Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление мультитенантными средами может добавить еще один уровень сложности в вопросах постоянно развивающихся угроз безопасности, с которыми сталкивается ваше предприятие. Навигация между несколькими клиентами может занять много времени и снизить общую эффективность команд центра безопасности (SOC). Мультитенантное управление в Microsoft Defender XDR предоставляет командам безопасности единое, унифицированное представление обо всех арендаторах, которыми они управляют. Этот обзор позволяет командам быстро исследовать инциденты и проводить углублённый анализ данных из нескольких арендаторов, что улучшает их безопасность.
Управление идентификацией Microsoft Entra позволяет управлять доступом и жизненным циклом пользователей, являющихся членами команд SOC и команд охотников за угрозами. В этом документе рассматривается следующее:
- Меры контроля, которые можно внедрить для команд SOC, чтобы они могли безопасно получать доступ к ресурсам у арендаторов.
- Примеры топологий для реализации жизненного цикла и элементов управления доступом.
- Рекомендации по развертыванию (роли, мониторинг, API).
Управление жизненным циклом и доступом пользователя SOC
Microsoft Entra предоставляет элементы управления, необходимые для управления жизненным циклом пользователя SOC и безопасного доступа к необходимым ресурсам. В этом документе термин "исходный клиент" относится к месту, где находятся пользователи SOC и проходят аутентификацию. Целевой арендатор обозначает того арендатора, которого они расследуют при возникновении инцидента. Организации имеют несколько целевых арендаторов из-за слияний и приобретений, сопоставления арендаторов с бизнес-единицами и сопоставления арендаторов с географическими регионами.
Управление жизненным циклом
Управление правами с помощью пакетов доступа и подключенных организаций позволяет целевому администратору клиента определять коллекции ресурсов (например, роли приложения, роли каталогов и группы), к которым пользователи исходного клиента могут запрашивать доступ. Если пользователю одобрено использование необходимых ресурсов, но у него еще нет учетной записи B2B, система управления правами автоматически создаст учетную запись B2B для пользователя в целевом арендаторе. Если у них нет оставшихся прав в целевом клиенте, их учетная запись B2B будет автоматически удалена. Управление правами можно использовать как в организации, так и в разных организациях.
Синхронизация между клиентами позволяет исходному клиенту автоматизировать создание, обновление и удаление пользователей B2B в организации.
Сравнение управления правами и синхронизации между клиентами
| Возможность | Управление правами | Синхронизация клиентов |
|---|---|---|
| Создайте пользователей в целевом арендаторе | - | - |
| Обновление пользователей в целевом клиенте при изменении их атрибутов в исходном клиенте | - | |
| Удаление пользователей | - | - |
| Назначайте пользователей группам, ролям каталога, ролям приложений | - | |
| Атрибуты пользователя в целевом тенанте | Минимальный, предоставленный пользователем во время запроса | Синхронизировано из исходного клиента |
Управление доступом
Вы можете использовать управление правами доступа и политики межтенантного доступа для контроля доступа к ресурсам в различных арендаторах. Управление правами назначает правильным пользователям правильные ресурсы, а политики доступа между клиентами и условный доступ вместе выполняют необходимые проверки во время выполнения, чтобы гарантировать, что правильные пользователи получают доступ к нужным ресурсам.
Управление правами
Назначение ролей Microsoft Entra с помощью пакетов доступа к управлению правами помогает эффективно управлять назначениями ролей в масштабе и улучшает жизненный цикл назначения ролей. Он предоставляет гибкий процесс запроса и утверждения для получения доступа к ролям каталогов, ролям приложений и группам, а также автоматическому назначению ресурсов на основе атрибутов пользователей.
Политики доступа между клиентами
Параметры доступа внешних идентификаторов определяют, как осуществляется связь между арендаторами других организаций Microsoft Entra посредством сотрудничества B2B. Эти параметры определяют уровень входящего доступа пользователей во внешних организациях Microsoft Entra для ваших ресурсов, а также уровень исходящего доступа пользователей к внешним организациям.
Топологии развертывания
В этом разделе описывается, как использовать такие средства, как синхронизация между клиентами, управление правами, политики доступа между клиентами и условный доступ. В обеих топологиях администратор целевого клиента имеет полный контроль над доступом к ресурсам в целевом клиенте. Они отличаются тем, кто инициирует предоставление ресурсов и отказ от ресурсов.
Топология 1
В топологии 1 исходный клиент настраивает управление правами доступа и межарендаторскую синхронизацию для обеспечения наличия пользователей в целевом клиенте. Затем администратор целевого клиента настраивает пакеты доступа для предоставления доступа к необходимым ролям каталогов, группам и ролям приложений в целевом клиенте.
Действия по настройке топологии 1
В исходном клиенте настройте синхронизацию между клиентами для подготовки внутренних учетных записей в исходном клиенте в качестве внешних учетных записей в целевом клиенте.
Когда пользователи назначаются служебному принципалу синхронизации между арендаторами, они автоматически создаются в целевом клиенте. Как только они будут удалены из конфигурации, они автоматически будут депровиженированы. В рамках сопоставлений атрибутов можно добавить новое сопоставление типа константы, чтобы предоставить пользователю атрибут расширения каталога и указать, что он является администратором SOC. Кроме того, если у вас есть атрибут, например отдел, который можно использовать для этого шага, можно пропустить создание расширения. Этот атрибут будет использоваться в целевом клиенте для предоставления им доступа к необходимым ролям.
В исходном клиенте создайте пакет доступа, включая основной объект службы межклиентской синхронизации в качестве ресурса.
По мере предоставления пользователям доступа к пакету, они будут назначены главному объекту службы синхронизации между клиентами. Убедитесь, что вы настроили периодические проверки пакета доступа или установили временные ограничения для назначений, чтобы доступ сохраняли только пользователи, которым он необходим для целевого клиента.
В целевом клиенте создайте пакеты доступа для предоставления необходимых ролей для расследования инцидента.
Мы рекомендуем один пакет автоматического доступа, чтобы предоставить роль наблюдателя за безопасностью, и один пакет доступа по запросу для ролей оператора безопасности и администратора безопасности.
После завершения установки пользователи SOC могут перейти к myaccess.microsoft.com, чтобы запросить ограниченный по времени доступ к необходимым пакетам доступа в исходном клиенте. После утверждения они автоматически будут предоставлены в целевых арендаторах на роль наблюдателя за безопасностью. Затем они могут запросить дополнительный доступ в любом арендаторе, где им нужны роли оператора безопасности или администратора безопасности. После завершения периода доступа или удаления в рамках проверки доступа они будут удалены из всех целевых арендаторов, к которым они больше не нуждаются в доступе.
Топология 2
В топологии 2 администратор целевого клиента определяет пакеты доступа и ресурсы, к которым могут запрашивать доступ исходные пользователи. Если администратор исходного клиента хотел бы ограничить доступ пользователей к целевому клиенту, можно использовать политику доступа между клиентами, связанную с пакетом доступа, чтобы заблокировать весь доступ к целевому клиенту, за исключением пользователей, входящих в пакет доступа в домашнем клиенте.
Действия по настройке топологии 2
В целевом тенанте добавьте исходный тенант в качестве подключенной организации.
Этот параметр позволяет целевому администратору клиента предоставлять доступ к пакетам для исходного клиента.
В целевом клиенте создайте пакет доступа, предоставляющий роли "Читатель безопасности", "Администратор безопасности" и "Оператор безопасности".
Теперь пользователи из исходного клиента могут запрашивать пакеты доступа в целевом клиенте.
После завершения настройки пользователи SOC смогут перейти к myaccess.microsoft.com, чтобы запросить ограниченный доступ к необходимым ролям в каждом клиенте.
Топологии сравниваются
В обеих топологиях целевой клиент может управлять доступом пользователей к ресурсам. Это можно сделать с помощью сочетания политик доступа между клиентами, условного доступа и назначения приложений и ролей пользователям. Они отличаются в том, кто настраивает и инициирует предоставление. В топологии 1 исходный клиент конфигурирует настройку предоставления и отправляет пользователей в целевые клиенты. В топологии 2 целевой клиент определяет, какие пользователи могут получить доступ к своему клиенту.
Если пользователю нужен доступ к нескольким клиентам одновременно, топология 1 позволяет легко запросить доступ к пакету доступа в одном клиенте и автоматически получить доступ к нескольким клиентам. Если целевой арендатор хочет обеспечить полный контроль над тем, кто предоставляется в их арендуемое пространство, и осуществить необходимые утверждения в своей арендуемой среде, топология 2 будет наилучшим образом соответствовать их потребностям.
Рекомендации по развертыванию
Мониторинг
Действия, выполняемые аналитиком SOC в Microsoft Entra, проверяются в клиенте Microsoft Entra, в который они работают. Организации могут поддерживать путь аудита выполненных действий, создавать оповещения при выполнении конкретных действий и анализировать действия, выполняемые путем отправки журналов аудита в Azure Monitor.
Действия, выполняемые аналитиком SOC в Microsoft Defender для облака, также проверяются.
Масштабирование развертывания с помощью PowerShell или API
Каждый шаг, настроенный через пользовательский интерфейс в Microsoft Entra, сопровождается API Microsoft Graph и командлетами PowerShell, что позволяет развертывать нужные политики и конфигурации у арендаторов в вашей организации.
| Возможность | API Microsoft Graph | PowerShell |
|---|---|---|
| Синхронизация клиентов | Ссылка | Ссылка |
| Управление правами | Ссылка | Ссылка |
| Политики доступа между арендаторами | Ссылка | Ссылка |
Управление доступом на основе ролей
Для настройки возможностей, описанных в топологии 1 и топологии 2, требуются следующие роли:
- Настройка параметров доступа между клиентами — администратор безопасности
- Настройка межарендаторской синхронизации — администратор гибридных идентификаторов
- Настройка управления доступами — администратор управления идентификацией
- Microsoft Defender поддерживает встроенные роли, такие как читатель безопасности, администратор безопасности и оператор безопасности и пользовательские роли.