Cloudbrothers
Azure Attack Paths Posts Kategorien Über mich Talks Deutsch
Cloudbrothers

Inhalt

Just-In-Time role assignment in Microsoft Defender

 enthalten in Azure AD Entra ID Identity and Access Security Defender for Endpoint
   1358 wörter   7 minuten 

Lange Zeit war die Zuweisung mehrerer Entra ID (Azure AD)-Rollen an einen Benutzer eine mühsame Aufgabe, wenn diese nicht über ein Skript erfolgte. Jede Rollenzuweisung musste einzeln vorgenommen werden. Dies machte es auch schwierig, Rollenzuweisungen für eine Gruppe von Personen zu ändern.

Das alles änderte sich, als Microsoft Entra ID (Azure AD) rollenzuweisbare Gruppen einführte. Es ist nun möglich, einer Gruppe mehrere Rollen zuzuweisen und die Benutzer zu dieser Gruppe hinzuzufügen. Das macht es viel einfacher, diese Rollenzuweisungen zu verwalten.

Die Funktionen des Privileged Identity Management fügen zusätzliche Sicherheitsfunktionen wie die Just-In-Time-Rollenzuweisung hinzu. Das bedeutet, dass der Benutzer der Rolle nicht dauerhaft zugewiesen ist, sondern nur dann, wenn er sie benötigt. Nach einer bestimmten Zeit wird die aktive Rollenzuweisung automatisch aufgehoben. Außerdem kann ein Genehmigungsprozess für hochprivilegierte Rollen implementiert werden.

Bis vor ein paar Wochen waren diese Funktionen jedoch nur für Entra ID (Azure AD)-Rollen und Azure-Ressourcen verfügbar. Andere Dienste mit ihren eigenen Rollenmanagement-Funktionen unterstützten PIM nicht. Man konnte Zugriffspakete verwenden, um Gruppen zuzuweisen, aber das war keine gute Option, weil es für den Administrator einen zweiten Ort bedeutete, um Berechtigungen anzufordern.

Mit Privileged Access groups, das sich derzeit in der Preview befindet, ändert sich dies. Es ist nun möglich, eine Entra ID (Azure AD) role-assignable Gruppe für privilegierte Zugriffsfunktionen zu aktivieren. Jetzt ist es möglich, einen Benutzer oder eine Gruppe von Benutzern einer anderen AD-Gruppe zuzuweisen und diese Gruppe zu verwenden, um die erforderlichen Rollen in der Applikation deiner Wahl zuzuordnen.

Dies kann Intune, Exchange, Compliance oder, wie ich demonstrieren werde, das Microsoft 365 Defender Portal sein.

Rollen planen

Zunächst musst du entscheiden, welche Fähigkeiten oder sogar Gerätegruppen du mit PIM schützen willst.

  1. Vielleicht möchtest du deinen Analysten eine dauerhafte Berechtigung für den Zugriff auf das Portal erteilen, damit er seine täglichen Aufgaben erledigen kann.
  2. Die zweite Zuweisung könnte für die Verwendung von Live Response sein, aber nur nach zusätzlicher Genehmigung.
  3. Und eine dritte Zuweisungsgruppe ist nur für diejenigen vorgesehen, die administrative Berechtigungen im Portal erhalten müssen. Auch diese Gruppe ist durch einen Genehmigungsworkflow geschützt.

/jit-role-assignment-microsoft-defender/images/Scenarios.png

Wenn du dies für deine Umgebung planst, prüfe welche Rollen derzeit schon verwendet werden und welche Aktionen du eventuell hinter einen Genehmigungs-Workflow stellen möchtest. Du kannst auch so weit gehen, dass du verschiedene Gerätegruppen vor dem Zugriff ohne Genehmigung schützt.

In dieser Schritt-für-Schritt-Anleitung zeige ich, wie du einen genehmigungsbasierten Workflow implementierst, um MDE-Administrator-Berechtigungen zu erhalten. Es werden n Benutzer einer einer Entra ID (Azure AD)-Sicherheitsgruppe (“PIM MDE Administrator”) zugewiesen. Diese Gruppe ist berechtigt, den MemberOf-Status der rollenaktivierten Gruppe (“Role_MDE Administrator”) zu beantragen. Diese Gruppe wiederum ist der Rolle “Microsoft Defender for Endpoint administrator (default)” im Microsoft 365 Defender-Portal zugewiesen.

/jit-role-assignment-microsoft-defender/images/PIMMicrosoft365Defender.png

Azure AD Implementierung

Azure AD Security Gruppe anlegen

Diese Gruppe mit dem Namen “PIM MDE Administrator” wird verwendet, um zu vermeiden, dass man später jeden Benutzer einzeln als berechtigt hinzufügen muss.

Da es sich um eine normale Entra ID (Azure AD)-Gruppe handelt, muss nur ein Namen und eine Beschreibung vergeben werden.

/jit-role-assignment-microsoft-defender/images/NewAzureADGroup.png

Azure AD role enabled Gruppe anlegen

Als nächstes musst du eine zweite Entra ID (Azure AD) Gruppe anlegen, aber die Funktion “Entra ID (Azure AD) roles can be assigned to the group” aktivieren. Dies kann nur bei der Erstellung der Gruppe geschehen und kann später nicht mehr geändert werden. Diese Gruppe heißt in diesem Beispiel “Role_MDE Administrator”.

Notiz
Nur Global Administrators und Privileged Role Administrators können diese Art von Gruppe anlegen.

/jit-role-assignment-microsoft-defender/images/NewAzureADRoleGroup.png

Benutzer hinzufügen

Füge Benutzer zur Gruppe “PIM MDE Administrator” hinzu. Da sie nur berechtigt werden die Rolle anzufordern, können sie diese Berechtigung nicht direkt nutzen, sondern erst, nachdem sie aktiviert wurde.

/jit-role-assignment-microsoft-defender/images/GroupMembers.png

Aktiviere Privileged access

Wechsel zu AAD Gruppe “Role_MDE Administrator” und aktiviere die Privileged access Funktion.

/jit-role-assignment-microsoft-defender/images/EnablePrivilegedAccess.png

/jit-role-assignment-microsoft-defender/images/EnablePrivilegedAccess_2.png

Zuweisungseinstellungen ändern

Nachdem du die Funktion aktiviert hast gibt es ein neues Blade mit neuen Einstellungsmöglichkeiten. Hier auf “Settings” klicken. Diese Einstellungen lassen dich konfigurieren wie welche Arten der Zuweisung für diese Gruppe erlaubt sind und z.B. ob ein Genehmigungsworkflow benötigt wird.

/jit-role-assignment-microsoft-defender/images/Settings.png

Nach dem Klick auf Settings, “Member” auswählen. Dies entspricht dem Mitgliedstyp den die Benutzer später erhalten sollen.

/jit-role-assignment-microsoft-defender/images/Settings-Members.png

In diesem Fall aktiviere ich nun die Notwendigkeit einer Genehmigung durch einen benannten Benutzer.

/jit-role-assignment-microsoft-defender/images/RequireApprovalToActivate.png

Und da eine AAD Gruppe zugewiesen wird entferne ich auch noch die zeitliche Beschränkung für die Zuweisung der Berechtigung.

/jit-role-assignment-microsoft-defender/images/AllowPermanentEligibleAssignment.png

Gruppe zuweisen

Als Letztes musst du nun die Gruppe “PIM MDE Administrator” als permanent “eligible” zuweisen.

/jit-role-assignment-microsoft-defender/images/AddAssignment.png

Alle Vorarbeiten im Entra ID (Azure AD) sind nun erledigt. Als nächstes geht es in M365 Defender Portal.

Microsoft 365 Defender

Rollen Management für Defender aktivieren

Du musst als Erstes die rollenbasierte Zugriffskontrolle in den Einstellungen auf security.microsoft.com aktivieren, wenn dies noch nicht geschehen ist. Dazu sollte man Mitglied der Rolle Entra ID (Azure AD) Global Administrators oder Security Administrators sein, um weiterhin auf das Portal zuzugreifen zu können, nachdem die Änderung vorgenommen wurde. Alle anderen Benutzer verlieren ihren Zugriff, bis du ihnen eine neue Rolle zuweist.

/jit-role-assignment-microsoft-defender/images/EnableRBACinMDE.png

Nach der Aktivierung der RBAC-Funktion ist die Standard-Administratorrolle die einzige vorhandene Rolle.

/jit-role-assignment-microsoft-defender/images/RBACEnabled.png

Rollen anlegen und Rechte und Gruppen zuweisen

Administrator

Als erstes must du die Gruppe “Role_MDE Administrator” der Standard-Administratorrolle zuweisen.

/jit-role-assignment-microsoft-defender/images/AddAdminRole.png

Analystenrolle

Wenn du noch andere Gruppen angelegt hast lege jetzt die entsprechenden Rollen an und weiße auch dort die AAD Gruppen zu. In diesem Beispiel habe ich eine Rolle für Analysten erstellt.

/jit-role-assignment-microsoft-defender/images/RoleAnalyst.png

Notiz
Wenn Gerätegruppen genutzt werden, müssen die Entra ID (Azure AD) Gruppe auch den entsprechenden Gerätegruppen zuweisen.

/jit-role-assignment-microsoft-defender/images/DeviceGroup.png

Konfiguration testen

Jetzt ist es an der Zeit die Konfiguration zu testen.

Info
Verwende unbedingt zwei Benutzer. Es ist nicht möglich im für den eigenen Benutzer eine Genehmigung durchzuführen.

Berechtigung anfordern

Wechsele zum “Privileged Identity Management” Portal und wähle “My roles” und “Privileged access groups

Jetzt solltest du unter “Eligible assignments” die Gruppe “Role_MDE Administrator” mit dem Zuweisungstyp “Group” sehen. Klicke auf “Activate” um den Aktivierungsworkflow zu starten. Gebe eine Begründung ein, und nachdem du auf “aktivieren” geklickt hast, ist dein Antrag zur Genehmigung bereit.

Den aktuellen Status kannst du im Blade “My requests” prüfen.

/jit-role-assignment-microsoft-defender/images/ActivateRole.png

Genehmigung

Melde dich mit dem Benutzer an, der die Berechtigung hat, den Antrag zu genehmigen, und wechsle zu “Approve requests”. Wähle den Antrag aus und klicke auf “Approve”. Je nach deiner Konfiguration musst du nun eine Begründung eingeben und danach wird die Genehmigung erteilt.

Um dies zu überprüfen, gehe zur Gruppe “PIM_MDE-Administratoren” und überprüfe die Gruppenmitgliedschaft. Der antragstellende Benutzer sollte ein Mitglied dieser Gruppe sein. Du kannst auch im Audit-Protokoll nachsehen, ob “MS-PIM” den Benutzer zu der Gruppe hinzugefügt hat.

/jit-role-assignment-microsoft-defender/images/ApprovalAndGroupMembership.png

Zugriff prüfen

Als Letztes musst du überprüfen, ob du jetzt als anfragender Benutzer Zugriff auf das Microsoft 365 Defender Portal hast. Es kann sein, dass du dich vom Portal abmelden musst, wenn du vorher darauf zugegriffen hast. In meinen Tests war das nicht immer der Fall.

Fazit

Mit der Funktion für privilegierte Zugriffsgruppen ist Privileged Identity Management jetzt der One-Stop-Shop für alles, was mit Just-in-Time-Administration zu tun hat. Die Möglichkeiten dieser neuen Funktion sind fast grenzenlos, wenn die Anwendung, die du hinter PIM stellen willst, Entra ID (Azure AD)-Gruppen für Rollenzuweisungen unterstützt.

Derzeit gibt es ein Limit von 400 Entra ID (Azure AD) Gruppen, die die Eigenschaft isAssignableToRole pro Tenant verwenden.

Dass du keine bestehenden Gruppen verwenden kannst, ist meiner Meinung nach keine schlechte Sache, denn es zwingt dich, deine Konfiguration auf der Grundlage der neuen Möglichkeiten zu planen.

Wenn du über die nötigen Lizenzen verfügst, empfehle ich dir, diese Funktion für alle möglichen Verwaltungsanwendungen auszuprobieren. Wenn du bereits Single Sign On mit Entra ID (Azure AD) für deine Anwendungen implementiert hast, sollte es keinen Grund geben, dies nicht zu nutzen. Selbst wenn du für einige Anwendungsfälle aktive Zuweisungen zulassen musst, bündelt dies die administrativen Rollen in einem Portal und der Administrator selbst kann mit dem Blade “Meine Rollen” leicht überprüfen, welche Berechtigungen und Rollen er nutzen kann.

Was derzeit noch fehlt, ist die Funktion “Zugriffsüberprüfung”, aber ich denke, das ist nur eine Frage der Zeit.

Ich persönlich würde die Verwendung von PIM auf verwaltungszentrierte Anwendungsfälle beschränken und die Verwendung von Access Packages für eher benutzerzentrierte Arbeitsabläufe (Softwarezuweisung, etc.) empfehlen.

Aktualisiert am 2021-11-29
Zurück | Startseite