytelnianiem wieloskładnikowym (MFA). Aby wymusić ustawienia zaufania skonfigurowane w zasadach dostępu między dzierżawami i zablokować dostęp w inny sposób, skonfigurujemy te zasady dostępu warunkowego w dzierżawie.
  • Dostęp just in time (JIT): Nawet po zezwoleniu naszym ekspertom na dostęp do twojego środowiska ograniczamy ich dostęp na podstawie uprawnień JIT do badania sprawy, z ograniczonym czasem trwania dla każdej roli. Nasi eksperci muszą najpierw zażądać dostępu i uzyskać zatwierdzenie w naszym systemie wewnętrznym, aby uzyskać odpowiednią rolę w dzierżawie. Dostęp naszych ekspertów do Twojej dzierżawy jest poddawany inspekcji w ramach dzienników logowania w usłudze Microsoft Entra, aby można było je przejrzeć

Konfigurowanie uprawnień w dzierżawach klientów

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Po wybraniu uprawnień, które chcesz udzielić naszym ekspertom, utworzymy następujące zasady w dzierżawie przy użyciu kontekstu Administrator zabezpieczeń lub Administrator globalny:

  • Konfigurowanie ekspertów firmy Microsoft jako dostawcy usług — to ustawienie umożliwia naszym ekspertom dostęp do środowiska dzierżawy jako zewnętrzni współpracownicy bez konieczności tworzenia dla nich kont.
  • Konfigurowanie przypisań ról dla naszych ekspertów — to ustawienie kontroluje role, które są dozwolone przez naszych ekspertów w dzierżawie. Podczas procesu dołączania wybierasz odpowiednie role
  • Konfigurowanie ustawień dostępu między dzierżawami przy użyciu uwierzytelniania wielodostępnego i zgodnego urządzenia jako ustawień zaufania — to ustawienie konfiguruje relację zaufania między dzierżawami klientów i ekspertów firmy Microsoft na podstawie uwierzytelniania wieloskładnikowego i zgodności urządzeń w dzierżawie ekspertów firmy Microsoft. Te zasady można znaleźć w obszarze Microsoft Entra ID>External Identities>Cross-tenant access Settings (Ustawienia dostępu między dzierżawami ) o nazwie Microsoft Experts.
  • Konfigurowanie zasad dostępu warunkowego — te zasady ograniczają naszych ekspertów do uzyskiwania dostępu tylko do dzierżawy z bezpiecznych stacji roboczych ekspertów firmy Microsoft za pomocą weryfikacji uwierzytelniania wieloskładnikowego. Dwie zasady są skonfigurowane z konwencją nazewnictwa Microsoft Security Experts-policy< name-DO> NOT DELETE.

Te zasady są konfigurowane podczas procesu dołączania i wymagają, aby odpowiedni administrator pozostał zalogowany w celu wykonania kroków. Po utworzeniu powyższych zasad i zakończeniu konfiguracji uprawnień zostanie wyświetlone powiadomienie o zakończeniu instalacji.

Zobacz też

Ważne zagadnienia dotyczące ekspertów usługi Microsoft Defender dla XDR

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.