向托管安全服务提供商 (MSSP) 授予访问权限 (预览版)

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

若要实现多租户委托访问解决方案,请执行以下步骤:

  1. 在 Defender for Endpoint 中启用 基于角色的访问控制 ,并与Microsoft Entra ID 组进行连接。

  2. 为访问请求和预配配置 治理访问包

  3. Microsoft MyAccess 中管理访问请求和审核。

在 Microsoft Defender for Endpoint 中启用基于角色的访问控制

  1. 在“客户条目 ID:组”中为 MSSP 资源创建访问组

    这些组链接到在 Defender for Endpoint 中创建的角色。 为此,请在客户 Entra ID 租户中创建三个组。 在我们的示例方法中,我们将创建以下组:

    • 第 1 层分析师
    • 第 2 层分析师
    • MSSP 分析师审批者
  2. 在 Customer Defender for Endpoint 中创建适当的访问级别的 Defender for Endpoint 角色。

    若要在客户 Microsoft Defender 门户中启用 RBAC,请转到 “设置>终结点>权限>角色”,然后选择“ 启用角色”。

    然后,创建 RBAC 角色以满足 MSSP SOC 层需求。 通过分配的用户组将这些角色链接到创建的用户组。 有两个可能的角色:第 1 层分析师和第 2 层分析师。

    • 第 1 层分析师 - 执行除实时响应之外的所有操作并管理安全设置。

    • 第 2 层分析师 - 第 1 层功能,增加了 实时响应

    有关详细信息,请参阅 使用基于角色的访问控制

配置治理访问包

  1. 在客户条目 ID:标识治理中将 MSSP 添加为连接的组织

    将 MSSP 添加为连接的组织允许 MSSP 请求并预配访问权限。

    为此,请在客户 Entra ID 租户中访问标识治理:连接的组织。 添加新组织,并通过租户 ID 或域搜索 MSSP 分析师租户。 建议为 MSSP 分析师创建单独的 Entra ID 租户。

  2. 在客户条目 ID:标识治理中创建资源目录

    资源目录是在客户 Entra ID 租户中创建的访问包的逻辑集合。

    为此,请在客户 Entra ID 租户中访问“标识治理: 目录”,并添加新 目录。 在我们的示例中,它称为 MSSP 访问

    “新建目录”页

    有关详细信息,请参阅 创建资源目录

  3. 为 MSSP 资源创建访问包 客户条目 ID:标识治理

    访问包是请求者在批准后授予的权限和访问权限的集合。

    为此,请在客户 Entra ID 租户中访问“标识治理:访问包”,并添加新 的访问包。 为 MSSP 审批者和每个分析师层创建访问包。 例如,以下第 1 层分析师配置创建一个访问包,该访问包:

    • 要求 Entra ID 组 MSSP 分析师审批者 的成员对新请求进行授权
    • 进行年度访问评审,SOC 分析师可在其中请求访问扩展
    • 只能由 MSSP SOC 租户中的用户请求
    • 访问自动在 365 天后过期

    有关详细信息,请参阅 创建新的访问包

  4. 提供来自客户条目 ID 的 MSSP 资源的访问请求链接:标识治理

    MSSP SOC 分析师使用“我的访问权限”门户链接通过创建的访问包请求访问权限。 此链接是持久的,这意味着同一链接可能会随着时间的推移对新分析师使用。 分析员请求进入队列,等待 MSSP 分析师审批者进行审批

    该链接位于每个访问包的概述页上。

管理访问权限

  1. 在 Customer 和/或 MSSP MyAccess 中查看和授权访问请求。

    访问请求由 MSSP 分析师审批者组的成员在客户“我的访问权限”中管理。

    为此,请使用 访问客户的 MyAccess: https://myaccess.microsoft.com/@<Customer Domain>

    例如:https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. 在 UI 的 “审批 ”部分中批准或拒绝请求。

    此时,已预配分析师访问权限,每个分析师应能够访问客户的 Microsoft Defender 门户: https://security.microsoft.com/?tid=<CustomerTenantId>

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区