Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
управление привилегированными пользователями (PIM) — это функция Azure, которая предоставляет пользователям доступ к данным на ограниченный период времени (иногда называемый фиксированным периодом времени). Доступ предоставляется «точно в срок» для выполнения необходимого действия, а затем отзывается. PIM ограничивает доступ пользователей к конфиденциальным данным, что снижает риск по сравнению с традиционными учетными записями администратора с постоянным доступом к данным и другими параметрами. Итак, как использовать эту функцию (PIM) с Microsoft Defender для Office 365?
Совет
Доступ PIM определяется на уровне роли и удостоверения, что позволяет выполнять несколько задач. В отличие от этого, управление привилегированным доступом (PAM) ограничивается на уровне задачи.
Действия по использованию PIM для предоставления JIT-доступа к задачам, связанным с Defender для Office 365
Настроив PIM для работы с Microsoft Defender для Office 365, администраторы создают процесс запроса и обоснования необходимых им повышенных привилегий.
В этой статье используется сценарий для пользователя с именем Алекс в группе безопасности. Мы можем повысить разрешения Алекса в следующих сценариях:
- Разрешения для обычных повседневных операций (например, охота на угрозы).
- Временный более высокий уровень привилегий для менее частых конфиденциальных операций (например, исправление вредоносной электронной почты).
Совет
Хотя в этой статье содержатся конкретные шаги для Алекса в команде безопасности, вы можете выполнить те же действия для других разрешений. Например, если сотруднику, работающему с информацией, требуется ежедневный доступ к eDiscovery для выполнения поиска и работы с делами, но при этом иногда ему также нужны повышенные разрешения для экспорта данных из организации.
Шаг 1. В консоли Azure PIM своей подписки добавьте пользователя (Алексей) в роль "Читатель сведений о безопасности" Azure и настройте параметры безопасности, связанные с активацией.
- Войдите в Центр администрирования Microsoft Entra и выберите Microsoft Entra ID>Роли и администраторы.
- Щелкните Читатель сведений о безопасности в списке ролей и выберите Параметры>Изменить
- Задайте для параметра Максимальная длительность активации (в часах) длительность обычного рабочего дня, а для параметра "Требовать при активации" — вариант Azure MFA.
- Так как это обычный уровень прав Алекса для повседневных операций, снимите флажок Требовать обоснование при активации>Обновить.
- Выберите Добавить назначения>Нет выбранного> участника. Выберите или введите имя, чтобы найти нужного участника.
- Нажмите кнопку Выбрать, чтобы выбрать участника, которого необходимо добавить для получения привилегий PIM>, затем нажмите Далее>, не вносите изменений на странице «Добавление назначения» (значения Допустимый для типа назначения и Постоянно допустимый для длительности используются по умолчанию) и нажмите Назначить.
Имя пользователя (Alex в этом сценарии) отображается в разделе Допустимые назначения на следующей странице. Отображение пользователя в разделе «Доступные назначения» означает, что он может активировать эту роль в PIM, используя параметры активации, которые вы настроили для роли «Читатель сведений о безопасности».
Примечание.
Краткий обзор управление привилегированными пользователями см. в статье Обзор управление привилегированными пользователями.
Шаг 2. Создайте необходимую вторую группу разрешений (с повышенными привилегиями) для других задач и назначьте право на участие.
С помощью групп привилегированного доступа теперь можно создавать собственные настраиваемые группы и объединять разрешения или увеличивать детализацию, если это необходимо для соблюдения рекомендаций и потребностей организации.
Создание роли или группы ролей с необходимыми разрешениями
Используйте один из следующих способов:
Или
- Создайте пользовательскую роль в унифицированной системе управления доступом на основе ролей (RBAC) Microsoft Defender. Сведения и инструкции см. в статье Начало использования Microsoft Defender унифицированной модели RBAC. Сведения о шаблонах ролей для Defender для Office 365 и действиях по настройке см. в статье How to configure Unified RBAC for Defender для Office 365.
Для любого из методов:
- Используйте описательное имя (например, Contoso Search and Purge PIM).
- Не добавляйте участников. Добавьте необходимые разрешения, сохраните и перейдите к следующему шагу.
Создание группы безопасности в Microsoft Entra ID для повышенных разрешений
Создайте группу безопасности Microsoft Entra для хранения повышенных разрешений и включения PIM для группы.
- Вернитесь в центр администрирования Microsoft Entra и перейдите в Microsoft Entra ID>Группы>Новая группа.
- Назовите группу Microsoft Entra в соответствии с ее назначением. Сейчас владельцы или члены не требуются.
- Установите для параметра «Назначение ролей Microsoft Entra группе» значение Да.
- Не добавляйте роли, участников или владельцев — создайте группу.
- Назад в созданную группу и выберите управление привилегированными пользователями>Enable PIM.
- В группе выберите Доступные назначения>Добавить назначение> Добавьте пользователя, которому требуется функция «Поиск и очистка», с ролью Участник.
- Настройте Параметры в области привилегированного доступа группы. Выберите Изменить, чтобы изменить настройки роли Member.
- Измените время активации в соответствии с требованиями организации. В этом примере требуется Microsoft Entra многофакторную проверку подлинности, обоснование и сведения о билете перед нажатием кнопки Обновить.
Вложите только что созданную группу безопасности в группу ролей
Примечание.
Добавление группы безопасности в группу ролей требуется только в том случае, если вы использовали группу ролей «Электронная почта и совместная работа» в Создание роли или группы ролей с необходимыми разрешениями. Единая модель RBAC в Defender поддерживает прямое назначение разрешений группам Microsoft Entra, и вы можете добавлять участников в группу для PIM.
Подключитесь к PowerShell для Security & Compliance и выполните следующую команду, чтобы добавить группу безопасности Azure в качестве участника группы ролей, что предоставит участникам этой группы разрешения, назначенные этой группе ролей:
Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
Тестирование конфигурации PIM в Defender для Office 365
Выполните следующие действия, чтобы убедиться, что конфигурация PIM предоставляет ожидаемый повседневный и повышенный доступ.
Войдите с помощью тестового пользователя (Alex), у которого на данный момент не должно быть административного доступа на портале Microsoft Defender.
В центре администрирования Microsoft Entra откройте управление привилегированными пользователями и активируйте роль читателя сведений о безопасности для повседневной работы.
Если вы попытаетесь удалить сообщение электронной почты с помощью обозревателя угроз, появится ошибка с сообщением о том, что у вас недостаточно прав.
Активируйте группу PIM Elevated Search and Purge в системе управление привилегированными пользователями. После короткой задержки вы сможете очистить сообщения электронной почты без проблем.
Постоянное назначение административных ролей и разрешений не соответствует инициативе безопасности "Никому не доверяй". Вместо этого можно использовать PIM, чтобы предоставлять оперативный доступ к необходимым инструментам.
Спасибо инженеру по работе с клиентами Бену Харрису за доступ к записи блога и ресурсам, использованным для этого контента.