Aracılığıyla paylaş

Privileged Identity Management (PIM) ve neden Office 365 için Microsoft Defender

  • Makale

Privileged Identity Management (PIM), kullanıcılara sınırlı bir süre boyunca (bazen zaman kutulu zaman aralığı olarak adlandırılır) verilere erişim sağlayan bir Azure özelliğidir. Erişime gerekli eylemi gerçekleştirmesi için "tam zamanında" verilir ve ardından erişim kaldırılır. PIM, verilere ve diğer ayarlara kalıcı erişimi olan geleneksel yönetici hesaplarına kıyasla riski azaltan hassas verilere kullanıcı erişimini sınırlar. Peki bu özelliği (PIM) Office 365 için Microsoft Defender ile nasıl kullanabiliriz?

İpucu

PIM erişiminin kapsamı rol ve kimlik düzeyine göre belirlenir ve birden çok görev tamamlanır. Buna karşılık, Privileged Access Management 'ın (PAM) kapsamı görev düzeyindedir.

Yöneticiler, PIM'i Office 365 için Microsoft Defender çalışacak şekilde ayarlayarak kullanıcının ihtiyaç duyduğu yükseltilmiş ayrıcalıkları istemesi ve gerekçelendirmesi için bir işlem oluşturur.

Bu makalede güvenlik ekibinde Alex adlı bir kullanıcı için senaryo kullanılır. Alex'in izinlerini aşağıdaki senaryolar için yükseltebiliriz:

İpucu

Makalede açıklandığı gibi senaryo için belirli adımlar olsa da, diğer izinler için de aynı adımları uygulayabilirsiniz. Örneğin, bir bilgi çalışanının arama ve olay çalışması gerçekleştirmek için eBulma'da günlük erişime ihtiyacı olduğunda, ancak bazen kuruluştaki verileri dışarı aktarmak için yükseltilmiş izinlere ihtiyacı olduğunda.

1. Adım. Aboneliğinizin Azure PIM konsolunda kullanıcıyı (Alex) Azure Güvenlik Okuyucusu rolüne ekleyin ve etkinleştirmeyle ilgili güvenlik ayarlarını yapılandırın.

  1. Microsoft Entra Yönetici Merkezi'nde oturum açın ve Microsoft Entra ID>Roller ve yöneticiler'i seçin.
  2. Rol listesinden Güvenlik Okuyucusu'na ve ardından Ayarlar>Düzenle'ye tıklayın
  3. Azure MFAgerektirmek için 'Etkinleştirme maksimum süresi (saat)' değerini normal bir çalışma gününe ve 'Etkinleştirme açık' olarak ayarlayın.
  4. Bu Alex'in günlük işlemler için normal ayrıcalık düzeyi olduğundan Etkinleştirme >Güncelleştirmesi'nde gerekçe gerektirseçeneğinin işaretini kaldırın.
  5. Atama> EkleÜye seçilmedi'yi> seçin veya doğru üyeyi aramak için adı yazın.
  6. PIM ayrıcalıkları > için eklemeniz gereken üyeyi seçmek için Seç düğmesini seçin, Ardından Atama Ekle sayfasında değişiklik yapma'yı> seçin (hem atama türü Uygun hem de Süre Kalıcı Olarak Uygun varsayılandır) ve Ata'yı seçin.

Kullanıcının adı (bu senaryoda Alex), sonraki sayfada Uygun atamalar altında görünür. Bu sonuç, daha önce yapılandırılan ayarlarla PIM rolüne girebilecekleri anlamına gelir.

Not

Privileged Identity Management hızlı bir şekilde gözden geçirmek için bu videoya bakın.

Rol ayarı ayrıntıları - Güvenlik Okuyucusu sayfası

2. Adım. Diğer görevler için gerekli ikinci (yükseltilmiş) izin grubunu İçerik Oluşturucu ve uygunluk atayın.

Privileged Access gruplarını kullanarak artık kendi özel gruplarımızı oluşturabilir, izinleri birleştirebilir veya kuruluş uygulamalarınızı ve gereksinimlerinizi karşılamak için gereken yerlerde ayrıntı düzeyini artırabiliriz.

Gerekli izinlere sahip bir rol veya rol grubu İçerik Oluşturucu

Aşağıdaki yöntemlerden birini kullanın:

Veya

İki yöntemden biri için:

  • Açıklayıcı bir ad kullanın (örneğin, 'Contoso Arama ve PIM'i Temizle').
  • Üye eklemeyin. Gerekli izinleri ekleyin, kaydedin ve sonraki adıma geçin.

Yükseltilmiş izinler için güvenlik grubunu Microsoft Entra ID İçerik Oluşturucu

  1. Microsoft Entra Yönetici Merkezi'ne geri gidin ve Microsoft Entra ID>Groups>Yeni Grubu'na gidin.
  2. Microsoft Entra grubunuzu amacını yansıtacak şekilde adlandır, şu anda sahip veya üye gerekmez.
  3. Gruba Microsoft Entra rolleriEvet olarak atanabilir.
  4. Hiçbir rol, üye veya sahip eklemeyin, grubu oluşturun.
  5. Oluşturduğunuz gruba Geri dön ve Privileged Identity Management>PiM'i kaldır'ı seçin.
  6. Grubun içinde Uygun atamalar> Ödev >ekle'yi seçin Üye rolü olarak Arama & Temizleme'ye ihtiyacı olan kullanıcıyı ekleyin.
  7. Grubun Ayrıcalıklı Erişim bölmesindeki Ayarlar'ı yapılandırın. Üye rolünün ayarlarını düzenle'yi seçin.
  8. Etkinleştirme süresini kuruluşunuza uyacak şekilde değiştirin. Bu örnek, Güncelleştir'i seçmeden önce çok faktörlü kimlik doğrulaması, gerekçe ve bilet bilgileri Microsoft Entra gerektirir.

Yeni oluşturulan güvenlik grubunu rol grubuna iç içe yerleştirme

Not

Bu adım yalnızca gerekli izinlere sahip bir rol veya rol grubu İçerik Oluşturucu bir Email & işbirliği rol grubu kullandıysanız gereklidir. Defender XDR Unified RBAC, Microsoft Entra gruplarına doğrudan izin atamalarını destekler ve PIM için gruba üye ekleyebilirsiniz.

  1. Güvenlik & Uyumluluğu PowerShell'e bağlanın ve aşağıdaki komutu çalıştırın:

    Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`

Office 365 için Defender ile PIM yapılandırmanızı test edin

  1. Bu noktada Microsoft Defender portalında yönetici erişimi olmaması gereken test kullanıcısı (Alex) ile oturum açın.

  2. Kullanıcının günlük güvenlik okuyucusu rolünü etkinleştirebileceği PIM'e gidin.

  3. Tehdit Gezgini'yi kullanarak bir e-postayı temizlemeye çalışırsanız, daha fazla izne ihtiyacınız olduğunu belirten bir hata alırsınız.

  4. PIM, daha yükseltilmiş role ikinci kez girer ve kısa bir gecikmeden sonra artık e-postaları sorunsuz bir şekilde temizleyebilirsiniz.

    Email sekmesinin altındaki Eylemler bölmesi

Yönetim rollerinin ve izinlerinin kalıcı olarak atanması, Sıfır Güven güvenlik girişimiyle uyumlu değildir. Bunun yerine, gerekli araçlara tam zamanında erişim vermek için PIM'i kullanabilirsiniz.

Bu içerik için kullanılan blog gönderisine ve kaynaklara erişim için Müşteri Mühendisi Ben Harris'e teşekkür ederiz.