Privileged Identity Management (PIM) 以及将其与 Microsoft Defender for Office 365 配合使用的原因

Privileged Identity Management (PIM) 是一项 Azure 功能，允许用户在有限时间内访问数据， (有时称为) 的时间段。 授予访问权限“实时”以执行所需的操作，然后删除访问权限。 PIM 限制用户对敏感数据的访问，与具有永久数据和其他设置访问权限的传统管理员帐户相比，这降低了风险。 那么，如何将此功能 (PIM) 与Microsoft Defender for Office 365配合使用呢？

提示

PIM 访问权限的范围限定为角色和标识级别，以允许完成多个任务。 相比之下，特权访问管理 (PAM) 的范围在任务级别。

使用 PIM 授予对 Defender for Office 365 相关任务的即时访问权限的步骤

通过设置 PIM 以使用 Microsoft Defender for Office 365，管理员可以创建一个流程，供用户请求和证明他们所需的提升权限。

本文使用安全团队中名为 Alex 的用户的方案。 对于以下情况，我们可以提升 Alex 的权限：

• 正常日常操作的权限 (例如 威胁搜寻) 。
• 针对不太频繁的敏感操作 (（例如， 修正恶意传递的电子邮件) ）的临时特权级别。

提示

尽管本文包括所述方案的特定步骤，但你可以对其他权限执行相同的步骤。 例如，当信息工作者需要日常访问电子数据展示以执行搜索和案例工作，但有时需要提升的权限才能从组织导出数据时。

步骤 1. 在订阅的 Azure PIM 控制台中，将用户(Alex)添加到 Azure 安全信息读取者角色，并配置与激活相关的安全设置。

1. 登录到 Microsoft Entra 管理员 中心，然后选择“>Microsoft Entra ID”“角色”和“管理员”。
2. 在角色列表中选择 安全信息读取者，然后选择 设置>编辑
3. 将“激活最长持续时间(小时)”设置为正常工作日，并将“激活时”设置为需要 Azure MFA。
4. 由于这是 Alex 的日常操作的正常特权级别，因此取消选中 “激活>更新时需要理由”。
5. 选择 “添加分配>”“未选择任何成员> ”，选择或键入名称以搜索正确的成员。
6. 选择“ 选择 ”按钮以选择需要为 PIM 权限 > 添加的成员，在“添加分配”页上选择“ 下一步> ”，不做任何更改 (分配类型“ 合格” 和“持续时间 永久合格 ”都是默认) 和 “分配”。

在此方案中， (Alex 的用户的名称) 显示在下一页的“合格分配”下。 此结果意味着他们能够使用之前配置的设置 PIM 进入角色。

注意

有关 Privileged Identity Management 的快速回顾，请参阅 此视频。

步骤 2. Create其他任务所需的第二 (提升) 权限组，并分配资格。

使用特权访问组，我们现在可以创建自己的自定义组并在需要时合并权限或增加粒度以满足组织做法和需求。

Create具有所需权限的角色或角色组

请使用以下方法之一：

• 在Microsoft Defender门户中Create Email &协作角色组：

或

• Create基于Microsoft Defender XDR统一角色的访问控制 (RBAC) 中的自定义角色。 有关信息和说明，请参阅开始使用统一 RBAC 模型Microsoft Defender XDR。

对于任一方法：

• 使用描述性名称 (例如“Contoso 搜索和清除 PIM”) 。
• 不要添加成员。 添加所需的权限，保存，然后转到下一步。

在 Microsoft Entra ID 中Create安全组以获取提升的权限

1. 浏览回Microsoft Entra 管理员中心并导航到Microsoft Entra ID>组>新组。
2. 为Microsoft Entra组命名以反映其用途，现在无需所有者或成员。
3. 将Microsoft Entra角色可分配给组更改为“是”。
4. 请勿添加任何角色、成员或所有者，请创建组。
5. 返回到创建的组中，然后选择“Privileged Identity Management>”“可启动 PIM”。
6. 在该组中，选择“符合条件的分配>”“添加分配>”“添加需要搜索 &清除”角色的用户。
7. 在组的“特权访问”窗格中配置 设置。 选择以 编辑成员 角色的设置。
8. 更改激活时间以适用于组织。 本示例要求在选择“更新”之前Microsoft Entra多重身份验证、理由和票证信息。

将新创建的安全组嵌套进角色组

注意

仅当在Create具有所需权限的角色或角色组中使用了Email &协作角色组时，才需要执行此步骤。 Defender XDR统一 RBAC 支持将权限直接分配给Microsoft Entra组，并且可以将成员添加到 PIM 组。

1. 连接到 安全性和符合性 PowerShell 并运行以下命令：

   Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
   

使用 Defender for Office 365 测试 PIM 的配置

1. 使用测试用户 (Alex) 登录，此时该用户在 Microsoft Defender 门户中没有管理访问权限。

2. 导航到 PIM，用户可以在其中激活其日常安全信息读者角色。

3. 如果尝试使用威胁资源管理器清除电子邮件，则会收到一个错误，指出需要更多权限。

4. 第二次 PIM 到已提升角色。在短暂延迟后，现在应该能够清除电子邮件，且不会出现问题。

   

永久分配管理角色和权限与零信任安全计划不一致。 相反，可以使用 PIM 授予对所需工具的实时访问权限。

感谢客户工程师 Ben Harris 提供访问博客文章的权限和用于此内容的资源。