Privileged Identity Management (PIM) och varför du ska använda den med Microsoft Defender för Office 365
Privileged Identity Management (PIM) är en Azure-funktion som ger användarna åtkomst till data under en begränsad tidsperiod (kallas ibland för en tidsperiod). Åtkomst ges "just-in-time" för att vidta den nödvändiga åtgärden och åtkomst tas sedan bort. PIM begränsar användaråtkomsten till känsliga data, vilket minskar risken jämfört med traditionella administratörskonton med permanent åtkomst till data och andra inställningar. Så, hur kan vi använda den här funktionen (PIM) med Microsoft Defender för Office 365?
Tips
PIM-åtkomsten är begränsad till roll- och identitetsnivån för att tillåta slutförande av flera uppgifter. Däremot är Privileged Access Management (PAM) begränsad på aktivitetsnivå.
Steg för att använda PIM för att bevilja just-in-time-åtkomst till Defender för Office 365-relaterade uppgifter
Genom att konfigurera PIM för att arbeta med Microsoft Defender för Office 365 skapar administratörer en process där en användare kan begära och motivera de utökade behörigheter som de behöver.
Den här artikeln använder scenariot för en användare med namnet Alex i säkerhetsteamet. Vi kan höja Alex behörigheter för följande scenarier:
- Behörigheter för normala dagliga åtgärder (till exempel hotjakt).
- En tillfällig högre behörighetsnivå för mindre frekventa, känsliga åtgärder (till exempel att åtgärda skadlig e-post).
Tips
Även om artikeln innehåller specifika steg för scenariot enligt beskrivningen kan du utföra samma steg för andra behörigheter. Till exempel när en informationsarbetare kräver daglig åtkomst i eDiscovery för att utföra sökningar och ärendearbete, men ibland behöver de utökade behörigheterna för att exportera data från organisationen.
Steg 1. I Azure PIM-konsolen för din prenumeration lägger du till användaren (Alex) i rollen Azure Security Reader och konfigurerar säkerhetsinställningarna för aktivering.
- Logga in på Microsoft Entra Admin Center och välj Microsoft Entra ID>Roller och administratörer.
- Välj Säkerhetsläsare i listan över roller och välj Inställningar>Redigera
- Ange maximal varaktighet för aktivering (timmar) till en normal arbetsdag och Vid aktivering till att kräva Azure MFA.
- Eftersom det här är Alex normala behörighetsnivå för dagliga åtgärder avmarkerar du Kräv justering för aktiveringsuppdatering>.
- Välj Lägg till tilldelningar>Ingen vald medlem> väljer eller skriver namnet för att söka efter rätt medlem.
- Välj knappen Välj för att välja den medlem som du behöver lägga till för PIM-behörigheter > och välj Nästa> gör inga ändringar på sidan Lägg till tilldelning (både tilldelningstypen Berättigad och varaktighet permanent berättigad är standardvärden) och Tilldela.
Namnet på användaren (Alex i det här scenariot) visas under Berättigade tilldelningar på nästa sida. Det här resultatet innebär att de kan ANVÄNDA PIM i rollen med de inställningar som konfigurerades tidigare.
Obs!
En snabb genomgång av Privileged Identity Management finns i den här videon.
Steg 2. Skapa den andra (upphöjda) behörighetsgruppen som krävs för andra uppgifter och tilldela behörighet.
Med grupper med privilegierad åtkomst kan vi nu skapa egna anpassade grupper och kombinera behörigheter eller öka detaljnivån när det krävs för att uppfylla organisationens metoder och behov.
Skapa en roll eller rollgrupp med nödvändiga behörigheter
Detta gör du genom att använda någon av följande metoder.
Eller
- Skapa en anpassad roll i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC). Mer information och instruktioner finns i Börja använda Microsoft Defender XDR Unified RBAC-modell.
För båda metoderna:
- Använd ett beskrivande namn (till exempel Contoso Search och Rensa PIM).
- Lägg inte till medlemmar. Lägg till nödvändiga behörigheter, spara och gå sedan till nästa steg.
Skapa säkerhetsgruppen i Microsoft Entra ID för utökade behörigheter
- Bläddra tillbaka till Microsoft Entra Admin Center och gå till Microsoft Entra ID>Grupper>ny grupp.
- Namnge din Microsoft Entra grupp för att återspegla dess syfte, inga ägare eller medlemmar krävs just nu.
- Aktivera Microsoft Entra roller kan tilldelas gruppen till Ja.
- Lägg inte till några roller, medlemmar eller ägare, skapa gruppen.
- Gå tillbaka i gruppen som du skapade och välj Privileged Identity Management>Aktivera PIM.
- I gruppen väljer du Berättigade tilldelningar>Lägg till tilldelningar> Lägg till den användare som behöver Search & Rensa som roll medlem.
- Konfigurera -inställningarna i gruppens Privilegierad åtkomst-fönster. Välj för att Redigera inställningarna för rollen Medlem.
- Ändra aktiveringstiden så att den passar din organisation. Det här exemplet kräver Microsoft Entra multifaktorautentisering, motivering och biljettinformation innan du väljer Uppdatera.
Placera in den nyligen skapade säkerhetsgruppen i rollgruppen.
Obs!
Det här steget krävs bara om du har använt en Email & samarbetsrollgrupp i Skapa en roll eller rollgrupp med nödvändiga behörigheter. Defender XDR Unified RBAC stöder direktbehörighetstilldelningar till Microsoft Entra grupper och du kan lägga till medlemmar i gruppen för PIM.
Anslut till Säkerhet och efterlevnad i PowerShell och kör följande kommando:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Testa konfigurationen av PIM med Defender för Office 365
Logga in med testanvändaren (Alex), som inte bör ha någon administrativ åtkomst i Microsoft Defender-portalen just nu.
Gå till PIM, där användaren kan aktivera sin dagliga säkerhetsläsarroll.
Om du försöker rensa ett e-postmeddelande med Threat Explorer får du ett felmeddelande om att du behöver fler behörigheter.
PIM en andra gång till den mer upphöjda rollen, efter en kort fördröjning bör du nu kunna rensa e-postmeddelanden utan problem.
Permanent tilldelning av administrativa roller och behörigheter överensstämmer inte med Nolltillit säkerhetsinitiativ. I stället kan du använda PIM för att bevilja just-in-time-åtkomst till de verktyg som krävs.
Tack till vår kundtekniker Ben Harris för åtkomst till blogginlägget och resurserna som används för det här innehållet.