提供受控安全性服務提供者 (MSSP) 存取

  • 發行項

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

適用於:

若要實作多租使用者委派的存取解決方案,請採取下列步驟:

  1. 透過 Microsoft Defender 入口網站為適用於端點的Defender啟用角色型訪問控制,並與 Microsoft Entra群組連線。

  2. 在 Microsoft Entra ID 控管 內設定外部用戶的權利管理,以啟用存取要求和布建。

  3. Microsoft Myaccess 中管理存取要求和稽核。

在入口網站的 適用於端點的 Microsoft Defender 中啟用角色型訪問控制 Microsoft Defender

  1. Create 客戶 Microsoft Entra ID:群組中 MSSP 資源的存取群組

    這些群組會連結到您在 Microsoft Defender 入口網站中於適用於端點的Defender中建立的角色。 若要這樣做,請在客戶 AD 租使用者中建立三個群組。 在我們的範例方法中,我們會建立下列群組:

    • 第 1 層分析師
    • 第 2 層分析師
    • MSSP 分析師核准者

  2. Create 入口網站角色和群組中適用於端點的客戶 Defender 中適用於端點的 Defender 角色,以取得適當的 Microsoft Defender 存取層級。

    若要在客戶 Microsoft Defender 入口網站中啟用 RBAC,請存取>許可權端點角色 & 群組>具有全域管理員或安全性系統管理員許可權的用戶帳戶角色。

    Microsoft Defender 入口網站中 MSSP 存取的詳細數據

    然後,建立 RBAC 角色以符合 MSSP SOC 層的需求。 透過「指派的使用者群組」,將這些角色連結至已建立的使用者群組。

    兩個可能的角色:

    • 第 1 層分析師
      執行即時回應和管理安全性設定以外的所有動作。

    • 第 2 層分析師
      新增 實時回應的第1層功能。

    如需詳細資訊,請 參閱使用角色型訪問控制管理入口網站存取

設定治理存取套件

  1. 在客戶 Microsoft Entra ID 中將 MSSP 新增為已連線的組織:身分識別控管

    將 MSSP 新增為已連線的組織,可讓 MSSP 要求並布建存取權。

    若要這樣做,請在客戶 AD 租使用者中存取身分識別控管:已連線的組織。 新增組織,並透過租使用者標識碼或網域搜尋您的 MSSP 分析師租使用者。 建議您為 MSSP 分析師建立個別的 AD 租使用者。

  2. Create 客戶 Microsoft Entra ID 中的資源目錄:身分識別控管

    資源目錄是在客戶 AD 租使用者中建立的存取套件邏輯集合。

    若要這樣做,請在客戶 AD 租使用者中,存取 Identity Governance: Catalogs,並新增 [新增目錄]。 在我們的範例中,我們會將它稱為 MSSP 存取

    Microsoft Defender 入口網站中的新目錄

    如需詳細資訊,請參閱 Create 資源目錄

  3. Create MSSP 資源的存取套件客戶 Microsoft Entra ID:身分識別控管

    存取套件是要求者將在核准時授與的許可權和存取權集合。

    若要這樣做,請在客戶 AD 租使用者中存取識別控管:存取套件,並新增 新的存取套件。 Create MSSP 核准者和每個分析師層級的存取套件。 例如,下列第 1 層分析師設定會建立存取套件::

    • 需要AD群組 MSSP 分析師核准者 的成員才能授權新的要求
    • 具有年度存取權檢閱,SOC 分析師可以在其中要求存取延伸模組
    • 只能由 MSSP SOC 租使用者中的使用者要求
    • 存取自動在 365 天后過期

    Microsoft Defender 入口網站中新存取套件的詳細數據

    如需詳細資訊,請參閱 Create 新的存取套件

  4. 從客戶 Microsoft Entra ID 提供 MSSP 資源的存取要求連結:身分識別控管

    MSSP SOC 分析師會使用 「我的存取入口網站」連結,透過建立的存取套件要求存取權。 連結是永久性的,這表示新的分析師可能會隨著時間使用相同的連結。 分析師要求會進入佇列,以供 MSSP 分析師核准者核准

    Microsoft Defender 入口網站中的存取屬性

    鏈接位於每個存取套件的概觀頁面上。

管理存取權

  1. 在客戶和/或 MSSP myaccess 中檢閱和授權存取要求。

    存取要求是由 MSSP 分析師核准者群組的成員在客戶的「我的存取權」中管理。

    若要這樣做,請使用下列專案來存取客戶的 myaccess: https://myaccess.microsoft.com/@<Customer Domain>

    範例:https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. 在 UI 的 [核准 ] 區段中核准或拒絕要求。

    此時,已布建分析師存取權,且每個分析師都應該能夠存取客戶的 Microsoft Defender 入口網站:

    https://security.microsoft.com/?tid=<CustomerTenantId> 具有已指派的許可權和角色。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。