Funktionsweise von Microsoft Defender Experts für XDR-Berechtigungen

Gilt für:

Wenn unsere Experten Zugriff auf Ihre Mandanten benötigen, befolgen wir für Microsoft Defender-Experten für XDR-Incidentuntersuchungen die Just-in-Time-Prinzipien und die Prinzipien der geringsten Rechte, um die richtige Zugriffsebene zur richtigen Zeit bereitzustellen. Um diese Anforderungen zu erfüllen, haben wir die Microsoft Defender Experts-Berechtigungsplattform mit den folgenden Funktionen in Microsoft Entra ID erstellt:

  • Differenzierte delegierte Administratorrechte (GDAP): Im Rahmen des Onboardings stellen wir den Microsoft Experts-Mandanten als Dienstanbieter für Ihren Mandanten bereit, um die GDAP-Funktion zu nutzen und unseren Experten die richtige Zugriffsebene zu bieten. Die Rollen, die unseren Experten gewährt werden, werden mithilfe der mandantenübergreifenden Rollenzuweisung konfiguriert, um sicherzustellen, dass sie nur über Berechtigungen verfügen, die Sie ihnen explizit erteilt haben.
  • Mandantenübergreifende Microsoft Entra-Zugriffsrichtlinien: Um Einschränkungen für den Zugriff unserer Experten auf Ihren Mandanten zu erzwingen, müssen wir eine mandantenübergreifende Vertrauensstellung zwischen unseren Experten und Ihrem Mandanten einrichten. Um diese Vertrauensstellung zu ermöglichen, konfigurieren wir im Rahmen des Onboardings eine mandantenübergreifende Zugriffsrichtlinie in Ihrem Mandanten. Diese mandantenübergreifenden Zugriffsrichtlinien werden mit schreibgeschützten Berechtigungen erstellt, um Unterbrechungen zu vermeiden.
  • Bedingter Zugriff für externe Benutzer: Wir schränken den Zugriff unserer Experten auf Ihre Mandanten aus unserer sicheren Umgebung ein, indem wir kompatible Geräte mit starker Mehr-Faktor-Authentifizierung (MFA) verwenden. Um die in der mandantenübergreifenden Zugriffsrichtlinie konfigurierten Vertrauenseinstellungen zu erzwingen und den Zugriff andernfalls zu blockieren, konfigurieren wir diese Richtlinien für bedingten Zugriff in Ihrem Mandanten.
  • Just-in-Time-Zugriff (JIT): Auch nachdem Sie unseren Experten Zugriff auf Ihre Umgebung gewährt haben, beschränken wir deren Zugriff basierend auf JIT-Berechtigungen für die Falluntersuchung mit begrenzter Dauer für jede Rolle. Unsere Experten müssen zuerst Zugriff anfordern und die Genehmigung in unserem internen System einholen, um die entsprechende Rolle in Ihrem Mandanten zu erhalten. Der Zugriff unserer Experten auf Ihren Mandanten wird als Teil der Microsoft Entra-Anmeldeprotokolle überwacht, damit Sie sie überprüfen können.

Konfigurieren von Berechtigungen in Kundenmandanten

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Nachdem Sie die Berechtigungen ausgewählt haben, die Sie unseren Experten erteilen möchten, erstellen wir die folgenden Richtlinien in Ihrem Mandanten mithilfe des Sicherheitsadministrator- oder globalen Administratorkontexts:

  • Konfigurieren von Microsoft Experts als Dienstanbieter : Mit dieser Einstellung können unsere Experten als externe Mitarbeiter auf die Mandantenumgebung zugreifen, ohne dass Sie Konten für sie erstellen müssen.
  • Konfigurieren von Rollenzuweisungen für unsere Experten : Diese Einstellung steuert die Rollen, die unsere Experten im Mandanten zulässig sind. Sie wählen während des Onboardingprozesses die entsprechenden Rollen aus.
  • Konfigurieren mandantenübergreifender Zugriffseinstellungen mit MFA und kompatiblem Gerät als Vertrauenseinstellungen : Mit dieser Einstellung wird eine Vertrauensstellung zwischen Kunden- und Microsoft Experts-Mandanten basierend auf MFA und Gerätekonformität im Microsoft Experts-Mandanten konfiguriert. Diese Richtlinie finden Sie unter Microsoft Entra ID>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen mit dem Namen Microsoft Experts.
  • Konfigurieren von Richtlinien für bedingten Zugriff : Diese Richtlinien schränken unsere Experten ein, nur über die sicheren Microsoft Experts-Arbeitsstationen mit MFA-Überprüfung auf Ihren Mandanten zuzugreifen. Zwei Richtlinien werden mit der Namenskonvention Microsoft Security Experts-policy< name-DO> NOT DELETE konfiguriert.

Diese Richtlinien werden während des Onboardingprozesses konfiguriert und erfordern, dass der relevante Administrator angemeldet bleibt, um die Schritte auszuführen. Sobald die oben genannten Richtlinien erstellt wurden und die Einrichtung der Berechtigungen als abgeschlossen gilt, wird eine Benachrichtigung angezeigt, dass das Setup abgeschlossen ist.

Siehe auch

Wichtige Überlegungen zu Microsoft Defender Experts for XDR

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.