Condividi tramite

Funzionamento delle autorizzazioni di Microsoft Defender Experts per XDR

  • Articolo

Si applica a:

Per le indagini sugli eventi imprevisti di Microsoft Defender Experts for XDR, quando i nostri esperti hanno bisogno di accedere ai tenant, seguiamo i principi just-in-time e dei privilegi minimi per fornire il giusto livello di accesso al momento giusto. Per soddisfare questi requisiti, è stata creata la piattaforma per le autorizzazioni di Microsoft Defender Experts usando le funzionalità seguenti in Microsoft Entra ID:

  • Privilegi di amministratore delegato granulare (GDAP): nell'ambito dell'onboarding, viene effettuato il provisioning del tenant microsoft experts come provider di servizi nel tenant per usare la funzionalità GDAP e ottenere il livello di accesso corretto agli esperti. I ruoli concessi agli esperti vengono configurati usando l'assegnazione di ruolo tra tenant per garantire che dispongano solo delle autorizzazioni concesse in modo esplicito.
  • Criteri di accesso tra tenant di Microsoft Entra: per applicare restrizioni all'accesso dei nostri esperti al tenant, è necessario stabilire un trust tra i tenant tra i nostri esperti e il tenant. Per abilitare questa attendibilità, viene configurato un criterio di accesso tra tenant nel tenant come parte dell'onboarding. Questi criteri di accesso tra tenant vengono creati con autorizzazioni di sola lettura per evitare interruzioni.
  • Accesso condizionale per gli utenti esterni: limitiamo l'accesso dei nostri esperti ai tenant dall'ambiente sicuro usando dispositivi conformi con autenticazione a più fattori avanzata. Per applicare le impostazioni di attendibilità configurate nei criteri di accesso tra tenant e bloccare l'accesso in caso contrario, questi criteri di accesso condizionale vengono configurati nel tenant.
  • Accesso JIT (Just-in-Time): anche dopo aver consentito ai nostri esperti l'accesso all'ambiente, l'accesso viene limitato in base alle autorizzazioni JIT per l'analisi dei casi, con una durata limitata per ogni ruolo. I nostri esperti devono prima richiedere l'accesso e ottenere l'approvazione nel sistema interno per ottenere il ruolo appropriato nel tenant. L'accesso dei nostri esperti al tenant viene controllato come parte dei log di accesso di Microsoft Entra da esaminare

Configurazione delle autorizzazioni nei tenant dei clienti

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Dopo aver selezionato le autorizzazioni che si desidera concedere agli esperti, vengono creati i criteri seguenti nel tenant usando il contesto Amministratore della sicurezza o Amministratore globale:

  • Configurare Microsoft Experts come provider di servizi : questa impostazione consente ai nostri esperti di accedere all'ambiente tenant come collaboratori esterni senza richiedere la creazione di account.
  • Configurare le assegnazioni di ruolo per gli esperti : questa impostazione controlla i ruoli consentiti dagli esperti nel tenant. Selezionare i ruoli appropriati durante il processo di onboarding
  • Configurare le impostazioni di accesso tra tenant con MFA e dispositivo conforme come impostazioni di attendibilità : questa impostazione configura una relazione di trust tra il cliente e i tenant di Microsoft Experts in base all'autenticazione a più fattori e alla conformità del dispositivo nel tenant di Microsoft Experts. Questo criterio è disponibile in Microsoft Entra ID>External Identities>Cross-tenant access Settings with the name Microsoft Experts (Impostazioni di accesso tra tenant con il nome Microsoft Experts).
  • Configurare i criteri di accesso condizionale : questi criteri limitano gli esperti ad accedere solo al tenant dalle workstation sicure di Microsoft Experts con la verifica dell'autenticazione a più fattori. Due criteri sono configurati con la convenzione di denominazione Microsoft Security Experts-policy< name-DO> NOT DELETE.

Questi criteri vengono configurati durante il processo di onboarding e richiedono all'amministratore pertinente di rimanere connesso per completare i passaggi. Dopo aver creato i criteri precedenti e aver considerato completata la configurazione delle autorizzazioni, verrà visualizzata una notifica che indica che l'installazione è stata completata.

Vedere anche

Considerazioni importanti per Microsoft Defender Experts per XDR

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.