Poskytnutí přístupu k poskytovateli spravovaných služeb zabezpečení (MSSP)

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Důležité

Postupy v tomto článku používají funkce, které vyžadují minimálně Microsoft Entra ID P2 pro každého uživatele v rámci správy.

Platí pro:

Pokud chcete implementovat řešení delegovaného přístupu s více tenanty, proveďte následující kroky:

  1. Povolte řízení přístupu na základě role pro Defender for Endpoint prostřednictvím portálu Microsoft Defender a připojte se k Microsoft Entra skupinám.

  2. Pokud chcete povolit žádosti o přístup a zřizování, nakonfigurujte správu nároků pro externí uživatele v rámci Microsoft Entra ID Governance.

  3. Správa žádostí o přístup a auditů v Microsoft Myaccess

Povolení řízení přístupu na základě role v Microsoft Defender for Endpoint na portálu Microsoft Defender

  1. Vytvoření přístupových skupin pro prostředky MSSP v customer Microsoft Entra ID: Skupiny

    Tyto skupiny jsou propojené s rolemi, které vytvoříte v Defenderu for Endpoint na portálu Microsoft Defender. Uděláte to tak, že v tenantovi AD zákazníka vytvoříte tři skupiny. V našem ukázkovém přístupu vytvoříme následující skupiny:

    • Analytik vrstvy 1
    • Analytik vrstvy 2
    • Schvalovatelé analytiků MSSP
  2. Vytvořte role Defenderu pro koncový bod pro odpovídající úrovně přístupu v Customer Defenderu for Endpoint v rolích a skupinách portálu Microsoft Defender.

    Pokud chcete povolit řízení přístupu RBAC na portálu pro zákazníky Microsoft Defender, přejděte k rolím koncových bodů oprávnění > & skupiny > Role s uživatelským účtem s právy správce zabezpečení.

    Podrobnosti o přístupu mssp na portálu Microsoft Defender

    Pak vytvořte role RBAC, které splňují požadavky na úroveň SOC MSSP. Propojte tyto role s vytvořenými skupinami uživatelů prostřednictvím přiřazených skupin uživatelů.

    Dvě možné role:

    • Analytici vrstvy 1
      Proveďte všechny akce kromě živé odezvy a spravujte nastavení zabezpečení.

    • Analytici vrstvy 2
      Funkce vrstvy 1 s přidanou odezvou za provozu.

    Další informace najdete v tématu Správa přístupu k portálu pomocí řízení přístupu na základě role.

Konfigurace přístupových balíčků zásad správného řízení

  1. Přidání MSSP jako připojené organizace v Microsoft Entra ID zákazníků: Zásady správného řízení identit

    Přidání poskytovatele MSSP jako připojené organizace umožní zprostředkovateli mssp požadovat žádosti a mít zřízené přístupy.

    Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Propojená organizace. Přidejte novou organizaci a vyhledejte svého tenanta analytika MSSP prostřednictvím ID tenanta nebo domény. Pro analytiky MSSP doporučujeme vytvořit samostatného tenanta AD.

  2. Vytvoření katalogu prostředků v customer Microsoft Entra ID: Zásady správného řízení identit

    Katalogy prostředků jsou logickou kolekcí přístupových balíčků vytvořených v tenantovi AD zákazníka.

    Uděláte to tak, že v tenantovi AD zákazníka otevřete zásady správného řízení identit: Katalogy a přidáte nový katalog. V našem příkladu ho budeme nazývat MSSP Accesses.

    Nový katalog na portálu Microsoft Defender

    Další informace najdete v tématu Vytvoření katalogu prostředků.

  3. Vytváření přístupových balíčků pro prostředky MSSP Microsoft Entra ID zákazníkem: Zásady správného řízení identit

    Přístupové balíčky jsou kolekce práv a přístupů, které žadatel uděluje při schválení.

    Uděláte to tak, že v tenantovi AD zákazníka získáte přístup k zásadám správného řízení identit: Přístupové balíčky a přidáte nový přístupový balíček. Vytvořte přístupový balíček pro schvalovatele MSSP a každou úroveň analytika. Například následující konfigurace analytika vrstvy 1 vytvoří přístupový balíček, který:

    • Vyžaduje, aby schvalovatelé analytiků MSSP skupiny AD autorizovali nové žádosti.
    • Má roční kontroly přístupu, kde analytici SOC můžou požádat o rozšíření přístupu.
    • Můžou o to požádat jenom uživatelé v tenantovi MSSP SOC.
    • Platnost automatického přístupu vyprší po 365 dnech

    Podrobnosti o novém přístupovém balíčku na portálu Microsoft Defender

    Další informace najdete v tématu Vytvoření nového přístupového balíčku.

  4. Poskytnutí odkazu na žádost o přístup k prostředkům MSSP z Microsoft Entra ID zákazníků: Zásady správného řízení identit

    Analytici MSSP SOC používají odkaz Portál Můj přístup k vyžádání přístupu prostřednictvím vytvořených přístupových balíčků. Odkaz je odolný, což znamená, že stejný odkaz může být použit v průběhu času pro nové analytiky. Požadavek analytika přejde do fronty ke schválení schvalovateli analytiků MSSP.

    Vlastnosti přístupu na portálu Microsoft Defender

    Odkaz se nachází na stránce přehledu jednotlivých přístupových balíčků.

Spravovat přístup

  1. Zkontrolujte a autorizaci žádostí o přístup v části Customer nebo MSSP myaccess.

    Žádosti o přístup spravují u zákazníka My Access členové skupiny Schvalovatelé analytika MSSP.

    Uděláte to tak, že k přístupu k myaccess zákazníka použijete: https://myaccess.microsoft.com/@<Customer Domain>.

    Například: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Schvalte nebo zamítat žádosti v části Schválení uživatelského rozhraní.

    V tomto okamžiku je zřízený přístup analytika a každý analytik by měl mít přístup k Microsoft Defender portálu zákazníka:

    https://security.microsoft.com/?tid=<CustomerTenantId> s oprávněními a rolemi, které jim byly přiřazeny.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.