提供托管安全服务提供程序 (MSSP) 访问权限

  • 项目

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

适用于:

若要实现多租户委托访问解决方案,请执行以下步骤:

  1. 通过 Microsoft Defender 门户为 Defender for Endpoint 启用基于角色的访问控制,并与Microsoft Entra组进行连接。

  2. 为Microsoft Entra ID 治理中的外部用户配置权利管理,以启用访问请求和预配。

  3. Microsoft Myaccess 中管理访问请求和审核。

在 Microsoft Defender 门户中的 Microsoft Defender for Endpoint 中启用基于角色的访问控制

  1. Create客户Microsoft Entra ID中的 MSSP 资源的访问组:组

    这些组将链接到在 Microsoft Defender 门户中在 Defender for Endpoint 中创建的角色。 为此,请在客户 AD 租户中创建三个组。 在我们的示例方法中,我们将创建以下组:

    • 第 1 层分析师
    • 第 2 层分析师
    • MSSP 分析师审批者

  2. 在 Microsoft Defender 门户角色和组中的 Customer Defender for Endpoint 中,Create Defender for Endpoint 角色的适当访问级别。

    若要在客户Microsoft Defender门户中启用 RBAC,请访问权限>终结点角色 & 具有全局管理员或安全管理员权限的用户帐户对角色进行分组>

    Microsoft Defender门户中 MSSP 访问的详细信息

    然后,创建 RBAC 角色以满足 MSSP SOC 层需求。 通过“分配的用户组”将这些角色链接到创建的用户组。

    两个可能的角色:

    • 第 1 层分析师
      执行除实时响应之外的所有操作并管理安全设置。

    • 第 2 层分析师
      第 1 层功能,并添加了 实时响应

    有关详细信息,请参阅 使用基于角色的访问控制管理门户访问权限

配置治理访问包

  1. 在客户Microsoft Entra ID:标识治理中将 MSSP 添加为连接的组织

    将 MSSP 添加为连接的组织将允许 MSSP 请求并预配访问权限。

    为此,请在客户 AD 租户中访问标识治理:连接的组织。 添加新组织,并通过租户 ID 或域搜索 MSSP 分析师租户。 建议为 MSSP 分析师创建单独的 AD 租户。

  2. 在“客户Microsoft Entra ID:标识治理”中Create资源目录

    资源目录是在客户 AD 租户中创建的访问包的逻辑集合。

    为此,请在客户 AD 租户中访问“标识治理:目录”,并添加新 目录。 在我们的示例中,我们将它称为 MSSP Accesses

    Microsoft Defender门户中的新目录

    有关详细信息,请参阅Create资源目录

  3. Create MSSP 资源的访问包 客户Microsoft Entra ID:标识治理

    访问包是请求者在批准后将被授予的权限和访问权限的集合。

    为此,请在客户 AD 租户中访问“标识治理:访问包”,并添加新 的访问包。 Create MSSP 审批者和每个分析层的访问包。 例如,以下第 1 层分析师配置创建一个访问包,该访问包:

    • 要求 AD 组 MSSP 分析师审批者 的成员对新请求进行授权
    • 进行年度访问评审,SOC 分析师可在其中请求访问扩展
    • 只能由 MSSP SOC 租户中的用户请求
    • 访问自动在 365 天后过期

    Microsoft Defender门户中新访问包的详细信息

    有关详细信息,请参阅Create新的访问包

  4. 从客户Microsoft Entra ID提供指向 MSSP 资源的访问请求链接:标识治理

    MSSP SOC 分析师使用“我的访问权限”门户链接通过创建的访问包请求访问权限。 此链接是持久的,这意味着同一链接可能会随着时间的推移对新分析师使用。 分析员请求进入队列,等待 MSSP 分析师审批者进行审批

    Microsoft Defender门户中的访问属性

    该链接位于每个访问包的概述页上。

管理访问权限

  1. 在 Customer 和/或 MSSP myaccess 中查看和授权访问请求。

    访问请求由 MSSP 分析师审批者组的成员在客户“我的访问权限”中管理。

    为此,请使用 访问客户的 myacss: https://myaccess.microsoft.com/@<Customer Domain>

    例如:https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. 在 UI 的 “审批 ”部分中批准或拒绝请求。

    此时,分析师访问权限已预配,每个分析师应能够访问客户的Microsoft Defender门户:

    https://security.microsoft.com/?tid=<CustomerTenantId> 以及他们分配的权限和角色。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区