Microsoft适用于 XDR 权限的 Defender 专家的工作原理

  • 项目

适用于:

对于用于 XDR 事件调查的 Microsoft Defender 专家,当我们的专家需要访问你的租户时,我们遵循实时和最低特权原则,以便在正确的时间提供适当的访问权限级别。 为了满足这些要求,我们在 Entra ID Microsoft使用以下功能构建了 Microsoft Defender 专家权限平台:

  • (GDAP) 细化委派管理员权限 :作为加入的一部分,我们会将 Microsoft Experts 租户预配为租户上的服务提供商,以使用 GDAP 功能,并为我们的专家提供适当的访问权限级别。 使用 跨租户角色分配 配置授予专家的角色,以确保他们仅具有你显式授予他们的权限。
  • Microsoft Entra 跨租户访问策略:若要对专家访问租户实施限制,需要在专家与租户之间建立跨租户信任。 为了启用此信任,我们会在加入过程中在租户中配置跨租户访问策略。 这些跨租户访问策略是使用只读权限创建的,以避免出现任何中断。
  • 外部用户的条件访问:通过使用具有强多重身份验证 (MFA) 的合规设备,限制专家从安全环境访问租户。 若要强制实施跨租户访问策略中配置的信任设置,否则会阻止访问,我们在租户中配置这些条件访问策略。
  • 实时 (JIT) 访问权限:即使已允许我们的专家访问你的环境,我们也会根据 JIT 权限来限制他们访问案例调查的权限,并且每个角色的持续时间有限。 我们的专家必须首先请求访问权限并在内部系统中获得批准,才能在租户中担任相应角色。 我们的专家对租户的访问权限作为Microsoft Entra 登录日志的一部分进行审核,供你查看

在客户租户中配置权限

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

选择要授予专家的权限后,我们会使用安全管理员或全局管理员上下文在租户中创建以下策略:

  • 将 Microsoft 专家配置为服务提供商 – 此设置允许我们的专家以外部协作者的身份访问租户环境,而无需你为他们创建帐户。
  • 为专家配置角色分配 – 此设置控制专家在租户中允许的角色。 在载入过程中选择适当的角色
  • 使用 MFA 和合规设备作为信任设置配置跨租户访问设置 – 此设置根据 Microsoft Experts 租户中的 MFA 和设备符合性配置客户与 Microsoft Experts 租户之间的信任关系。 此策略可以在 “Microsoft”条目 ID>外部标识>跨租户访问设置“ 下找到 ,名称Microsoft专家
  • 配置条件访问策略 - 这些策略限制我们的专家仅从具有 MFA 验证的 Microsoft Experts 安全工作站访问租户。 两个策略配置了命名约定 Microsoft安全专家-<策略名称> DO NOT DELETE

这些策略是在载入过程中配置的,并要求相关管理员保持登录状态才能完成这些步骤。 创建上述策略并认为权限设置已完成后,你将看到设置已完成的通知。

另请参阅

Microsoft适用于 XDR 的 Defender 专家的重要注意事项

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动