Управление привилегированными пользователями (PIM) и зачем его использовать в Microsoft Defender для Office 365

управление привилегированными пользователями (PIM) — это функция Azure, которая предоставляет пользователям доступ к данным на ограниченный период времени (иногда называемый фиксированным периодом времени). Доступ предоставляется «точно в срок» для выполнения необходимого действия, а затем отзывается. PIM ограничивает доступ пользователей к конфиденциальным данным, что снижает риск по сравнению с традиционными учетными записями администратора с постоянным доступом к данным и другими параметрами. Итак, как использовать эту функцию (PIM) с Microsoft Defender для Office 365?

Совет

Доступ PIM определяется на уровне роли и удостоверения, что позволяет выполнять несколько задач. В отличие от этого, управление привилегированным доступом (PAM) ограничивается на уровне задачи.

Настроив PIM для работы с Microsoft Defender для Office 365, администраторы создают процесс запроса и обоснования необходимых им повышенных привилегий.

В этой статье используется сценарий для пользователя с именем Алекс в группе безопасности. Мы можем повысить разрешения Алекса в следующих сценариях:

Совет

Хотя в этой статье содержатся конкретные шаги для Алекса в команде безопасности, вы можете выполнить те же действия для других разрешений. Например, если сотруднику, работающему с информацией, требуется ежедневный доступ к eDiscovery для выполнения поиска и работы с делами, но при этом иногда ему также нужны повышенные разрешения для экспорта данных из организации.

Шаг 1. В консоли Azure PIM своей подписки добавьте пользователя (Алексей) в роль "Читатель сведений о безопасности" Azure и настройте параметры безопасности, связанные с активацией.

  1. Войдите в Центр администрирования Microsoft Entra и выберите Microsoft Entra ID>Роли и администраторы.
  2. Щелкните Читатель сведений о безопасности в списке ролей и выберите Параметры>Изменить
  3. Задайте для параметра Максимальная длительность активации (в часах) длительность обычного рабочего дня, а для параметра "Требовать при активации" — вариант Azure MFA.
  4. Так как это обычный уровень прав Алекса для повседневных операций, снимите флажок Требовать обоснование при активации>Обновить.
  5. Выберите Добавить назначения>Нет выбранного> участника. Выберите или введите имя, чтобы найти нужного участника.
  6. Нажмите кнопку Выбрать, чтобы выбрать участника, которого необходимо добавить для получения привилегий PIM>, затем нажмите Далее>, не вносите изменений на странице «Добавление назначения» (значения Допустимый для типа назначения и Постоянно допустимый для длительности используются по умолчанию) и нажмите Назначить.

Имя пользователя (Alex в этом сценарии) отображается в разделе Допустимые назначения на следующей странице. Отображение пользователя в разделе «Доступные назначения» означает, что он может активировать эту роль в PIM, используя параметры активации, которые вы настроили для роли «Читатель сведений о безопасности».

Примечание.

Краткий обзор управление привилегированными пользователями см. в статье Обзор управление привилегированными пользователями.

Страница сведений о параметрах роли «Читатель сведений о безопасности»

Шаг 2. Создайте необходимую вторую группу разрешений (с повышенными привилегиями) для других задач и назначьте право на участие.

С помощью групп привилегированного доступа теперь можно создавать собственные настраиваемые группы и объединять разрешения или увеличивать детализацию, если это необходимо для соблюдения рекомендаций и потребностей организации.

Создание роли или группы ролей с необходимыми разрешениями

Используйте один из следующих способов:

Или

Для любого из методов:

  • Используйте описательное имя (например, Contoso Search and Purge PIM).
  • Не добавляйте участников. Добавьте необходимые разрешения, сохраните и перейдите к следующему шагу.

Создание группы безопасности в Microsoft Entra ID для повышенных разрешений

Создайте группу безопасности Microsoft Entra для хранения повышенных разрешений и включения PIM для группы.

  1. Вернитесь в центр администрирования Microsoft Entra и перейдите в Microsoft Entra ID>Группы>Новая группа.
  2. Назовите группу Microsoft Entra в соответствии с ее назначением. Сейчас владельцы или члены не требуются.
  3. Установите для параметра «Назначение ролей Microsoft Entra группе» значение Да.
  4. Не добавляйте роли, участников или владельцев — создайте группу.
  5. Назад в созданную группу и выберите управление привилегированными пользователями>Enable PIM.
  6. В группе выберите Доступные назначения>Добавить назначение> Добавьте пользователя, которому требуется функция «Поиск и очистка», с ролью Участник.
  7. Настройте Параметры в области привилегированного доступа группы. Выберите Изменить, чтобы изменить настройки роли Member.
  8. Измените время активации в соответствии с требованиями организации. В этом примере требуется Microsoft Entra многофакторную проверку подлинности, обоснование и сведения о билете перед нажатием кнопки Обновить.

Вложите только что созданную группу безопасности в группу ролей

Примечание.

Добавление группы безопасности в группу ролей требуется только в том случае, если вы использовали группу ролей «Электронная почта и совместная работа» в Создание роли или группы ролей с необходимыми разрешениями. Единая модель RBAC в Defender поддерживает прямое назначение разрешений группам Microsoft Entra, и вы можете добавлять участников в группу для PIM.

  1. Подключитесь к PowerShell для Security & Compliance и выполните следующую команду, чтобы добавить группу безопасности Azure в качестве участника группы ролей, что предоставит участникам этой группы разрешения, назначенные этой группе ролей:

    Add-RoleGroupMember "<Role Group Name>" -Member "<Azure Security Group>"`
    

Тестирование конфигурации PIM в Defender для Office 365

Выполните следующие действия, чтобы убедиться, что конфигурация PIM предоставляет ожидаемый повседневный и повышенный доступ.

  1. Войдите с помощью тестового пользователя (Alex), у которого на данный момент не должно быть административного доступа на портале Microsoft Defender.

  2. В центре администрирования Microsoft Entra откройте управление привилегированными пользователями и активируйте роль читателя сведений о безопасности для повседневной работы.

  3. Если вы попытаетесь удалить сообщение электронной почты с помощью обозревателя угроз, появится ошибка с сообщением о том, что у вас недостаточно прав.

  4. Активируйте группу PIM Elevated Search and Purge в системе управление привилегированными пользователями. После короткой задержки вы сможете очистить сообщения электронной почты без проблем.

    Панель действий на вкладке

Постоянное назначение административных ролей и разрешений не соответствует инициативе безопасности "Никому не доверяй". Вместо этого можно использовать PIM, чтобы предоставлять оперативный доступ к необходимым инструментам.

Спасибо инженеру по работе с клиентами Бену Харрису за доступ к записи блога и ресурсам, использованным для этого контента.