Jaa

Myönnä hallittujen suojauspalvelujen tarjoajalle (MSSP) käyttöoikeus (esikatselu)

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Jos haluat ottaa käyttöön usean käyttäjän delegoidun käyttöoikeusratkaisun, toimi seuraavasti:

  1. Ota roolipohjainen käyttöoikeuksien hallinta käyttöön Defender for Endpointissa ja muodosta yhteys Active Directory (AD) -ryhmiin.

  2. Määritä hallinnan käyttöoikeuspaketit käyttöoikeuspyyntöjä ja valmistelua varten.

  3. Hallitse käyttöoikeuspyyntöjä ja auditointeja Microsoft Myaccessissa.

Roolipohjaisten käyttöoikeuksien ohjausobjektien ottaminen käyttöön Microsoft Defender for Endpoint

  1. Create MSSP-resurssien käyttöoikeusryhmiä asiakas-AAD:ssä: ryhmät

    Nämä ryhmät on linkitetty rooleihin, jotka luot Defender for Endpointissa. Tätä varten asiakkaan AD-vuokraajassa on luotava kolme ryhmää. Esimerkkimenetelmässämme luomme seuraavat ryhmät:

    • Tason 1 analyytikko
    • Tason 2 analyytikko
    • MSSP-analyytikkojen hyväksyjät

  2. Create Defenderin päätepisterooleille asianmukaisia käyttöoikeustasoja varten Customer Defender for Endpointissa.

    Jos haluat ottaa RBAC:n käyttöön asiakkaan Microsoft Defender portaalissa, käytä asetusten > päätepisteiden > käyttöoikeusrooleja ja "Ota roolit > käyttöön" käyttäjätililtä, jolla on yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan oikeudet.

    Luo sitten RBAC-roolit MSSP SOC -tason tarpeiden täyttämiseksi. Linkitä nämä roolit luotuihin käyttäjäryhmiin määritettyjen käyttäjäryhmien kautta.

    Kaksi mahdollista roolia:

    • Tason 1 analyytikot

      Suorita kaikki toiminnot reaaliaikaista vastausta lukuun ottamatta ja hallitse suojausasetuksia.

    • Tason 2 analyytikot

      Tason 1 ominaisuudet sekä reaaliaikaisen vastauksen lisääminen

    Lisätietoja on artikkelissa Roolipohjaisen käytön valvonnan käyttäminen.

Määritä hallinnan käyttöoikeuspaketit

  1. Mssp:n lisääminen yhdistettynä organisaationa asiakkaan AAD:ssä: käyttäjätietojen hallinta

    Kun lisäät MSSP:n yhdistettynä organisaationa, MSSP voi pyytää ja sen käyttöoikeudet on valmistelty.

    Tätä varten asiakkaan AD-vuokraajassa voit käyttää käyttäjätietojen hallintaa: yhdistetty organisaatio. Lisää uusi organisaatio ja etsi MSSP-analyytikko-vuokraaja vuokraajan tunnuksen tai toimialueen kautta. Suosittelemme erillisen AD-vuokraajan luomista MSSP-analyytikoillesi.

  2. resurssiluettelon Create kohdassa Customer AAD: Identity Governance

    Resurssiluettelot ovat looginen kokoelma käyttöoikeuspaketteja, jotka on luotu asiakkaan AD-vuokraajassa.

    Tätä varten asiakkaan AD-vuokraajassa voit käyttää käyttäjätietojen hallintaa: luetteloita ja lisätä uuden luettelon. Tässä esimerkissä sitä kutsutaan MSSP Accessesiksi.

    Uusi luettelosivu

    Lisätietoja on kohdassa Create resurssiluettelo.

  3. Create MSSP-resurssien käyttöoikeuspaketit: Customer AAD: Identity Governance

    Käyttöoikeuspaketit ovat kokoelma oikeuksia ja käyttöoikeuksia, jotka pyytäjälle myönnetään hyväksynnän yhteydessä.

    Tätä varten asiakkaan AD-vuokraajassa voit käyttää käyttäjätietojen hallintaa: käyttää paketteja ja lisätä uuden käyttöoikeuspaketin. Create käyttöoikeuspaketin MSSP-hyväksyjille ja kullekin analyytikkotasolle. Esimerkiksi seuraava tason 1 analyytikkomääritys luo käyttöoikeuspaketin, joka:

    • Edellyttää AD-ryhmän MSSP-analyytikkojen hyväksyjien jäsentä uusien pyyntöjen valtuuttamiseksi
    • Sisältää vuosittaisia käyttöoikeustarkiuksia, joissa SOC-analyytikot voivat pyytää käyttöoikeuslaajennusta
    • Vain MSSP SOC -vuokraajan käyttäjät voivat pyytää
    • Automaattinen käyttö vanhenee 365 päivän kuluttua

    Uusi käyttöoikeuspaketti -sivu

    Lisätietoja on artikkelissa uuden käyttöoikeuspaketin Create.

  4. Anna käyttöoikeuspyyntölinkki MSSP-resursseihin kohdasta Customer AAD: Identity Governance

    MSSP SOC -analyytikot käyttävät My Access -portaalin linkkiä pyytääkseen käyttöoikeutta luotujen käyttöoikeuspakettien kautta. Linkki on kestävä, mikä tarkoittaa, että samaa linkkiä voidaan käyttää ajan mittaan uusille analyytikoille. Analyytikkopyyntö menee jonoon MSSP-analyytikkohyväksyjöiden hyväksyttäväksi.

    Ominaisuudet-sivu

    Linkki sijaitsee kunkin käyttöoikeuspaketin yleiskatsaussivulla.

Käyttöoikeuksien hallinta

  1. Tarkista ja valtuuta käyttöoikeuspyynnöt Asiakkaan ja/tai MSSP:n myaccessissa.

    MSSP-analyytikkohyväksyjät-ryhmän jäsenet hallinnoivat käyttöoikeuspyyntöjä asiakkaan Oma käyttöoikeus -kohdassa.

    Voit tehdä tämän käyttämällä asiakkaan käyttöoikeutta seuraavasti: https://myaccess.microsoft.com/@<Customer Domain>.

    Esimerkkihttps://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Hyväksy tai kiellä pyynnöt käyttöliittymän Hyväksynnät-osassa .

    Tässä vaiheessa analyytikkojen käyttöoikeudet on valmistelty, ja kunkin analyytikon pitäisi voida käyttää asiakkaan Microsoft Defender portaalia:https://security.microsoft.com/?tid=<CustomerTenantId>

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.