Privileged Identity Management (PIM) 和搭配適用於 Office 365 的 Microsoft Defender 使用的原因
Privileged Identity Management (PIM) 是一項 Azure 功能,可讓使用者在一段有限的時間記憶體取數據, (有時稱為時間 ) 。 系統會提供「Just-In-Time」存取以採取必要的動作,然後移除存取權。 PIM 會限制使用者存取敏感數據,相較於具有永久數據存取權和其他設定的傳統系統管理員帳戶,這可降低風險。 那麼,如何搭配使用此功能 (PIM) 與 適用於 Office 365 的 Microsoft Defender?
提示
PIM 存取的範圍限於角色和身分識別層級,以允許完成多個工作。 相反地,特殊許可權存取管理 (PAM) 的範圍是在工作層級。
使用 PIM 來授與適用於 Office 365 的 Defender 相關工作的 Just-In-Time 存取步驟
藉由設定 PIM 以使用 適用於 Office 365 的 Microsoft Defender,系統管理員會建立一個程式,讓使用者要求並證明其所需的提高許可權。
本文使用安全性小組中名為 Alex 的使用者案例。 我們可以在下列案例中提高 Alex 的許可權:
- 一般日常作業的許可權 (例如 威脅搜捕) 。
- 暫時的較高許可權等級,適用於較不頻繁的敏感性作業, (例如 補救惡意傳遞的電子郵件) 。
提示
雖然文章包含案例的特定步驟,但您可以針對其他許可權執行相同的步驟。 例如,當資訊工作者需要電子檔探索中的日常存取權來執行搜尋和案例工作,但偶爾需要提高許可權才能從組織導出數據時。
步驟 1. 在您訂用帳戶的 Azure PIM 主控台中,將使用者 (Alex) 新增至 Azure 安全性讀取者角色,並設定與啟用相關的安全性設定。
- 登入 Microsoft Entra 管理員 中心,然後選取 [Microsoft Entra ID>][角色和系統管理員]。
- 選取角色清單中的 [安全性讀取者] ,然後[設定]>[編輯]
- 將‘啟用最大持續期間 (小時)’設定為一般工作日,並將‘開啟啟用’ 設為要求 Azure MFA。
- 由於這是Alex針對日常作業的正常許可權等級,因此請取消核取 [啟用>更新時需要理由]。
- 選取 [新增指>派未選取成員] 選取>或輸入名稱以搜尋正確的成員。
- 選取 [ 選 取] 按鈕以選擇您需要為 PIM > 許可權新增的成員,選取 [ 下一步> ] 在 [新增指派] 頁面上不進行任何變更 (指派類型 [ 合格 ] 和 [ 永久合格] 都是預設) 和 [指派]。
此案例中 (Alex 的使用者名稱) 會出現在下一頁的 [合格指派] 底下。 此結果表示他們能夠使用稍早設定的設定,將 PIM 放入角色中。
注意事項
若要快速檢閱 Privileged Identity Management,請參閱這段影片。
步驟 2. Create 其他工作所需的第二個 (提高許可權) 許可權群組,並指派資格。
使用 特殊權限存取群組,我們現在可以建立自己的自訂群組,並在必要時合併權限或增加規模,以符合貴組織的做法和需求。
Create 具有必要許可權的角色或角色群組
請使用下列其中一種方法:
或
- Create RBAC) Microsoft Defender 全面偵測回應 統一角色型訪問控制 (中的自定義角色。 如需詳細資訊和指示,請參閱開始使用 Microsoft Defender 全面偵測回應 整合 RBAC 模型。
針對任一方法:
- 使用描述性名稱 (例如『Contoso 搜尋 和清除 PIM』) 。
- 請勿新增成員。 新增必要的許可權、儲存,然後移至下一個步驟。
在 Microsoft Entra ID 中 Create 安全組以取得提升的許可權
- 流覽回 Microsoft Entra 管理員 中心,然後流覽至 [Microsoft Entra ID>群組>新群組]。
- 將您的 Microsoft Entra 組命名為以反映其用途,目前不需要擁有者或成員。
- 將 Microsoft Entra 角色指派給群組為 [是]。
- 請勿新增任何角色、成員或擁有者,請建立群組。
- 返回 至您建立的群組,然後選取 [Privileged Identity Management>啟用 PIM]。
- 在群組中,選取 [合格指派>][新增指派>][新增需要 搜尋 & 清除的使用者作為成員角色]。
- 在群組的 [特殊權限存取] 窗格內進行 [設定]。 選擇以 [編輯] [成員] 角色的設定。
- 變更啟用時間以適合貴組織需要。 此範例需要 Microsoft Entra 多重要素驗證、理由和票證資訊,才能選取 [更新]。
將新建立的安全性群組巢狀至角色群組中。
注意事項
只有當您在 Create 具有必要許可權的角色或角色群組中使用 Email & 共同作業角色群組時,才需要此步驟。 Defender 全面偵測回應 整合 RBAC 支援將直接許可權指派給 Microsoft Entra 群組,而且您可以將成員新增至 PIM 的群組。
連線至安全性與合規性 PowerShell 並執行下列命令:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
使用適用於 Office 365 的 Defender 來測試 PIM 設定
使用測試使用者 (Alex) 登入,此時 Microsoft Defender 入口網站中不應該有系統管理存取權。
瀏覽至 PIM,使用者可以在其中啟動日常的安全性讀取者角色。
如果您嘗試使用威脅總管清除電子郵件,您會收到錯誤,指出您需要更多許可權。
將第二個時間 PIM 入更高的角色中,在短暫延遲後您應該可以沒有問題地清除電子郵件。
![[電子郵件] 索引標籤底下的 [動作] 窗格](media/pim-mdo-add-the-search-and-purge-role-assignment-to-this-pim-role.png)
![[電子郵件] 索引標籤底下的 [動作] 窗格](media/pim-mdo-add-the-search-and-purge-role-assignment-to-this-pim-role.png#lightbox)
系統管理角色和許可權的永久指派與 零信任 安全性計劃不一致。 相反地,您可以使用 PIM 來授與所需工具的 Just-In-Time 存取權。
感謝客戶工程師 Ben Thanks 存取部落格文章及此內容所使用的資源。