向托管安全服务提供商 (MSSP) 授予访问权限 (预览版)
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
若要实现多租户委托访问解决方案,请执行以下步骤:
在 Defender for Endpoint 中启用 基于角色的访问控制 ,并与Microsoft Entra ID 组进行连接。
为访问请求和预配配置 治理访问包 。
在 Microsoft MyAccess 中管理访问请求和审核。
在 Microsoft Defender for Endpoint 中启用基于角色的访问控制
在“客户条目 ID:组”中为 MSSP 资源创建访问组
这些组链接到在 Defender for Endpoint 中创建的角色。 为此,请在客户 Entra ID 租户中创建三个组。 在我们的示例方法中,我们将创建以下组:
- 第 1 层分析师
- 第 2 层分析师
- MSSP 分析师审批者
在 Customer Defender for Endpoint 中创建适当的访问级别的 Defender for Endpoint 角色。
若要在客户 Microsoft Defender 门户中启用 RBAC,请转到 “设置>终结点>权限>角色”,然后选择“ 启用角色”。
然后,创建 RBAC 角色以满足 MSSP SOC 层需求。 通过分配的用户组将这些角色链接到创建的用户组。 有两个可能的角色:第 1 层分析师和第 2 层分析师。
第 1 层分析师 - 执行除实时响应之外的所有操作并管理安全设置。
第 2 层分析师 - 第 1 层功能,增加了 实时响应
有关详细信息,请参阅 使用基于角色的访问控制。
配置治理访问包
在客户条目 ID:标识治理中将 MSSP 添加为连接的组织
将 MSSP 添加为连接的组织允许 MSSP 请求并预配访问权限。
为此,请在客户 Entra ID 租户中访问标识治理:连接的组织。 添加新组织,并通过租户 ID 或域搜索 MSSP 分析师租户。 建议为 MSSP 分析师创建单独的 Entra ID 租户。
在客户条目 ID:标识治理中创建资源目录
资源目录是在客户 Entra ID 租户中创建的访问包的逻辑集合。
为此,请在客户 Entra ID 租户中访问“标识治理: 目录”,并添加新 目录。 在我们的示例中,它称为 MSSP 访问。
有关详细信息,请参阅 创建资源目录。
为 MSSP 资源创建访问包 客户条目 ID:标识治理
访问包是请求者在批准后授予的权限和访问权限的集合。
为此,请在客户 Entra ID 租户中访问“标识治理:访问包”,并添加新 的访问包。 为 MSSP 审批者和每个分析师层创建访问包。 例如,以下第 1 层分析师配置创建一个访问包,该访问包:
- 要求 Entra ID 组 MSSP 分析师审批者 的成员对新请求进行授权
- 进行年度访问评审,SOC 分析师可在其中请求访问扩展
- 只能由 MSSP SOC 租户中的用户请求
- 访问自动在 365 天后过期
有关详细信息,请参阅 创建新的访问包。
提供来自客户条目 ID 的 MSSP 资源的访问请求链接:标识治理
MSSP SOC 分析师使用“我的访问权限”门户链接通过创建的访问包请求访问权限。 此链接是持久的,这意味着同一链接可能会随着时间的推移对新分析师使用。 分析员请求进入队列,等待 MSSP 分析师审批者进行审批。
该链接位于每个访问包的概述页上。
管理访问权限
在 Customer 和/或 MSSP MyAccess 中查看和授权访问请求。
访问请求由 MSSP 分析师审批者组的成员在客户“我的访问权限”中管理。
为此,请使用 访问客户的 MyAccess:
https://myaccess.microsoft.com/@<Customer Domain>。例如:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/在 UI 的 “审批 ”部分中批准或拒绝请求。
此时,已预配分析师访问权限,每个分析师应能够访问客户的 Microsoft Defender 门户:
https://security.microsoft.com/?tid=<CustomerTenantId>
相关文章
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。