MSSP(관리되는 보안 서비스 공급자) 액세스 제공Provide managed security service provider (MSSP) access

중요

개선된 Microsoft 365 보안 센터를 사용할 수 있습니다.The improved Microsoft 365 security center is now available. 이 새로운 환경은 엔드포인트용 Defender, Office 365용 Defender, Microsoft 365 Defender 등을 Microsoft 365 보안 센터에 제공합니다.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 새로운 기능에 대해 알아보세요.Learn what's new.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.Microsoft makes no warranties, express or implied, with respect to the information provided here.

적용 대상:Applies to:

다중 테넌트 위임 액세스 솔루션을 구현하기 위해 다음 단계를 수행합니다.To implement a multi-tenant delegated access solution, take the following steps:

  1. Microsoft 365 센터의 Endpoint용 Defender에서 역할 기반 액세스 제어를 사용하도록 설정하고 Azure Active Directory(Azure AD) 그룹에 연결합니다.Enable role-based access control in Defender for Endpoint in Microsoft 365 security center and connect with Azure Active Directory (Azure AD) groups.

  2. 액세스 요청 및 프로비저닝을 위해 거버넌스 액세스 패키지를 구성합니다.Configure Governance Access Packages for access request and provisioning.

  3. Microsoft Myaccess에서 액세스 요청 및 감사를 관리합니다.Manage access requests and audits in Microsoft Myaccess.

보안 센터에서 끝점에 대해 Microsoft Defender에서 역할 기반 액세스 Microsoft 365 사용Enable role-based access controls in Microsoft Defender for Endpoint in Microsoft 365 security center

  1. 고객 AAD에서 MSSP 리소스에 대한 액세스 그룹 만들기: 그룹Create access groups for MSSP resources in Customer AAD: Groups

    이러한 그룹은 보안 센터의 Endpoint용 Defender에서 만든 역할에 Microsoft 365 연결됩니다.These groups will be linked to the Roles you create in Defender for Endpoint in Microsoft 365 security center. 이렇게 하여 고객 AD 테넌트에서 세 개의 그룹을 만드면 됩니다.To do so, in the customer AD tenant, create three groups. 이 예제에서는 다음 그룹을 생성합니다.In our example approach, we create the following groups:

    • 계층 1 분석가Tier 1 Analyst
    • 계층 2 분석가Tier 2 Analyst
    • MSSP 분석가 승인자MSSP Analyst Approvers
  2. 보안 센터 역할 및 그룹의 끝점용 Customer Defender에서 적절한 액세스 수준에 Microsoft 365 끝점 역할에 대한 Defender를 만들 수 있습니다.Create Defender for Endpoint roles for appropriate access levels in Customer Defender for Endpoint in Microsoft 365 security center roles and groups.

    고객 Microsoft 365 보안 센터에서 RBAC를 사용하도록 설정하려면 사용 권한 > 끝점 역할 & > 전역 관리자 또는 보안 관리자 권한이 있는 사용자 계정을 사용하여 역할 그룹에 액세스합니다.To enable RBAC in the customer Microsoft 365 security center, access Permissions > Endpoints roles & groups > Roles with a user account with Global Administrator or Security Administrator rights.

    MSSP 액세스 이미지

    그런 다음 MSSP SOC 계층 요구 사항을 충족하는 RBAC 역할을 생성합니다.Then, create RBAC roles to meet MSSP SOC Tier needs. "할당된 사용자 그룹"을 통해 이러한 역할을 만든 사용자 그룹에 연결합니다.Link these roles to the created user groups via "Assigned user groups".

    가능한 두 가지 역할:Two possible roles:

    • 계층 1 분석가Tier 1 Analysts
      라이브 응답을 제외한 모든 작업을 수행하고 보안 설정을 관리합니다.Perform all actions except for live response and manage security settings.

    • 계층 2 분석가Tier 2 Analysts
      실시간 응답이 추가된 계층 1 기능Tier 1 capabilities with the addition to live response

    자세한 내용은 역할 기반 액세스 제어 사용을 참조하세요.For more information, see Use role-based access control.

거버넌스 액세스 패키지 구성Configure Governance Access Packages

  1. 고객 AAD에서 MSSP를 연결된 조직으로 추가: ID 거버넌스Add MSSP as Connected Organization in Customer AAD: Identity Governance

    MSSP를 연결된 조직으로 추가하면 MSSP가 프로비전된 액세스를 요청하고 액세스할 수 있습니다.Adding the MSSP as a connected organization will allow the MSSP to request and have accesses provisioned.

    이렇게 하려면 고객 AD 테넌트에서 ID 거버넌스: 연결된 조직에 액세스합니다.To do so, in the customer AD tenant, access Identity Governance: Connected organization. 새 조직을 추가하고 테넌트 ID 또는 도메인을 통해 MSSP 분석가 테넌트 검색Add a new organization and search for your MSSP Analyst tenant via Tenant ID or Domain. MSSP 분석가를 위한 별도의 AD 테넌트 만들기를 제안합니다.We suggest creating a separate AD tenant for your MSSP Analysts.

  2. 고객 AAD에서 리소스 카탈로그 만들기: ID 거버넌스Create a resource catalog in Customer AAD: Identity Governance

    리소스 카탈로그는 고객 AD 테넌트에서 만든 액세스 패키지의 논리적 컬렉션입니다.Resource catalogs are a logical collection of access packages, created in the customer AD tenant.

    이를 위해 고객 AD 테넌트에서 ID 거버넌스: 카탈로그에 액세스하고 새 카탈로그를 추가합니다.To do so, in the customer AD tenant, access Identity Governance: Catalogs, and add New Catalog. 이 예제에서는 MSSP Accesses 를 호출합니다.In our example, we will call it MSSP Accesses.

    새 카탈로그의 이미지

    자세한 내용은 리소스 카탈로그 만들기를 참조하세요.Further more information, see Create a catalog of resources.

  3. MSSP 리소스 고객 AAD: ID 거버넌스에 대한 액세스 패키지 만들기Create access packages for MSSP resources Customer AAD: Identity Governance

    액세스 패키지는 승인 시 요청자에 부여되는 권한 및 액세스의 모음입니다.Access packages are the collection of rights and accesses that a requestor will be granted upon approval.

    이렇게 하여 고객 AD 테넌트에서 ID 거버넌스: 액세스 패키지에 액세스하고 새 액세스 패키지를 추가합니다.To do so, in the customer AD tenant, access Identity Governance: Access Packages, and add New Access Package. MSSP 승인자 및 각 분석가 계층에 대한 액세스 패키지를 생성합니다.Create an access package for the MSSP approvers and each analyst tier. 예를 들어 다음 계층 1 분석가 구성은 다음과 같은 액세스 패키지를 만듭니다.For example, the following Tier 1 Analyst configuration creates an access package that:

    • AD 그룹 MSSP 분석가 승인자의 구성원이 새 요청을 승인해야 합니다.Requires a member of the AD group MSSP Analyst Approvers to authorize new requests
    • SOC 분석가가 액세스 확장을 요청할 수 있는 연간 액세스 검토가 있습니다.Has annual access reviews, where the SOC analysts can request an access extension
    • MSSP SOC 테넌트의 사용자만 요청할 수 있습니다.Can only be requested by users in the MSSP SOC Tenant
    • 365일 후에 액세스 자동 만료Access auto expires after 365 days

    새 액세스 패키지의 이미지

    자세한 내용은 새 액세스 패키지 만들기를 참조하세요.For more information, see Create a new access package.

  4. 고객 AAD에서 MSSP 리소스에 대한 액세스 요청 링크 제공: ID 거버넌스Provide access request link to MSSP resources from Customer AAD: Identity Governance

    내 액세스 포털 링크는 MSSP SOC 분석가가 만든 액세스 패키지를 통해 액세스를 요청하는 데 사용됩니다.The My Access portal link is used by MSSP SOC analysts to request access via the access packages created. 링크는 지속형으로, 시간이 지날 때 새 분석가에게 동일한 링크를 사용할 수 있습니다.The link is durable, meaning the same link may be used over time for new analysts. 분석가 요청은 MSSP 분석가 승인자 의 승인을 위해 큐로 들어갑니다.The analyst request goes into a queue for approval by the MSSP Analyst Approvers.

    액세스 속성의 이미지

    링크는 각 액세스 패키지의 개요 페이지에 있습니다.The link is located on the overview page of each access package.

액세스 관리Manage access

  1. 고객 및/또는 MSSP 내 액세스 요청을 검토하고 권한을 부여합니다.Review and authorize access requests in Customer and/or MSSP myaccess.

    액세스 요청은 MSSP 분석가 승인자 그룹의 구성원에 의해 고객 내 액세스에서 관리됩니다.Access requests are managed in the customer My Access, by members of the MSSP Analyst Approvers group.

    이렇게 하는 경우 를 사용하여 고객의 myaccess에 https://myaccess.microsoft.com/@<Customer Domain > 액세스합니다.To do so, access the customer's myaccess using: https://myaccess.microsoft.com/@<Customer Domain >.

    예: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Example: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. UI의 승인 섹션에서 요청을 승인하거나 거부합니다.Approve or deny requests in the Approvals section of the UI.

    이 시점에서 분석가 액세스가 프로비전되고 각 분석가가 고객의 Microsoft 365 액세스할 수 있습니다.At this point, analyst access has been provisioned, and each analyst should be able to access the customer's Microsoft 365 Security Center:

    https://security.microsoft.com/?tid=<CustomerTenantId> 할당된 사용 권한 및 역할과 함께 사용할 수 있습니다.https://security.microsoft.com/?tid=<CustomerTenantId> with the permissions and roles they were assigned.

중요

Microsoft 365 보안 센터에서 끝점용 Microsoft Defender에 대한 위임된 액세스는 현재 브라우저 창당 하나의 테넌트에 대한 액세스를 허용합니다.Delegated access to Microsoft Defender for Endpoint in the Microsoft 365 security center currently allows access to a single tenant per browser window.