Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Verwaltung von mehrinstanzenfähigen Umgebungen kann es erschweren, mit den sich ständig weiterentwickelnden Sicherheitsbedrohungen für Ihr Unternehmen Schritt zu halten. Das Navigieren in mehreren Mandanten kann zeitaufwändig sein und die Gesamteffizienz von SOC-Teams (Security Operations Center) verringern. Die mehrinstanzenfähige Verwaltung in Microsoft Defender XDR bietet Security Operations (SecOps)-Teams eine einheitliche Ansicht aller von ihnen verwalteten Mandanten. Diese Ansicht ermöglicht es Teams, Vorfälle schnell zu untersuchen und eine erweiterte Suche in Daten von mehreren Mandanten durchzuführen und so ihre SecOps-Prozesse zu verbessern.
Mit Microsoft Entra ID Governance können Sie den Zugriff und den Lebenszyklus der Benutzer steuern, die Mitglieder der SOC-Teams und der für die Bedrohungssuche zuständigen Teams sind. In diesem Dokument wird Folgendes behandelt:
- Die Kontrollen, die Sie für SOC-Teams einrichten können, um den sicheren mandantenübergreifenden Zugriff auf Ressourcen sicherzustellen
- Beispieltopologien für die Implementierung Ihrer Lebenszyklus- und Zugriffssteuerungen
- Überlegungen zur Bereitstellung (Rollen, Überwachung, APIs)
Verwalten des Lebenszyklus und Zugriffs eines SOC-Benutzers
Microsoft Entra stellt die erforderlichen Kontrollen bereit, um den Lebenszyklus von SOC-Benutzern zu verwalten und den Zugriff auf die von ihnen benötigten Ressourcen sicher bereitzustellen. In diesem Dokument bezieht sich der Begriff „Quellmandant“ darauf, woher die SOC-Benutzer stammen und wie sie sich authentifizieren. Der „Zielmandant“ ist der Mandant, den Benutzer untersuchen, wenn ein Vorfall vorliegt. Organisationen verfügen aufgrund von Fusionen und Übernahmen über mehrere Zielmandanten und müssen Mandanten auf Geschäftseinheiten sowie auf geografische Standorte ausrichten.
Lebenszyklussteuerung
Die Berechtigungsverwaltung über Zugriffspakete und verbundene Organisationen ermöglicht es dem Administrator des Zielmandanten, Sammlungen von Ressourcen (z. B. App-Rollen, Verzeichnisrollen und Gruppen) zu definieren, auf die Benutzer vom Quellmandanten Zugriff anfordern können. Wenn der Benutzer für die benötigten Ressourcen genehmigt wurde, aber noch kein B2B-Konto hat, erstellt die Berechtigungsverwaltung automatisch ein B2B-Konto für den Benutzer im Zielmandanten. Verfügt der Benutzer nicht mehr über Berechtigungen im Zielmandanten, wird sein B2B-Konto automatisch entfernt. Die Berechtigungsverwaltung kann sowohl innerhalb einer Organisation als auch in organisationenübergreifend verwendet werden.
Mit der mandantenübergreifenden Synchronisierung kann der Quellmandant die Erstellung, Aktualisierung und Löschung von B2B-Benutzern in einer Organisation mandantenübergreifend automatisieren.
Vergleich zwischen Berechtigungsverwaltung und mandantenübergreifender Synchronisierung
| Funktion | Berechtigungsverwaltung | Mandantenübergreifende Synchronisierung |
|---|---|---|
| Erstellen von Benutzern im Zielmandanten | - | - |
| Aktualisieren von Benutzern im Zielmandanten, wenn sich ihre Attribute im Quellmandanten ändern | - | |
| Löschen von Benutzern | - | - |
| Zuweisen von Benutzern zu Gruppen, Verzeichnisrollen und App-Rollen | - | |
| Attribute des Benutzers im Zielmandanten | Minimal, vom Benutzer selbst zum Zeitpunkt der Anforderung angegeben | Aus dem Quellmandanten synchronisiert |
Zugriffssteuerung
Sie können die Berechtigungsverwaltung und mandantenübergreifende Zugriffsrichtlinien verwenden, um den Zugriff auf Ressourcen über Mandanten hinweg zu steuern. Die Berechtigungsverwaltung weist den richtigen Ressourcen die richtigen Benutzer zu, während mandantenübergreifende Zugriffsrichtlinien und bedingter Zugriff gemeinsam die erforderlichen Laufzeitprüfungen durchführen, um sicherzustellen, dass die richtigen Benutzer auf die richtigen Ressourcen zugreifen.
Berechtigungsverwaltung
Durch das Zuweisen von Microsoft Entra-Rollen über Zugriffspakete der Berechtigungsverwaltung können Rollenzuweisungen effizient im großen Stil verwaltet werden. Außerdem wird der Lebenszyklus von Rollenzuweisungen optimiert. Die Berechtigungsverwaltung bietet einen flexiblen Anforderungs- und Genehmigungsprozess für den Zugriff auf Verzeichnisrollen, App-Rollen und Gruppen und ermöglicht gleichzeitig die automatische Zuweisung zu Ressourcen auf der Grundlage von Benutzerattributen.
Mandantenübergreifende Zugriffsrichtlinien
Mandantenübergreifende Zugriffseinstellungen für externe Identitäten verwalten die Zusammenarbeit mit anderen Microsoft Entra-Organisationen im Rahmen der B2B-Zusammenarbeit. Diese Einstellungen bestimmen sowohl den Grad des eingehenden Zugriffs, den Benutzer in externen Microsoft Entra Organisationen auf Ihre Ressourcen haben, als auch den Grad des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben.
Bereitstellungstopologien
In diesem Abschnitt wird beschrieben, wie Sie Tools wie mandantenübergreifende Synchronisierung, Berechtigungsverwaltung, mandantenübergreifende Zugriffsrichtlinien und bedingten Zugriff zusammen verwenden können. In beiden Topologien hat der Administrator des Zielmandanten vollständige Kontrolle über den Zugriff auf Ressourcen im Zielmandanten. Sie unterscheiden sich hinsichtlich des Initiators der Bereitstellung und Bereitstellungsaufhebung.
Topologie 1
In Topologie 1 konfiguriert der Quellmandant die Berechtigungsverwaltung und mandantenübergreifende Synchronisierung, um Benutzer im Zielmandanten bereitzustellen. Anschließend konfiguriert der Administrator des Zielmandanten Zugriffspakete, um Zugriff auf die erforderlichen Verzeichnisrollen, Gruppen und App-Rollen im Zielmandanten bereitzustellen.
Schritte zum Konfigurieren von Topologie 1
Konfigurieren Sie im Quellmandanten die mandantenübergreifende Synchronisierung, um interne Konten im Quellmandanten als externe Konten im Zielmandanten bereitzustellen.
Wenn Benutzern der Dienstprinzipal für die mandantenübergreifende Synchronisierung zugewiesen wird, werden sie automatisch im Zielmandanten bereitgestellt. Werden sie aus der Konfiguration entfernt, wird ihre Bereitstellung automatisch aufgehoben. In Ihren Attributzuordnungen können Sie eine neue konstante Zuordnung hinzufügen, um ein Attribut für eine Verzeichniserweiterung bereitzustellen, das angibt, dass der Benutzer ein SOC-Administrator ist. Alternativ können Sie das Erstellen der Erweiterung überspringen, wenn Sie über ein Attribut wie „department“ verfügen, das Sie für diesen Schritt verwenden können. Dieses Attribut wird im Zielmandanten verwendet, um Zugriff auf die erforderlichen Rollen zu gewähren.
Erstellen Sie im Quellmandanten ein Zugriffspaket, das den Dienstprinzipal für die mandantenübergreifenden Synchronisierung als Ressource enthält.
Wenn Benutzern Zugriff auf das Paket gewährt wird, werden sie dem Dienstprinzipal für die mandantenübergreifende Synchronisierung zugewiesen. Führen Sie regelmäßige Zugriffsüberprüfungen des Zugriffspakets durch, oder verwenden Sie zeitlich begrenzte Zuweisungen, um sicherzustellen, dass nur die Benutzer zugreifen können, die Zugriff auf den Zielmandanten benötigen.
Erstellen Sie Zugriffspakete im Zielmandanten, um die erforderlichen Rollen für die Untersuchung eines Vorfalls bereitzustellen.
Wir empfehlen ein automatisch zugewiesenes Zugriffspaket zum Bereitstellen der Rolle „Sicherheitsleseberechtigter“ und ein anforderungsbasiertes Paket für die Rollen „Sicherheitsoperator“ und „Sicherheitsadministrator“.
Nachdem Sie das Setup abgeschlossen haben, können SOC-Benutzer auf myaccess.microsoft.com zeitlich begrenzten Zugriff auf die erforderlichen Zugriffspakete im Quellmandanten anfordern. Nach der Genehmigung werden sie automatisch mit der Rolle „Sicherheitsleseberechtigter“ in den Zielmandanten bereitgestellt. Sie können dann zusätzlichen Zugriff in allen Mandanten anfordern, in denen sie die Rollen „Sicherheitsoperator“ oder „Sicherheitsadministrator“ benötigen. Wenn der Zugriffszeitraum der Benutzer abgelaufen ist oder sie im Rahmen einer Zugriffsüberprüfung entfernt werden, wird ihre Bereitstellung in allen Zielmandanten aufgehoben, auf die sie keinen Zugriff mehr benötigen.
Topologie 2
In Topologie 2 definiert der Administrator des Zielmandanten die Zugriffspakete und Ressourcen, auf die die Quellbenutzer Zugriff anfordern können. Wenn der Administrator des Quellmandanten die Benutzer mit Zugriff auf den Zielmandanten einschränken möchte, können Sie eine mandantenübergreifende Zugriffsrichtlinie in Verbindung mit einem Zugriffspaket verwenden. So können Sie mit Ausnahme der Benutzer, die einer Gruppe in einem Zugriffspaket im Basismandanten angehören, den gesamten Zugriff auf den Zielmandanten blockieren.
Schritte zum Konfigurieren von Topologie 2
Fügen Sie im Zielmandanten den Quellmandanten als verbundene Organisation hinzu.
Mit dieser Einstellung kann der Administrator des Zielmandanten Zugriffspakete für den Quellmandanten verfügbar machen.
Erstellen Sie im Zielmandanten ein Zugriffspaket, das die Rollen „Sicherheitsleseberechtigter“, „Sicherheitsadministrator“ und „Sicherheitsoperator“ bereitstellt.
Benutzer aus dem Quellmandanten können jetzt Zugriffspakete im Zielmandanten anfordern.
Nachdem Sie das Setup abgeschlossen haben, können SOC-Benutzer auf myaccess.microsoft.com zeitlich begrenzten Zugriff auf die erforderlichen Rollen in jedem Mandanten anfordern.
Vergleich der Topologien
In beiden Topologien kann der Zielmandant steuern, auf welche Ressourcen Benutzer Zugriff haben. Dies kann mithilfe einer Mischung aus mandantenübergreifenden Zugriffsrichtlinien, bedingtem Zugriff und Zuweisung von Apps und Rollen für Benutzer erreicht werden. Die Topologien unterscheiden sich hinsichtlich des Mandanten, der die Bereitstellung konfiguriert und initiiert. In Topologie 1 konfiguriert der Quellmandant die Bereitstellung und pusht Benutzer in die Zielmandanten. In Topologie 2 definiert der Zielmandant, welche Benutzer für den Zugriff auf den Mandanten berechtigt sind.
Wenn Benutzer Zugriff auf mehrere Mandanten benötigen, können sie bei Topologie 1 ganz einfach den Zugriff auf ein Zugriffspaket in einem Mandanten anfordern, und sie werden automatisch in mehreren Mandanten bereitgestellt. Wenn der Zielmandant die vollständige Kontrolle über die in seinem Mandanten bereitgestellten Benutzer sicherstellen und die erforderlichen Genehmigungen im Mandanten durchführen möchte, erfüllt Topologie 2 diese Anforderungen am besten.
Überlegungen zur Bereitstellung
Überwachung
Aktionen, die SOC-Analysten in Microsoft Entra ausführen, werden in dem Microsoft Entra-Mandanten überwacht, in dem sie arbeiten. Organisationen können ein Überwachungsprotokoll der ausgeführten Aktionen führen, Warnungen generieren, wenn bestimmte Aktionen ausgeführt werden, und durchgeführte Aktionen analysieren, indem sie Überwachungsprotokolle in Azure Monitor pushen.
Aktionen, die von SOC-Analysten in Microsoft Defender for Cloud ausgeführt werden, werden ebenfalls überwacht.
Manuelle Bereitstellung mit PowerShell/APIs
Für jeden Schritt, der über die Benutzeroberfläche in Microsoft Entra konfiguriert wird, sind zugehörige Microsoft Graph-APIs und PowerShell-Cmdlets verfügbar, mit denen Sie die gewünschten Richtlinien/Konfigurationen in den Mandanten in Ihrer Organisation bereitstellen können.
| Funktion | Microsoft Graph-API | PowerShell |
|---|---|---|
| Mandantenübergreifende Synchronisierung | Verbinden | Verbinden |
| Berechtigungsverwaltung | Verbinden | Verbinden |
| Mandantenübergreifende Zugriffsrichtlinien | Verbinden | Verbinden |
Rollenbasierte Zugriffssteuerung
Für die Konfiguration der in Topologie 1 und Topologie 2 beschriebenen Funktionen sind die folgenden Rollen erforderlich:
- Konfigurieren der Einstellungen für den mandantenübergreifenden Zugriff: Sicherheitsadministrator
- Konfigurieren der mandantenübergreifenden Synchronisierung: Hybrididentitätsadministrator
- Konfigurieren der Berechtigungsverwaltung: Identity Governance-Administrator
- Microsoft Defender unterstützt sowohl integrierte Rollen wie „Sicherheitsleseberechtigter“, „Sicherheitsadministrator“ und „Sicherheitsoperator“ als auch benutzerdefinierte Rollen.