Управление привилегированными пользователями (PIM) и зачем его использовать в Microsoft Defender для Office 365

управление привилегированными пользователями (PIM) — это функция Azure, которая предоставляет пользователям доступ к данным в течение ограниченного периода времени (иногда называемого периодом времени). Доступ предоставляется jit-in-time для выполнения необходимых действий, а затем доступ удаляется. PIM ограничивает доступ пользователей к конфиденциальным данным, что снижает риск по сравнению с традиционными учетными записями администратора с постоянным доступом к данным и другими параметрами. Итак, как использовать эту функцию (PIM) с Microsoft Defender для Office 365?

Совет

Доступ PIM ограничивается ролью и уровнем удостоверений, что позволяет выполнять несколько задач. В отличие от этого, управление привилегированным доступом (PAM) ограничивается на уровне задачи.

Инструкции по использованию PIM для предоставления доступа JIT к связанным задачам Defender для Office 365

Настроив PIM для работы с Microsoft Defender для Office 365, администраторы создают процесс, позволяющий пользователю запрашивать и обосновать необходимые им повышенные привилегии.

В этой статье используется сценарий для пользователя с именем Алекс в группе безопасности. Мы можем повысить разрешения Алекса в следующих сценариях:

• Разрешения для обычных повседневных операций (например, охота на угрозы).
• Временный более высокий уровень привилегий для менее частых конфиденциальных операций (например, исправление вредоносной электронной почты).

Совет

Хотя в статье содержатся конкретные шаги для сценария, как описано, вы можете выполнить те же действия для других разрешений. Например, если информационному работнику требуется повседневный доступ к обнаружению электронных данных для выполнения поиска и обработки обращений, но иногда требуются повышенные разрешения на экспорт данных из организации.

Шаг 1. В консоли Azure PIM своей подписки добавьте пользователя (Алексей) в роль "Читатель сведений о безопасности" Azure и настройте параметры безопасности, связанные с активацией.

1. Войдите в центр Microsoft Entra Администратор и выберите Microsoft Entra ID>Роли и администраторы.
2. Щелкните Читатель сведений о безопасности в списке ролей и выберите Параметры>Изменить
3. Задайте для параметра Максимальная длительность активации (в часах) длительность обычного рабочего дня, а для параметра "Требовать при активации" — вариант Azure MFA.
4. Так как это обычный уровень привилегий Алекса для повседневных операций, снимите флажок Требовать обоснование при обновлении активации>.
5. Выберите Добавить назначения>Нет выбранного> участника. Выберите или введите имя, чтобы найти нужного участника.
6. Нажмите кнопку Выбрать , чтобы выбрать участника, который необходимо добавить для привилегий > PIM , выберите Далее> не вносить изменений на странице Добавление назначения (по умолчанию используются оба типа назначения и длительность постоянно допустимо ) и Назначить.

Имя пользователя (Alex в этом сценарии) отображается в разделе Допустимые назначения на следующей странице. Этот результат означает, что они могут использовать PIM в роли с параметрами, настроенными ранее.

Примечание.

Краткий обзор управления привилегированными пользователями см. в этом видео.

Шаг 2. Create требуемую вторую группу разрешений (с повышенными привилегиями) для других задач и назначьте право на участие.

С помощью групп привилегированного доступа теперь можно создавать собственные настраиваемые группы и объединять разрешения или увеличивать детализацию, если это необходимо для соблюдения рекомендаций и потребностей организации.

Create роли или группы ролей с необходимыми разрешениями

Используйте один из следующих способов:

• Create группу ролей Email & совместной работы на портале Microsoft Defender:

Или

• Create настраиваемую роль в Microsoft Defender XDR единого управления доступом на основе ролей (RBAC). Сведения и инструкции см. в статье Начало использования Microsoft Defender XDR унифицированной модели RBAC.

Для любого из методов:

• Используйте описательное имя (например, Contoso Поиск и Purge PIM).
• Не добавляйте участников. Добавьте необходимые разрешения, сохраните и перейдите к следующему шагу.

Create группы безопасности в Microsoft Entra ID для получения повышенных разрешений

1. Вернитесь в центр Microsoft Entra Администратор и перейдите к Microsoft Entra ID>Группы>Новая группа.
2. Назовите группу Microsoft Entra в соответствии с ее назначением. Сейчас владельцы или члены не требуются.
3. Поверните Microsoft Entra роли можно назначить группе значение Да.
4. Не добавляйте роли, участников или владельцев, создайте группу.
5. Назад в созданную группу и выберите управление привилегированными пользователями>Enable PIM.
6. В группе выберите Допустимые назначения>Добавить назначения> Добавьте пользователя, которому требуется Поиск & Очистить в качестве роли участника.
7. Настройте Параметры в области привилегированного доступа группы. Выберите Изменить для параметров роли участника.
8. Измените время активации в соответствии с требованиями организации. В этом примере требуется Microsoft Entra многофакторную проверку подлинности, обоснование и сведения о билете перед нажатием кнопки Обновить.

Вложение созданной группы безопасности в группу ролей

Примечание.

Этот шаг необходим, только если вы использовали группу ролей Email & совместной работы в Create роли или группы ролей с необходимыми разрешениями. Defender XDR Unified RBAC поддерживает прямые назначения разрешений для Microsoft Entra групп, и вы можете добавлять в группу участников для PIM.

1. Подключитесь к безопасности и соответствию требованиям PowerShell и выполните следующую команду:

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

Тестирование конфигурации PIM в Defender для Office 365

1. Войдите с помощью тестового пользователя (Alex), у которого на данный момент не должно быть административного доступа на портале Microsoft Defender.

2. Перейдите к PIM, где пользователь может активировать свою роль читателя сведений о безопасности для повседневных задач.

3. При попытке очистить сообщение электронной почты с помощью Обозреватель угрозы вы получите сообщение об ошибке о том, что вам нужны дополнительные разрешения.

4. Во второй раз используйте PIM для получения роли с более высокими привилегиями. После короткой задержки должна появиться возможность очистить сообщения электронной почты без возникновения ошибки.

   

Постоянное назначение административных ролей и разрешений не соответствует инициативе безопасности "Никому не доверяй". Вместо этого можно использовать PIM для предоставления JIT-доступа к необходимым средствам.

Спасибо инженеру по работе с клиентами Бену Харрису за доступ к записи блога и ресурсам, использованным для этого контента.