Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządzanie środowiskami wielodostępnymi może dodawać kolejną warstwę złożoności, jeśli chodzi o radzenie sobie ze stale zmieniającymi się zagrożeniami bezpieczeństwa, przed którymi stoi Twoja firma. Nawigacja między wieloma dzierżawami może być czasochłonna i zmniejszać ogólną wydajność zespołów centrum operacji zabezpieczeń (SOC). Wielodzierżawowe zarządzanie w usłudze Microsoft Defender XDR zapewnia zespołom ds. operacji bezpieczeństwa jeden jednolity widok wszystkich zarządzanych dzierżawców. Ten widok umożliwia zespołom szybkie analizowanie incydentów i prowadzenie zaawansowanego wyszukiwania w danych z wielu dzierżawców, zwiększając skuteczność operacji bezpieczeństwa.
Zarządzanie tożsamością Microsoft Entra umożliwia zarządzanie dostępem i cyklem życia użytkowników będących członkami zespołów SOC i zespołów łowców zagrożeń. Ten dokument zawiera następujące informacje:
- Mechanizmy kontrolne, które można wdrożyć dla zespołów SOC, aby bezpiecznie uzyskiwać dostęp do zasobów w różnych dzierżawach.
- Przykładowe topologie dotyczące sposobu implementowania cyklu życia i kontroli dostępu.
- Zagadnienia dotyczące wdrażania (role, monitorowanie, interfejsy API).
Zarządzanie cyklem życia i dostępem użytkownika SOC
Firma Microsoft Entra udostępnia mechanizmy kontroli potrzebne do nadzorowania cyklu życia użytkownika SOC i bezpiecznego zapewniania dostępu do potrzebnych zasobów. W niniejszym dokumencie termin "dzierżawa źródłowa" odnosi się do miejsca, z którego pochodzą i w którym uwierzytelniają się użytkownicy SOC. Najemca docelowy odnosi się do najemcy, którego bada się w przypadku zaistnienia incydentu. Organizacje mają wielu docelowych najemców z powodu fuzji i przejęć, dopasowywania najemców do jednostek biznesowych oraz dopasowywania najemców do obszarów geograficznych.
Kontrola cyklu życia
Zarządzanie upoważnieniami za pośrednictwem pakietów dostępu i połączonych organizacji umożliwia administratorowi dzierżawy docelowej definiowanie kolekcji zasobów (np. ról aplikacji, ról katalogu i grup), do których użytkownicy z dzierżawy źródłowej mogą żądać dostępu. Jeśli użytkownik zostanie zatwierdzony do potrzebnych zasobów, ale nie ma jeszcze konta B2B, system zarządzania upoważnieniami automatycznie utworzy konto B2B dla użytkownika w dzierżawie docelowej. Kiedy wszystkie ich uprawnienia u dzierżawcy docelowego wygasną, ich konto B2B zostanie automatycznie usunięte. Zarządzanie upoważnieniami może być stosowane zarówno w organizacji, jak i między organizacjami.
Synchronizacja między najemcami umożliwia najemcy źródłowemu automatyzowanie tworzenia, aktualizowania i usuwania użytkowników B2B w różnych dzierżawach w organizacji.
Porównywanie zarządzania uprawnieniami i synchronizacji między dzierżawcami
| Zdolność | Zarządzanie upoważnieniami | Synchronizacja między tenantami |
|---|---|---|
| Utwórz użytkowników w dzierżawie docelowej | - | - |
| Zaktualizuj użytkowników w dzierżawie docelowej, gdy ich atrybuty zmienią się w dzierżawie źródłowej. | - | |
| Usuwanie użytkowników | - | - |
| Przypisywanie użytkowników do grup, ról katalogu, ról aplikacji | - | |
| Atrybuty użytkownika w dzierżawcy docelowym | Minimalny, dostarczony przez samego użytkownika w momencie żądania | Synchronizowane z tenanta źródłowego |
Kontrola dostępu
Możesz używać zarządzania zasobami dostępowymi i zasad dostępu między dzierżawami, aby kontrolować dostęp do zasobów w różnych dzierżawach. Zarządzanie upoważnieniami przypisze odpowiednich użytkowników do odpowiednich zasobów, podczas gdy zasady dostępu między dzierżawami i dostęp warunkowy razem wykonują niezbędne kontrole w czasie realizacji, aby upewnić się, że odpowiedni użytkownicy uzyskują dostęp do odpowiednich zasobów.
Zarządzanie upoważnieniami
Przypisywanie ról usługi Microsoft Entra za pomocą pakietów dostępu zarządzania uprawnieniami ułatwia efektywne zarządzanie przypisaniami ról na dużą skalę i poprawia cykl życia przypisywania ról. Zapewnia elastyczny proces żądania i zatwierdzania na potrzeby uzyskiwania dostępu do ról katalogu, ról aplikacji i grup, a jednocześnie umożliwia automatyczne przypisywanie zasobów na podstawie atrybutów użytkownika.
Zasady dostępu między najemcami
Ustawienia dostępu tożsamości zewnętrznych między dzierżawami zarządzają sposobem współpracy z innymi organizacjami Microsoft Entra za pośrednictwem współpracy B2B. Te ustawienia określają zarówno poziom dostępu przychodzącego użytkowników w zewnętrznych organizacjach firmy Microsoft Entra do zasobów, jak i poziom dostępu wychodzącego użytkowników do organizacji zewnętrznych.
Topologie wdrażania
W tej sekcji opisano, jak można używać narzędzi, takich jak synchronizacja między dzierżawami, zarządzanie upoważnieniami, zasady dostępu między dzierżawami oraz dostęp warunkowy, razem. W obu topologiach administrator dzierżawy docelowej ma pełną kontrolę nad dostępem do zasobów w tej dzierżawie. Różnią się one tym, kto inicjuje udostępnianie i zamykanie dostępu.
Topologia 1
W topologii 1 dzierżawa źródłowa konfiguruje proces zarządzania uprawnieniami i synchronizację między dzierżawcami, aby aprowizować użytkowników w dzierżawie docelowej. Następnie administrator dzierżawy docelowej konfiguruje pakiety dostępu w celu umożliwienia dostępu do odpowiednich ról katalogu, grup i ról aplikacji w dzierżawie docelowej.
Kroki konfigurowania topologii 1
W dzierżawie źródłowej skonfiguruj synchronizację międzydzierżawową, aby aprowizować konta wewnętrzne jako konta zewnętrzne w dzierżawie docelowej.
Gdy użytkownicy są przypisani do usługi synchronizacji między dzierżawami, zostaną automatycznie aprowizowani w dzierżawie docelowej. Po usunięciu ich z konfiguracji, zostaną one automatycznie odinstalowane. W ramach mapowań atrybutów można dodać nowe mapowanie typu stałego, aby przydzielić atrybut rozszerzenia katalogu dla użytkownika w celu wskazania, że jest administratorem SOC. Alternatywnie, jeśli masz atrybut, taki jak dział, na którym można polegać na tym kroku, możesz pominąć tworzenie rozszerzenia. Ten atrybut będzie używany u docelowego dzierżawcy, aby umożliwić dostęp do niezbędnych ról.
W dzierżawie źródłowej utwórz pakiet dostępu, który zawiera główną jednostkę usługi synchronizacji między dzierżawami jako zasób.
Gdy użytkownicy otrzymują dostęp do pakietu, zostają przypisani do głównej jednostki usługi synchronizacji między dzierżawami. Upewnij się, że skonfigurujesz okresowe przeglądy dostępu pakietu dostępowego lub ustalisz okres ważności przypisań, aby tylko użytkownicy, którzy potrzebują dostępu do docelowej dzierżawy, nadal mieli dostęp.
W dzierżawie docelowej utwórz pakiety dostępu, aby zapewnić niezbędne role do badania zdarzenia.
Zalecamy, aby jeden automatycznie przydzielony pakiet dostępu zapewniał rolę Czytelnika zabezpieczeń oraz jeden pakiet na żądanie dla ról Operatora zabezpieczeń i Administratora zabezpieczeń.
Po zakończeniu instalacji użytkownicy SOC mogą przejść do myaccess.microsoft.com, aby zażądać ograniczonego czasowo dostępu do niezbędnych pakietów dostępu w dzierżawie źródłowej. Po zatwierdzeniu zostaną one automatycznie przydzielane w dzierżawach docelowych z rolą Czytelnik zabezpieczeń. Następnie mogą zażądać dodatkowego dostępu w dowolnych dzierżawach, w których potrzebują ról Security Operator lub Security Administrator. Po zakończeniu okresu dostępu lub usunięciu ich w ramach przeglądu dostępu zostaną pozbawione dostępu do wszystkich docelowych dzierżawców, do których dostęp nie jest już potrzebny.
Topologia 2
W topologii 2 docelowy administrator dzierżawy definiuje pakiety dostępu i zasoby, do których użytkownicy źródłowi mogą żądać dostępu. Jeśli administrator dzierżawy źródłowej chce ograniczyć, którzy z nich mogą uzyskiwać dostęp do dzierżawy docelowej, możesz użyć zasad dostępu między dzierżawami w połączeniu z pakietem dostępu, aby zablokować cały dostęp do dzierżawy docelowej, z wyjątkiem użytkowników, którzy są częścią grupy uwzględnionej w pakiecie dostępu w dzierżawie macierzystej.
Kroki konfigurowania topologii 2
W dzierżawie docelowej dodaj dzierżawę źródłową jako połączoną organizację.
To ustawienie umożliwia administratorowi dzierżawy docelowej udostępnienie pakietów dostępu dzierżawie źródłowej.
W dzierżawie docelowej utwórz pakiet dostępu z rolami: Czytelnik zabezpieczeń, Administrator zabezpieczeń i Operator zabezpieczeń.
Użytkownicy z dzierżawy źródłowej mogą teraz wnioskować o pakiety dostępu w dzierżawie docelowej.
Po zakończeniu instalacji użytkownicy SOC mogą przejść do myaccess.microsoft.com, aby złożyć wniosek o czasowo ograniczony dostęp do niezbędnych ról w każdej dzierżawie.
Porównanie topologii
W obu topologiach odbiorca docelowy może kontrolować, do jakich zasobów użytkownicy mają dostęp. Można to osiągnąć przy użyciu kombinacji zasad dostępu między dzierżawami, dostępu warunkowego oraz przypisywania aplikacji i ról do użytkowników. Różnią się one tym, kto konfiguruje i inicjuje aprowizację. W topologii 1 dzierżawca źródłowy konfiguruje prowizjonowanie i przenosi użytkowników do dzierżaw docelowych. W topologii 2 dzierżawa docelowa określa, którzy użytkownicy są uprawnieni do uzyskania dostępu do swojej dzierżawy.
Jeśli użytkownik potrzebuje jednocześnie dostępu do kilku dzierżaw, topologia 1 upraszcza żądanie dostępu do pakietu dostępu w jednej dzierżawie i automatyczne przypisanie do kilku dzierżaw. Jeśli docelowa dzierżawa chce zapewnić pełną kontrolę nad tym, kto jest przypisywany do niej i wykonać niezbędne zatwierdzenia, topologia 2 najlepiej spełni ich potrzeby.
Uwagi dotyczące wdrażania
Monitorowanie
Działania podejmowane przez analityka SOC w Microsoft Entra są poddawane inspekcji w dzierżawie Microsoft Entra, w której pracuje. Organizacje mogą utrzymywać dziennik inspekcji wykonanych akcji, generować alerty po wykonaniu określonych akcji i analizować akcje wykonywane przez wypychanie dzienników inspekcji do usługi Azure Monitor.
Akcje wykonywane przez analityka SOC w Microsoft Defender dla Chmury są również poddawane inspekcji.
Skalowanie wdrożenia przy użyciu programu PowerShell/interfejsów API
Każdy krok skonfigurowany za pomocą interfejsu użytkownika w usłudze Microsoft Entra ma towarzyszące mu interfejsy API Microsoft Graph i polecenia PowerShell, co umożliwia wdrożenie żądanych zasad i konfiguracji we wszystkich dzierżawach w Twojej organizacji.
| Zdolność | Microsoft Graph API | PowerShell |
|---|---|---|
| Synchronizacja między tenantami | Łącze | Łącze |
| Zarządzanie upoważnieniami | Łącze | Łącze |
| Zasady dostępu międzydzierżawowego | Łącze | Łącze |
Kontrola dostępu oparta na rolach
Skonfigurowanie możliwości opisanych w topologii 1 i topologii 2 wymaga następujących ról:
- Konfigurowanie ustawień dostępu między tenantami — Administrator zabezpieczeń
- Konfigurowanie synchronizacji międzydzierżawowej — Administrator Tożsamości Hybrydowej
- Konfigurowanie zarządzania przyznawaniem uprawnień — Administrator zarządzania tożsamością
- Usługa Microsoft Defender obsługuje zarówno wbudowane role, jak czytelnik zabezpieczeń, administrator zabezpieczeń, jak i operator zabezpieczeń oraz role niestandardowe.