Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Privileged Identity Management (PIM) é uma funcionalidade do Azure que dá aos utilizadores acesso aos dados durante um período de tempo limitado (por vezes denominado período de tempo definido pelo tempo). É concedido acesso "just-in-time" para efetuar a ação necessária e, em seguida, o acesso é removido. O PIM limita o acesso dos utilizadores a dados confidenciais, o que reduz o risco em comparação com as contas de administrador tradicionais com acesso permanente a dados e outras definições. Como podemos utilizar esta funcionalidade (PIM) com Microsoft Defender para Office 365?
Dica
O acesso ao PIM está confinado ao nível da função e da identidade para permitir a conclusão de várias tarefas. Por outro lado, a Gestão de Acesso Privilegiado (PAM) está confinada ao nível da tarefa.
Etapas para usar o PIM para conceder acesso just-in-time às tarefas relacionadas ao Defender para Office 365
Ao configurar o PIM para trabalhar com Microsoft Defender para Office 365, os administradores criam um processo para um utilizador pedir e justificar os privilégios elevados de que precisa.
Este artigo utiliza o cenário para um utilizador chamado Alex na equipa de segurança. Podemos elevar as permissões do Alex para os seguintes cenários:
- Permissões para operações diárias normais (por exemplo, Investigação de Ameaças).
- Um nível de privilégio temporário superior para operações menos frequentes e confidenciais (por exemplo, remediar e-mails entregues maliciosos).
Dica
Embora o artigo inclua passos específicos para o cenário, conforme descrito, pode efetuar os mesmos passos para outras permissões. Por exemplo, quando um técnico de informação requer acesso diário na Deteção de Dados Eletrónicos para realizar pesquisas e trabalho de casos, mas, ocasionalmente, precisa das permissões elevadas para exportar dados da organização.
Passo 1. No console PIM do Azure para sua assinatura, adicione o usuário (Alex) à função Leitor de Segurança do Azure e defina as configurações de segurança relacionadas à ativação.
- Inicie sessão no Centro de Microsoft Entra Administração e selecione Microsoft Entra ID>Roles e administradores.
- Selecione Leitor de Segurança na lista de funções e, em seguida, Configurações>Editar
- Configurar a “Duração máxima da ativação (horas)” para um dia de trabalho normal e “Sendo ativado” para exigir o MFA do Azure.
- Uma vez que este é o nível de privilégio normal do Alex para operações diárias, desmarque Exigir justificação na atualização de ativação>.
- Selecione Adicionar Atribuições>Nenhum membro selecionado> selecione ou escreva o nome para procurar o membro correto.
- Selecione o botão Selecionar para escolher o membro que precisa de adicionar para privilégios > PIM selecione Seguinte> não efetue alterações na página Adicionar Atribuição (tanto o tipo de atribuição Elegível como a duração Permanentemente Elegível são predefinições) e Atribuir.
O nome do utilizador (Alex neste cenário) é apresentado em Atribuições elegíveis na página seguinte. Este resultado significa que é possível utilizar o PIM na função com as definições configuradas anteriormente.
Observação
Para obter uma rápida análise de Privileged Identity Management consulte este vídeo.
Passo 2. Crie o segundo grupo de permissões (elevado) necessário para outras tarefas e atribua elegibilidade.
Com o uso de grupos de Acesso Privilegiado, agora podemos criar nossos próprios grupos personalizados e combinar permissões ou aumentar ao nível de detalhe sempre que necessário para cumprir suas práticas e necessidades organizacionais.
Criar uma função ou grupo de funções com as permissões necessárias
Use um dos seguintes métodos:
Ou
- Crie uma função personalizada no Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC). Para obter informações e instruções, veja Começar a utilizar Microsoft Defender XDR modelo RBAC unificado.
Para qualquer um dos métodos:
- Utilize um nome descritivo (por exemplo, "Procurar e Remover PIM da Contoso").
- Não adicione membros. Adicione as permissões necessárias, guarde e, em seguida, avance para o passo seguinte.
Criar o grupo de segurança no Microsoft Entra ID para permissões elevadas
- Navegue de volta para o Centro de Microsoft Entra Administração e navegue para Microsoft Entra ID>Grupos>Novo Grupo.
- Atribua um nome ao seu grupo de Microsoft Entra para refletir a finalidade, não são necessários proprietários ou membros neste momento.
- Mude Microsoft Entra funções podem ser atribuídas ao grupo como Sim.
- Não adicione quaisquer funções, membros ou proprietários, crie o grupo.
- Voltar no grupo que criou e selecione Privileged Identity Management>Ativar PIM.
- No grupo, selecione Atribuições> elegíveisAdicionar atribuições> Adicionar o utilizador que precisa de Procurar & Remover como uma função de Membro.
- Defina Configurações no painel Acesso Privilegiado do grupo. Escolha Editar configurações para a função de Membro.
- Altere o tempo de ativação para se adequar à sua organização. Este exemplo requer Microsoft Entra informações de autenticação multifator, justificação e permissão antes de selecionar Atualizar.
Aninhe o grupo de segurança recém-criado no grupo de função.
Observação
Este passo só é necessário se tiver utilizado um grupo de funções de colaboração Email & em Criar uma função ou grupo de funções com as permissões necessárias. Defender XDR RBAC Unificado suporta atribuições de permissões diretas a grupos de Microsoft Entra e pode adicionar membros ao grupo para PIM.
Conecte-se ao PowerShell de Segurança e Conformidade e execute o seguinte comando:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Testar sua configuração do PIM com o Defender para Office 365
Inicie sessão com o utilizador de teste (Alex), que não deverá ter acesso administrativo no portal do Microsoft Defender neste momento.
Navegue até PIM, onde o usuário pode ativar sua função de leitor de segurança do dia a dia.
Se tentar remover um e-mail com o Explorer de Ameaças, obtém um erro a indicar que precisa de mais permissões.
PIM uma segunda vez para a função mais elevada, e depois de um pequena espera, agora você deve ser capaz de limpar emails sem problemas.
A atribuição permanente de funções e permissões administrativas não está alinhada com a iniciativa de segurança Confiança Zero. Em vez disso, pode utilizar o PIM para conceder acesso just-in-time às ferramentas necessárias.
Nossos agradecimentos ao Engenheiro de Clientes Ben Harris pelo acesso à postagem do blog e aos recursos usados para este conteúdo.