Udělení přístupu k poskytovateli spravovaných služeb zabezpečení (MSSP) (Preview)
Platí pro:
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Pokud chcete implementovat řešení delegovaného přístupu s více tenanty, proveďte následující kroky:
Povolte řízení přístupu na základě role v Defenderu for Endpoint a připojte se ke skupinám Active Directory (AD).
Nakonfigurujte přístupové balíčky zásad správného řízení pro žádosti o přístup a zřizování.
Správa žádostí o přístup a auditů v Microsoft Myaccess
Povolení řízení přístupu na základě role v Microsoft Defender for Endpoint
Create přístupových skupin pro prostředky MSSP v AAD zákazníka: Skupiny
Tyto skupiny jsou propojené s rolemi, které vytvoříte v Defenderu for Endpoint. Uděláte to tak, že v tenantovi AD zákazníka vytvoříte tři skupiny. V našem ukázkovém přístupu vytvoříme následující skupiny:
- Analytik vrstvy 1
- Analytik vrstvy 2
- Schvalovatelé analytiků MSSP
Create role Defenderu for Endpoint pro odpovídající úrovně přístupu v Customer Defenderu for Endpoint.
Pokud chcete povolit RBAC na portálu zákazníka Microsoft Defender, z uživatelského účtu s oprávněními globálního správce nebo správce zabezpečení přejděte na Nastavení > Koncové body >> Role a Zapnout role.
Pak vytvořte role RBAC, které splňují požadavky na úroveň SOC MSSP. Propojte tyto role s vytvořenými skupinami uživatelů prostřednictvím přiřazených skupin uživatelů.
Dvě možné role:
Analytici vrstvy 1
Proveďte všechny akce kromě živé odezvy a spravujte nastavení zabezpečení.
Analytici vrstvy 2
Možnosti vrstvy 1 s přidáním živé odezvy
Další informace najdete v tématu Použití řízení přístupu na základě role.
Konfigurace přístupových balíčků zásad správného řízení
Přidání MSSP jako připojené organizace v AAD zákazníka: Zásady správného řízení identit
Přidání poskytovatele MSSP jako připojené organizace umožní zprostředkovateli mssp požadovat žádosti a mít zřízené přístupy.
Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Propojená organizace. Přidejte novou organizaci a vyhledejte svého tenanta analytika MSSP prostřednictvím ID tenanta nebo domény. Pro analytiky MSSP doporučujeme vytvořit samostatného tenanta AD.
Create katalogu prostředků v AAD zákazníka: Zásady správného řízení identit
Katalogy prostředků jsou logickou kolekcí přístupových balíčků vytvořených v tenantovi AD zákazníka.
Uděláte to tak, že v tenantovi AD zákazníka otevřete zásady správného řízení identit: Katalogy a přidáte nový katalog. V našem příkladu se nazývá MSSP Accesses.
Další informace najdete v tématu Create katalogu prostředků.
Create přístupových balíčků pro prostředky MSSP Customer AAD: Zásady správného řízení identit
Přístupové balíčky jsou kolekce práv a přístupů, které jsou žadateli uděleny po schválení.
Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Přístupové balíčky a přidáte nový přístupový balíček. Create přístupový balíček pro schvalovatele MSSP a každou úroveň analytika. Například následující konfigurace analytika vrstvy 1 vytvoří přístupový balíček, který:
- Vyžaduje, aby schvalovatelé analytiků MSSP skupiny AD autorizovali nové žádosti.
- Má roční kontroly přístupu, kde analytici SOC můžou požádat o rozšíření přístupu.
- Můžou o to požádat jenom uživatelé v tenantovi MSSP SOC.
- Platnost automatického přístupu vyprší po 365 dnech
Další informace najdete v tématu Create nového přístupového balíčku.
Poskytnutí odkazu na žádost o přístup k prostředkům MSSP z AAD zákazníka: Zásady správného řízení identit
Analytici MSSP SOC používají odkaz Portál Můj přístup k vyžádání přístupu prostřednictvím vytvořených přístupových balíčků. Odkaz je odolný, což znamená, že stejný odkaz může být použit v průběhu času pro nové analytiky. Požadavek analytika přejde do fronty ke schválení schvalovateli analytiků MSSP.
Odkaz se nachází na stránce přehledu jednotlivých přístupových balíčků.
Spravovat přístup
Zkontrolujte a autorizaci žádostí o přístup v části Customer nebo MSSP myaccess.
Žádosti o přístup spravují u zákazníka My Access členové skupiny Schvalovatelé analytika MSSP.
Uděláte to tak, že k přístupu k myaccess zákazníka použijete:
https://myaccess.microsoft.com/@<Customer Domain>
.Například:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/
Schvalte nebo zamítat žádosti v části Schválení uživatelského rozhraní.
V tomto okamžiku je zřízený přístup analytika a každý analytik by měl mít přístup k Microsoft Defender portálu zákazníka:
https://security.microsoft.com/?tid=<CustomerTenantId>
Související témata
- Přístup k zákaznickému portálu MSSP
- Konfigurace oznámení o upozorněních
- Načtení upozornění od tenanta zákazníka
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro