Como funcionam os Especialistas do Microsoft Defender para permissões XDR
Aplica-se a:
Para as investigações de incidentes do Microsoft Defender Experts para XDR, quando os nossos especialistas precisam de acesso aos seus inquilinos, seguimos os princípios just-in-time e de privilégios mínimos para fornecer o nível de acesso certo no momento certo. Para cumprir estes requisitos, criámos a plataforma de permissões Microsoft Defender Experts com as seguintes capacidades no Microsoft Entra ID:
- Privilégios de administrador delegados granulares (GDAP): como parte da integração, aprovisionamos o inquilino de Especialistas da Microsoft como um fornecedor de serviços no seu inquilino para utilizar a capacidade GDAP e obter o nível de acesso certo para os nossos especialistas. As funções concedidas aos nossos especialistas são configuradas através da atribuição de funções entre inquilinos para garantir que apenas têm permissões que lhes concedeu explicitamente.
- Políticas de acesso entre inquilinos do Microsoft Entra: para impor restrições ao acesso dos nossos especialistas ao seu inquilino, temos de estabelecer uma confiança entre inquilinos entre os nossos especialistas e o seu inquilino. Para ativar esta confiança, configuramos uma política de acesso entre inquilinos no seu inquilino como parte da integração. Estas políticas de acesso entre inquilinos são criadas com permissões só de leitura para evitar qualquer interrupção.
- Acesso condicional para utilizadores externos: restringimos o acesso dos nossos especialistas aos seus inquilinos a partir do nosso ambiente seguro através da utilização de dispositivos em conformidade com autenticação multifator forte (MFA). Para impor as definições de confiança configuradas na política de acesso entre inquilinos e bloquear o acesso de outra forma, configuramos estas políticas de acesso condicional no seu inquilino.
- Acesso just-in-time (JIT): mesmo depois de ter permitido aos nossos especialistas o acesso ao seu ambiente, limitamos o acesso deles com base nas permissões JIT para investigação de casos, com duração limitada para cada função. Os nossos especialistas têm primeiro de pedir acesso e obter aprovação no nosso sistema interno para obter a função adequada no seu inquilino. O acesso dos nossos especialistas ao seu inquilino é auditado como parte dos registos de início de sessão do Microsoft Entra para que possa rever
Configurar permissões nos inquilinos do cliente
Importante
A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Depois de selecionar as permissões que pretende conceder aos nossos especialistas, criamos as seguintes políticas no seu inquilino com o contexto Administrador de Segurança ou Administrador Global:
- Configurar Especialistas da Microsoft como um fornecedor de serviços – esta definição permite que os nossos especialistas acedam ao ambiente do inquilino como colaboradores externos sem que tenha de criar contas para os mesmos.
- Configurar atribuições de funções para os nossos especialistas – esta definição controla as funções que os nossos especialistas são permitidos no inquilino. Selecione as funções adequadas durante o processo de integração
- Configurar as definições de acesso entre inquilinos com a MFA e o dispositivo em conformidade como as definições de confiança – esta definição configura uma relação de confiança entre os inquilinos do cliente e dos Especialistas da Microsoft com base na MFA e na conformidade do dispositivo no inquilino de Especialistas da Microsoft. Esta política pode ser encontrada emIdentidades Externas>do Microsoft Entra ID>Definições de acesso entre inquilinos com o nome Microsoft Experts.
- Configurar políticas de acesso condicional – estas políticas restringem os nossos especialistas a aceder apenas ao seu inquilino a partir das estações de trabalho seguras de Especialistas da Microsoft com a verificação da MFA. Duas políticas são configuradas com a convenção de nomenclatura Microsoft Security Experts-policy< name-DO> NOT DELETE.
Estas políticas são configuradas durante o processo de inclusão e exigem que o administrador relevante permaneça com sessão iniciada para concluir os passos. Assim que as políticas acima forem criadas e a configuração das permissões for considerada concluída, verá uma notificação a indicar que a configuração está concluída.
Confira também
Considerações importantes para Especialistas do Microsoft Defender para XDR
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.