Privileged Identity Management (PIM) e porquê utilizá-lo com Microsoft Defender para Office 365

Privileged Identity Management (PIM) é uma funcionalidade do Azure que dá aos utilizadores acesso aos dados durante um período de tempo limitado (por vezes denominado período de tempo definido pelo tempo). É concedido acesso "just-in-time" para efetuar a ação necessária e, em seguida, o acesso é removido. O PIM limita o acesso dos utilizadores a dados confidenciais, o que reduz o risco em comparação com as contas de administrador tradicionais com acesso permanente a dados e outras definições. Como podemos utilizar esta funcionalidade (PIM) com Microsoft Defender para Office 365?

Sugestão

O acesso ao PIM está confinado ao nível da função e da identidade para permitir a conclusão de várias tarefas. Por outro lado, a Gestão de Acesso Privilegiado (PAM) está confinada ao nível da tarefa.

Passos para utilizar o PIM para conceder acesso just-in-time a Defender para Office 365 tarefas relacionadas

Ao configurar o PIM para trabalhar com Microsoft Defender para Office 365, os administradores criam um processo para um utilizador pedir e justificar os privilégios elevados de que precisa.

Este artigo utiliza o cenário para um utilizador chamado Alex na equipa de segurança. Podemos elevar as permissões do Alex para os seguintes cenários:

• Permissões para operações diárias normais (por exemplo, Investigação de Ameaças).
• Um nível de privilégio temporário superior para operações menos frequentes e confidenciais (por exemplo, remediar e-mails entregues maliciosos).

Sugestão

Embora o artigo inclua passos específicos para o cenário, conforme descrito, pode efetuar os mesmos passos para outras permissões. Por exemplo, quando um técnico de informação requer acesso diário na Deteção de Dados Eletrónicos para realizar pesquisas e trabalho de casos, mas, ocasionalmente, precisa das permissões elevadas para exportar dados da organização.

Passo 1. Na consola do Azure PIM da sua subscrição, adicione o utilizador (Alex) à função Leitor de Segurança do Azure e configure as definições de segurança relacionadas com a ativação.

1. Inicie sessão no Centro de Microsoft Entra Administração e selecione Microsoft Entra ID>Roles e administradores.
2. Selecione Leitor de Segurança na lista de funções e, em seguida, Editar Definições>
3. Defina a "Duração máxima de ativação (horas)" como um dia de trabalho normal e "Ativação ativada" para exigir a MFA do Azure.
4. Uma vez que este é o nível de privilégio normal do Alex para operações diárias, desmarque Exigir justificação na atualização de ativação>.
5. Selecione Adicionar Atribuições>Nenhum membro selecionado> selecione ou escreva o nome para procurar o membro correto.
6. Selecione o botão Selecionar para escolher o membro que precisa de adicionar para privilégios > PIM selecione Seguinte> não efetue alterações na página Adicionar Atribuição (tanto o tipo de atribuição Elegível como a duração Permanentemente Elegível são predefinições) e Atribuir.

O nome do utilizador (Alex neste cenário) é apresentado em Atribuições elegíveis na página seguinte. Este resultado significa que é possível utilizar o PIM na função com as definições configuradas anteriormente.

Nota

Para obter uma revisão rápida do Privileged Identity Management veja este vídeo.

Passo 2. Create o segundo grupo de permissões (elevado) necessário para outras tarefas e atribuir elegibilidade.

Com grupos de Acesso Privilegiado , podemos agora criar os nossos próprios grupos personalizados e combinar permissões ou aumentar a granularidade, sempre que necessário para satisfazer as suas práticas e necessidades organizacionais.

Create uma função ou grupo de funções com as permissões necessárias

Utilize um dos seguintes métodos:

• Create um grupo de funções de colaboração Email & no portal do Microsoft Defender:

Ou

• Create uma função personalizada no controlo de acesso baseado em funções unificadas (RBAC) Microsoft Defender XDR. Para obter informações e instruções, veja Começar a utilizar Microsoft Defender XDR modelo RBAC unificado.

Para qualquer um dos métodos:

• Utilize um nome descritivo (por exemplo, "Contoso Pesquisa e Remover PIM").
• Não adicione membros. Adicione as permissões necessárias, guarde e, em seguida, avance para o passo seguinte.

Create o grupo de segurança no Microsoft Entra ID para obter permissões elevadas

1. Navegue de volta para o Centro de Microsoft Entra Administração e navegue para Microsoft Entra ID>Grupos>Novo Grupo.
2. Atribua um nome ao seu grupo de Microsoft Entra para refletir a finalidade, não são necessários proprietários ou membros neste momento.
3. Mude Microsoft Entra funções podem ser atribuídas ao grupo como Sim.
4. Não adicione quaisquer funções, membros ou proprietários, crie o grupo.
5. Voltar no grupo que criou e selecione Privileged Identity Management>Ativar PIM.
6. No grupo, selecione Atribuições> elegíveisAdicionar atribuições> Adicionar o utilizador que precisa de Pesquisa & Remover como uma função de Membro.
7. Configure as Definições no painel Acesso Privilegiado do grupo. Selecione Editar as definições para a função de Membro.
8. Altere o tempo de ativação para se adequar à sua organização. Este exemplo requer Microsoft Entra informações de autenticação multifator, justificação e permissão antes de selecionar Atualizar.

Aninhar o grupo de segurança recém-criado no grupo de funções

Nota

Este passo só é necessário se tiver utilizado um grupo de funções de colaboração Email & no Create uma função ou grupo de funções com as permissões necessárias. Defender XDR RBAC Unificado suporta atribuições de permissões diretas a grupos de Microsoft Entra e pode adicionar membros ao grupo para PIM.

1. Ligue-se ao PowerShell de Conformidade do & de Segurança e execute o seguinte comando:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Testar a configuração do PIM com Defender para Office 365

1. Inicie sessão com o utilizador de teste (Alex), que não deverá ter acesso administrativo no portal do Microsoft Defender neste momento.

2. Navegue para o PIM, onde o utilizador pode ativar a função de leitor de segurança diária.

3. Se tentar remover um e-mail com o Explorador de Ameaças, receberá um erro a indicar que precisa de mais permissões.

4. PIM uma segunda vez na função mais elevada, após um breve atraso, deverá agora conseguir remover e-mails sem problemas.

   

A atribuição permanente de funções e permissões administrativas não está alinhada com a iniciativa de segurança Confiança Zero. Em vez disso, pode utilizar o PIM para conceder acesso just-in-time às ferramentas necessárias.

Agradecemos ao Engenheiro de Clientes Ben Harris pelo acesso à mensagem do blogue e aos recursos utilizados para este conteúdo.