Privileged Identity Management (PIM) e por que usá-lo com o Microsoft Defender para Office 365

Privileged Identity Management (PIM) é uma funcionalidade do Azure que dá aos utilizadores acesso aos dados durante um período de tempo limitado (por vezes denominado período de tempo definido pelo tempo). É concedido acesso "just-in-time" para efetuar a ação necessária e, em seguida, o acesso é removido. O PIM limita o acesso dos utilizadores a dados confidenciais, o que reduz o risco em comparação com as contas de administrador tradicionais com acesso permanente a dados e outras definições. Como podemos utilizar esta funcionalidade (PIM) com Microsoft Defender para Office 365?

Dica

O acesso ao PIM está confinado ao nível da função e da identidade para permitir a conclusão de várias tarefas. Por outro lado, a Gestão de Acesso Privilegiado (PAM) está confinada ao nível da tarefa.

Etapas para usar o PIM para conceder acesso just-in-time às tarefas relacionadas ao Defender para Office 365

Ao configurar o PIM para trabalhar com Microsoft Defender para Office 365, os administradores criam um processo para um utilizador pedir e justificar os privilégios elevados de que precisa.

Este artigo utiliza o cenário para um utilizador chamado Alex na equipa de segurança. Podemos elevar as permissões do Alex para os seguintes cenários:

• Permissões para operações diárias normais (por exemplo, Investigação de Ameaças).
• Um nível de privilégio temporário superior para operações menos frequentes e confidenciais (por exemplo, remediar e-mails entregues maliciosos).

Dica

Embora o artigo inclua passos específicos para o cenário, conforme descrito, pode efetuar os mesmos passos para outras permissões. Por exemplo, quando um técnico de informação requer acesso diário na Deteção de Dados Eletrónicos para realizar pesquisas e trabalho de casos, mas, ocasionalmente, precisa das permissões elevadas para exportar dados da organização.

Passo 1. No console PIM do Azure para sua assinatura, adicione o usuário (Alex) à função Leitor de Segurança do Azure e defina as configurações de segurança relacionadas à ativação.

1. Inicie sessão no Centro de Microsoft Entra Administração e selecione Microsoft Entra ID>Roles e administradores.
2. Selecione Leitor de Segurança na lista de funções e, em seguida, Configurações>Editar
3. Configurar a “Duração máxima da ativação (horas)” para um dia de trabalho normal e “Sendo ativado” para exigir o MFA do Azure.
4. Uma vez que este é o nível de privilégio normal do Alex para operações diárias, desmarque Exigir justificação na atualização de ativação>.
5. Selecione Adicionar Atribuições>Nenhum membro selecionado> selecione ou escreva o nome para procurar o membro correto.
6. Selecione o botão Selecionar para escolher o membro que precisa de adicionar para privilégios > PIM selecione Seguinte> não efetue alterações na página Adicionar Atribuição (tanto o tipo de atribuição Elegível como a duração Permanentemente Elegível são predefinições) e Atribuir.

O nome do utilizador (Alex neste cenário) é apresentado em Atribuições elegíveis na página seguinte. Este resultado significa que é possível utilizar o PIM na função com as definições configuradas anteriormente.

Observação

Para obter uma rápida análise de Privileged Identity Management consulte este vídeo.

Passo 2. Crie o segundo grupo de permissões (elevado) necessário para outras tarefas e atribua elegibilidade.

Com o uso de grupos de Acesso Privilegiado, agora podemos criar nossos próprios grupos personalizados e combinar permissões ou aumentar ao nível de detalhe sempre que necessário para cumprir suas práticas e necessidades organizacionais.

Criar uma função ou grupo de funções com as permissões necessárias

Use um dos seguintes métodos:

• Crie um grupo de funções de colaboração Email & no portal do Microsoft Defender:

Ou

• Crie uma função personalizada no Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC). Para obter informações e instruções, veja Começar a utilizar Microsoft Defender XDR modelo RBAC unificado.

Para qualquer um dos métodos:

• Utilize um nome descritivo (por exemplo, "Procurar e Remover PIM da Contoso").
• Não adicione membros. Adicione as permissões necessárias, guarde e, em seguida, avance para o passo seguinte.

Criar o grupo de segurança no Microsoft Entra ID para permissões elevadas

1. Navegue de volta para o Centro de Microsoft Entra Administração e navegue para Microsoft Entra ID>Grupos>Novo Grupo.
2. Atribua um nome ao seu grupo de Microsoft Entra para refletir a finalidade, não são necessários proprietários ou membros neste momento.
3. Mude Microsoft Entra funções podem ser atribuídas ao grupo como Sim.
4. Não adicione quaisquer funções, membros ou proprietários, crie o grupo.
5. Voltar no grupo que criou e selecione Privileged Identity Management>Ativar PIM.
6. No grupo, selecione Atribuições> elegíveisAdicionar atribuições> Adicionar o utilizador que precisa de Procurar & Remover como uma função de Membro.
7. Defina Configurações no painel Acesso Privilegiado do grupo. Escolha Editar configurações para a função de Membro.
8. Altere o tempo de ativação para se adequar à sua organização. Este exemplo requer Microsoft Entra informações de autenticação multifator, justificação e permissão antes de selecionar Atualizar.

Aninhe o grupo de segurança recém-criado no grupo de função.

Observação

Este passo só é necessário se tiver utilizado um grupo de funções de colaboração Email & em Criar uma função ou grupo de funções com as permissões necessárias. Defender XDR RBAC Unificado suporta atribuições de permissões diretas a grupos de Microsoft Entra e pode adicionar membros ao grupo para PIM.

1. Conecte-se ao PowerShell de Segurança e Conformidade e execute o seguinte comando:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Testar sua configuração do PIM com o Defender para Office 365

1. Inicie sessão com o utilizador de teste (Alex), que não deverá ter acesso administrativo no portal do Microsoft Defender neste momento.

2. Navegue até PIM, onde o usuário pode ativar sua função de leitor de segurança do dia a dia.

3. Se tentar remover um e-mail com o Explorer de Ameaças, obtém um erro a indicar que precisa de mais permissões.

4. PIM uma segunda vez para a função mais elevada, e depois de um pequena espera, agora você deve ser capaz de limpar emails sem problemas.

   

A atribuição permanente de funções e permissões administrativas não está alinhada com a iniciativa de segurança Confiança Zero. Em vez disso, pode utilizar o PIM para conceder acesso just-in-time às ferramentas necessárias.

Nossos agradecimentos ao Engenheiro de Clientes Ben Harris pelo acesso à postagem do blog e aos recursos usados para este conteúdo.