通过

提供托管安全服务提供程序 (MSSP) 访问权限

  • 项目

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

适用于:

若要实现多租户委托访问解决方案,请执行以下步骤:

  1. 通过 Microsoft Defender 门户为 Defender for Endpoint 启用 基于角色的访问控制 ,并与 Microsoft Entra 组进行连接。

  2. 为 Microsoft Entra ID Governance 中的 外部用户配置权利管理 ,以启用访问请求和预配。

  3. Microsoft Myaccess 中管理访问请求和审核。

在 Microsoft Defender 门户中的 Microsoft Defender for Endpoint 中启用基于角色的访问控制

  1. 在 Customer Microsoft Entra ID:Groups 中创建 MSSP 资源的访问组

    这些组链接到在 defender for Endpoint Microsoft 门户中创建的角色。 为此,请在客户 AD 租户中创建三个组。 在我们的示例方法中,我们将创建以下组:

    • 第 1 层分析师
    • 第 2 层分析师
    • MSSP 分析师审批者

  2. 在 Microsoft Defender 门户角色和组中的 Customer Defender for Endpoint 中创建适当的访问级别的 Defender for Endpoint 角色。

    若要在客户 Microsoft Defender 门户中启用 RBAC,请访问权限>终结点角色 & 具有安全管理员权限的用户帐户对角色进行组>

    Microsoft Defender 门户中 MSSP 访问的详细信息

    然后,创建 RBAC 角色以满足 MSSP SOC 层需求。 通过“分配的用户组”将这些角色链接到创建的用户组。

    两个可能的角色:

    • 第 1 层分析师
      执行除实时响应之外的所有操作并管理安全设置。

    • 第 2 层分析师
      第 1 层功能,并添加了 实时响应

    有关详细信息,请参阅 使用基于角色的访问控制管理门户访问权限

配置治理访问包

  1. 在 Customer Microsoft Entra ID:Identity Governance 中添加 MSSP 作为连接的组织

    将 MSSP 添加为连接的组织允许 MSSP 请求并预配访问权限。

    为此,请在客户 AD 租户中访问标识治理:连接的组织。 添加新组织,并通过租户 ID 或域搜索 MSSP 分析师租户。 建议为 MSSP 分析师创建单独的 AD 租户。

  2. 在 Customer Microsoft Entra ID:Identity Governance 中创建资源目录

    资源目录是在客户 AD 租户中创建的访问包的逻辑集合。

    为此,请在客户 AD 租户中访问“标识治理:目录”,并添加新 目录。 在我们的示例中,我们将它称为 MSSP Accesses

    Microsoft Defender 门户中的新目录

    有关详细信息,请参阅 创建资源目录

  3. 为 MSSP 资源创建访问包 客户Microsoft Entra ID: Identity Governance

    访问包是请求者在批准后授予的权限和访问权限的集合。

    为此,请在客户 AD 租户中访问“标识治理:访问包”,并添加新 的访问包。 为 MSSP 审批者和每个分析师层创建访问包。 例如,以下第 1 层分析师配置创建一个访问包,该访问包:

    • 要求 AD 组 MSSP 分析师审批者 的成员对新请求进行授权
    • 进行年度访问评审,SOC 分析师可在其中请求访问扩展
    • 只能由 MSSP SOC 租户中的用户请求
    • 访问自动在 365 天后过期

    Microsoft Defender 门户中新访问包的详细信息

    有关详细信息,请参阅 创建新的访问包

  4. 提供来自客户Microsoft Entra ID:Identity Governance 中的 MSSP 资源的访问请求链接

    MSSP SOC 分析师使用“我的访问权限”门户链接通过创建的访问包请求访问权限。 该链接是持久的,这意味着同一链接可能会随着时间的推移对新分析师使用。 分析员请求进入队列,等待 MSSP 分析师审批者进行审批

    Microsoft Defender 门户中的访问属性

    该链接位于每个访问包的概述页上。

管理访问权限

  1. 在 Customer 和/或 MSSP myaccess 中查看和授权访问请求。

    访问请求由 MSSP 分析师审批者组的成员在客户“我的访问权限”中管理。

    为此,请使用 访问客户的 myacss: https://myaccess.microsoft.com/@<Customer Domain>

    例如:https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. 在 UI 的 “审批 ”部分中批准或拒绝请求。

    此时,分析师访问权限已预配,每个分析师应能够访问客户的 Microsoft Defender 门户:

    https://security.microsoft.com/?tid=<CustomerTenantId> 以及他们分配的权限和角色。

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动