Udělení přístupu k poskytovateli spravovaných služeb zabezpečení (MSSP) (Preview)

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Pokud chcete implementovat řešení delegovaného přístupu s více tenanty, proveďte následující kroky:

1. Povolte řízení přístupu na základě role v Defenderu for Endpoint a připojte se ke skupinám Active Directory (AD).

2. Nakonfigurujte přístupové balíčky zásad správného řízení pro žádosti o přístup a zřizování.

3. Správa žádostí o přístup a auditů v Microsoft Myaccess

Povolení řízení přístupu na základě role v Microsoft Defender for Endpoint

1. Create přístupových skupin pro prostředky MSSP v AAD zákazníka: Skupiny

   Tyto skupiny jsou propojené s rolemi, které vytvoříte v Defenderu for Endpoint. Uděláte to tak, že v tenantovi AD zákazníka vytvoříte tři skupiny. V našem ukázkovém přístupu vytvoříme následující skupiny:

   • Analytik vrstvy 1
   • Analytik vrstvy 2
   • Schvalovatelé analytiků MSSP

2. Create role Defenderu for Endpoint pro odpovídající úrovně přístupu v Customer Defenderu for Endpoint.

   Pokud chcete povolit RBAC na portálu zákazníka Microsoft Defender, z uživatelského účtu s oprávněními globálního správce nebo správce zabezpečení přejděte na Nastavení > Koncové body >> Role a Zapnout role.

   Pak vytvořte role RBAC, které splňují požadavky na úroveň SOC MSSP. Propojte tyto role s vytvořenými skupinami uživatelů prostřednictvím přiřazených skupin uživatelů.

   Dvě možné role:

   • Analytici vrstvy 1

     Proveďte všechny akce kromě živé odezvy a spravujte nastavení zabezpečení.

   • Analytici vrstvy 2

     Možnosti vrstvy 1 s přidáním živé odezvy

   Další informace najdete v tématu Použití řízení přístupu na základě role.

Konfigurace přístupových balíčků zásad správného řízení

1. Přidání MSSP jako připojené organizace v AAD zákazníka: Zásady správného řízení identit

   Přidání poskytovatele MSSP jako připojené organizace umožní zprostředkovateli mssp požadovat žádosti a mít zřízené přístupy.

   Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Propojená organizace. Přidejte novou organizaci a vyhledejte svého tenanta analytika MSSP prostřednictvím ID tenanta nebo domény. Pro analytiky MSSP doporučujeme vytvořit samostatného tenanta AD.

2. Create katalogu prostředků v AAD zákazníka: Zásady správného řízení identit

   Katalogy prostředků jsou logickou kolekcí přístupových balíčků vytvořených v tenantovi AD zákazníka.

   Uděláte to tak, že v tenantovi AD zákazníka otevřete zásady správného řízení identit: Katalogy a přidáte nový katalog. V našem příkladu se nazývá MSSP Accesses.

   

   Další informace najdete v tématu Create katalogu prostředků.

3. Create přístupových balíčků pro prostředky MSSP Customer AAD: Zásady správného řízení identit

   Přístupové balíčky jsou kolekce práv a přístupů, které jsou žadateli uděleny po schválení.

   Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Přístupové balíčky a přidáte nový přístupový balíček. Create přístupový balíček pro schvalovatele MSSP a každou úroveň analytika. Například následující konfigurace analytika vrstvy 1 vytvoří přístupový balíček, který:

   • Vyžaduje, aby schvalovatelé analytiků MSSP skupiny AD autorizovali nové žádosti.
   • Má roční kontroly přístupu, kde analytici SOC můžou požádat o rozšíření přístupu.
   • Můžou o to požádat jenom uživatelé v tenantovi MSSP SOC.
   • Platnost automatického přístupu vyprší po 365 dnech

   

   Další informace najdete v tématu Create nového přístupového balíčku.

4. Poskytnutí odkazu na žádost o přístup k prostředkům MSSP z AAD zákazníka: Zásady správného řízení identit

   Analytici MSSP SOC používají odkaz Portál Můj přístup k vyžádání přístupu prostřednictvím vytvořených přístupových balíčků. Odkaz je odolný, což znamená, že stejný odkaz může být použit v průběhu času pro nové analytiky. Požadavek analytika přejde do fronty ke schválení schvalovateli analytiků MSSP.

   

   Odkaz se nachází na stránce přehledu jednotlivých přístupových balíčků.

Spravovat přístup

1. Zkontrolujte a autorizaci žádostí o přístup v části Customer nebo MSSP myaccess.

   Žádosti o přístup spravují u zákazníka My Access členové skupiny Schvalovatelé analytika MSSP.

   Uděláte to tak, že k přístupu k myaccess zákazníka použijete: https://myaccess.microsoft.com/@<Customer Domain>.

   Například: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

2. Schvalte nebo zamítat žádosti v části Schválení uživatelského rozhraní.

   V tomto okamžiku je zřízený přístup analytika a každý analytik by měl mít přístup k Microsoft Defender portálu zákazníka:https://security.microsoft.com/?tid=<CustomerTenantId>

Související témata

• Přístup k zákaznickému portálu MSSP
• Konfigurace oznámení o upozorněních
• Načtení upozornění od tenanta zákazníka

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.