Microsoft適用於 XDR 許可權的 Defender 專家如何運作

適用於：

• Microsoft Defender XDR

針對Microsoft適用於 XDR 的 Defender 專家事件調查，當我們的專家需要存取您的租使用者時，我們會遵循 Just-In-Time 和最低許可權原則，在正確的時間提供正確的存取層級。 為了滿足這些需求，我們在 Microsoft Entra ID 中使用下列功能建置Microsoft Defender 專家許可權平臺：

• GDAP) (更細微的 委派系統管理員許可權：在上線過程中，我們會在您的租使用者上布建Microsoft專家租用戶作為服務提供者，以使用 GDAP 功能，並取得正確的專家存取層級。 授與專家的角色是使用 跨租使用者角色指派 來設定，以確保他們只有您明確授與的許可權。
• Microsoft跨租使用者存取原則：若要對專家對您租使用者的存取強制執行限制，我們必須在我們的專家與您的租用戶之間建立跨租使用者信任。 為了啟用此信任，我們會在您的租用戶中設定跨租使用者存取原則，作為上線的一部分。 這些跨租使用者存取原則是以唯讀許可權建立，以避免任何中斷。
• 外部使用者的條件式存取：我們使用具有強式多重要素驗證 (MFA) 的相容裝置，限制專家從安全環境中存取您的租使用者。 若要強制執行跨租使用者存取原則中設定的信任設定，並封鎖存取，我們會在您的租用戶中設定這些條件式存取原則。
• Just-In-Time (JIT) 存取權：即使您允許我們的專家存取您的環境，我們仍會根據 JIT 許可權限制其存取權，以供案例調查使用，且每個角色的持續時間有限。 我們的專家必須先要求存取權，並在內部系統中取得核准，才能在您的租用戶中獲得適當的角色。 我們的專家對您租使用者的存取權會作為Microsoft登入記錄的一部分進行稽核，以供您檢閱

在客戶租用戶中設定許可權

重要事項

Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該僅限於緊急案例。

選取要授與專家的許可權之後，我們會使用安全性系統管理員或全域管理員內容，在您的租使用者中建立下列原則：

• 將Microsoft專家設定為服務提供者 – 此設定可讓我們的專家以外部共同作業者身分存取租用戶環境，而不需要您為他們建立帳戶。
• 設定專家的角色指派 – 此設定可控制我們的專家在租用戶中允許的角色。 您在上線程式期間選取適當的角色
• 以 MFA 和相容裝置設定跨租使用者存取設定作為信任設定 – 此設定會根據Microsoft專家租使用者中的 MFA 和裝置合規性，設定客戶與Microsoft專家租使用者之間的信任關係。 您可以在 [Microsoft內部標識>符外部>身分識別跨租使用者存取設定] 底下找到此原則，其名稱為 [Microsoft專家]。
• 設定條件式存取原則 – 這些原則會限制我們的專家只能從Microsoft專家透過 MFA 驗證來保護工作站存取您的租使用者。 兩個原則是以命名慣例 設定Microsoft安全性專家原則<名稱>-DO NOT DELETE。

這些原則會在上線程式期間設定，並要求相關系統管理員保持登入以完成步驟。 建立上述原則且許可權設定視為完成之後，您會看到安裝程式已完成的通知。

另請參閱

適用於 XDR Microsoft Defender 專家的重要考慮

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動：Microsoft Defender XDR 技術社群。