مشاركة عبر

منح وصول موفر خدمة الأمان المدار (MSSP) (معاينة)

  • ينطبق على: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

لتنفيذ حل وصول مفوض متعدد المستأجرين، اتبع الخطوات التالية:

  1. تمكين التحكم في الوصول المستند إلى الدور في Defender لنقطة النهاية والاتصال بمجموعات Microsoft Entra ID.

  2. تكوين حزم الوصول إلى الحوكمة لطلب الوصول والتزويد.

  3. إدارة طلبات الوصول والتدقيق في Microsoft MyAccess.

تمكين عناصر التحكم في الوصول المستندة إلى الدور في Microsoft Defender لنقطة النهاية

  1. إنشاء مجموعات وصول لموارد MSSP في معرف Customer Entra: المجموعات

    ترتبط هذه المجموعات بالأدوار التي تقوم بإنشائها في Defender لنقطة النهاية. للقيام بذلك، في مستأجر معرف Entra للعميل، قم بإنشاء ثلاث مجموعات. في نهج المثال لدينا، نقوم بإنشاء المجموعات التالية:

    • محلل المستوى 1
    • محلل المستوى 2
    • الموافقون على محلل MSSP

  2. إنشاء أدوار Defender لنقطة النهاية لمستوي الوصول المناسب في Customer Defender لنقطة النهاية.

    لتمكين التحكم في الوصول استنادا إلى الدور في مدخل Microsoft Defender العميل، انتقل إلى Settings>Endpoints Permissions>>Roles، ثم حدد Turn on roles.

    ثم قم بإنشاء أدوار التحكم في الوصول استنادا إلى الدور لتلبية احتياجات طبقة MSSP SOC. اربط هذه الأدوار بمجموعات المستخدمين التي تم إنشاؤها عبر مجموعات المستخدمين المعينة. هناك دوران محتملان: محللو المستوى 1 ومحللو المستوى 2.

    • محللو المستوى 1 - تنفيذ جميع الإجراءات باستثناء الاستجابة المباشرة وإدارة إعدادات الأمان.

    • محللو المستوى 2 - قدرات المستوى 1 مع إضافة استجابة مباشرة

    لمزيد من المعلومات، راجع استخدام التحكم في الوصول المستند إلى الدور.

تكوين حزم الوصول إلى الحوكمة

  1. إضافة MSSP كمؤسسة متصلة في معرف Customer Entra: Identity Governance

    تسمح إضافة MSSP كمؤسسة متصلة ل MSSP بطلب وتوفير الوصول.

    للقيام بذلك، في مستأجر معرف Entra للعميل، قم بالوصول إلى Identity Governance: Connected organization. أضف مؤسسة جديدة وابحث عن مستأجر محلل MSSP عبر معرف المستأجر أو المجال. نقترح إنشاء مستأجر معرف Entra منفصل لمحللي MSSP.

  2. إنشاء كتالوج موارد في معرف Customer Entra: Identity Governance

    كتالوجات الموارد هي مجموعة منطقية من حزم الوصول، تم إنشاؤها في مستأجر معرف Entra للعميل.

    للقيام بذلك، في مستأجر معرف Entra للعميل، قم بالوصول إلى إدارة الهوية: الكتالوجات، وإضافة كتالوج جديد. في مثالنا، يطلق عليه ، MSSP Accesses.

    صفحة الكتالوج الجديد

    لمزيد من المعلومات، راجع إنشاء كتالوج للموارد.

  3. إنشاء حزم وصول لموارد MSSP معرف Customer Entra: Identity Governance

    حزم الوصول هي مجموعة من الحقوق والوصولات التي يمنحها الطالب عند الموافقة.

    للقيام بذلك، في مستأجر معرف Entra للعميل، الوصول إلى إدارة الهوية: حزم الوصول، وإضافة حزمة وصول جديدة. إنشاء حزمة وصول لمعتمدي MSSP وكل مستوى محلل. على سبيل المثال، ينشئ تكوين محلل المستوى 1 التالي حزمة وصول:

    • يتطلب من عضو في مجموعة Entra ID موافقة محلل MSSP لتخويل الطلبات الجديدة
    • لديه مراجعات صلاحية الوصول السنوية، حيث يمكن لمحللي SOC طلب ملحق الوصول
    • يمكن طلبها فقط من قبل المستخدمين في مستأجر MSSP SOC
    • تنتهي صلاحية الوصول التلقائي بعد 365 يوما

    صفحة حزمة الوصول الجديدة

    لمزيد من المعلومات، راجع إنشاء حزمة وصول جديدة.

  4. توفير ارتباط طلب الوصول إلى موارد MSSP من معرف Customer Entra: Identity Governance

    يستخدم محللو MSSP SOC رابط مدخل My Access لطلب الوصول عبر حزم الوصول التي تم إنشاؤها. الارتباط دائم، مما يعني أنه يمكن استخدام نفس الارتباط بمرور الوقت للمحللين الجدد. ينتقل طلب المحلل إلى قائمة انتظار للموافقة عليها من قبل الموافقين على محللي MSSP.

    صفحة الخصائص

    يوجد الارتباط في صفحة النظرة العامة لكل حزمة وصول.

إدارة الوصول

  1. مراجعة طلبات الوصول وتخويلها في Customer و/أو MSSP MyAccess.

    تتم إدارة طلبات الوصول في العميل My Access، من قبل أعضاء مجموعة الموافقين على محللي MSSP.

    للقيام بذلك، قم بالوصول إلى MyAccess للعميل باستخدام: https://myaccess.microsoft.com/@<Customer Domain>.

    على سبيل المثال:https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. الموافقة على الطلبات أو رفضها في قسم الموافقات في واجهة المستخدم.

    في هذه المرحلة، يتم توفير وصول المحلل، ويجب أن يكون كل محلل قادرا على الوصول إلى مدخل Microsoft Defender للعميل:https://security.microsoft.com/?tid=<CustomerTenantId>

  • Last updated on