Poskytnutí přístupu k poskytovateli spravovaných služeb zabezpečení (MSSP)

  • Článek

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Platí pro:

Pokud chcete implementovat řešení delegovaného přístupu s více tenanty, proveďte následující kroky:

  1. Povolte řízení přístupu na základě role pro Defender for Endpoint prostřednictvím portálu Microsoft Defender a připojte se k Microsoft Entra skupinám.

  2. Pokud chcete povolit žádosti o přístup a zřizování, nakonfigurujte správu nároků pro externí uživatele v rámci Microsoft Entra ID Governance.

  3. Správa žádostí o přístup a auditů v Microsoft Myaccess

Povolení řízení přístupu na základě role v Microsoft Defender for Endpoint na portálu Microsoft Defender

  1. Create přístupové skupiny pro prostředky MSSP v Microsoft Entra ID zákazníků: Skupiny

    Tyto skupiny budou propojené s rolemi, které vytvoříte v Defenderu for Endpoint na portálu Microsoft Defender. Uděláte to tak, že v tenantovi AD zákazníka vytvoříte tři skupiny. V našem ukázkovém přístupu vytvoříme následující skupiny:

    • Analytik vrstvy 1
    • Analytik vrstvy 2
    • Schvalovatelé analytiků MSSP

  2. Create role Defenderu for Endpoint pro odpovídající úrovně přístupu v Customer Defenderu for Endpoint v rolích a skupinách portálu Microsoft Defender.

    Pokud chcete povolit RBAC na portálu Microsoft Defender zákazníka, přejděte k rolím koncových bodů oprávnění > & skupiny > Role s uživatelským účtem s oprávněními globálního správce nebo správce zabezpečení.

    Podrobnosti o přístupu mssp na portálu Microsoft Defender

    Pak vytvořte role RBAC, které splňují požadavky na úroveň SOC MSSP. Propojte tyto role s vytvořenými skupinami uživatelů prostřednictvím přiřazených skupin uživatelů.

    Dvě možné role:

    • Analytici vrstvy 1
      Proveďte všechny akce kromě živé odezvy a spravujte nastavení zabezpečení.

    • Analytici vrstvy 2
      Funkce vrstvy 1 s přidanou odezvou za provozu.

    Další informace najdete v tématu Správa přístupu k portálu pomocí řízení přístupu na základě role.

Konfigurace přístupových balíčků zásad správného řízení

  1. Přidání MSSP jako připojené organizace v Microsoft Entra ID zákazníků: Zásady správného řízení identit

    Když přidáte MSSP jako připojenou organizaci, umožníte mu požádat o přístup a zřizovat přístupy.

    Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Propojená organizace. Přidejte novou organizaci a vyhledejte svého tenanta analytika MSSP prostřednictvím ID tenanta nebo domény. Pro analytiky MSSP doporučujeme vytvořit samostatného tenanta AD.

  2. Create katalogu prostředků v Microsoft Entra ID zákazníků: Zásady správného řízení identit

    Katalogy prostředků jsou logickou kolekcí přístupových balíčků vytvořených v tenantovi AD zákazníka.

    Uděláte to tak, že v tenantovi AD zákazníka otevřete zásady správného řízení identit: Katalogy a přidáte nový katalog. V našem příkladu ho budeme nazývat MSSP Accesses.

    Nový katalog na portálu Microsoft Defender

    Další informace najdete v tématu Create katalogu prostředků.

  3. Create přístupové balíčky pro prostředky MSSP Microsoft Entra ID zákazníka: Zásady správného řízení identit

    Přístupové balíčky jsou kolekce práv a přístupů, které žadateli udělí po schválení.

    Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Přístupové balíčky a přidáte nový přístupový balíček. Create přístupový balíček pro schvalovatele MSSP a každou úroveň analytika. Například následující konfigurace analytika vrstvy 1 vytvoří přístupový balíček, který:

    • Vyžaduje, aby schvalovatelé analytiků MSSP skupiny AD autorizovali nové žádosti.
    • Má roční kontroly přístupu, kde analytici SOC můžou požádat o rozšíření přístupu.
    • Můžou o to požádat jenom uživatelé v tenantovi MSSP SOC.
    • Platnost automatického přístupu vyprší po 365 dnech

    Podrobnosti o novém přístupovém balíčku na portálu Microsoft Defender

    Další informace najdete v tématu Create nového přístupového balíčku.

  4. Poskytnutí odkazu na žádost o přístup k prostředkům MSSP z Microsoft Entra ID zákazníků: Zásady správného řízení identit

    Analytici MSSP SOC používají odkaz Portál Můj přístup k vyžádání přístupu prostřednictvím vytvořených přístupových balíčků. Odkaz je odolný, což znamená, že stejný odkaz může být použit v průběhu času pro nové analytiky. Požadavek analytika přejde do fronty ke schválení schvalovateli analytiků MSSP.

    Vlastnosti přístupu na portálu Microsoft Defender

    Odkaz se nachází na stránce přehledu jednotlivých přístupových balíčků.

Spravovat přístup

  1. Zkontrolujte a autorizaci žádostí o přístup v části Customer nebo MSSP myaccess.

    Žádosti o přístup spravují u zákazníka My Access členové skupiny Schvalovatelé analytika MSSP.

    Uděláte to tak, že k přístupu k myaccess zákazníka použijete: https://myaccess.microsoft.com/@<Customer Domain>.

    Například: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Schvalte nebo zamítat žádosti v části Schválení uživatelského rozhraní.

    V tomto okamžiku je zřízený přístup analytika a každý analytik by měl mít přístup k Microsoft Defender portálu zákazníka:

    https://security.microsoft.com/?tid=<CustomerTenantId> s oprávněními a rolemi, které jim byly přiřazeny.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.