提供受控安全性服務提供者 (MSSP) 存取
重要
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
重要
本文中的程式會針對管理範圍內的每個使用者,使用至少需要 Microsoft Entra ID P2 的功能。
適用於:
若要實作多租使用者委派的存取解決方案,請採取下列步驟:
透過 Microsoft Defender 入口網站為適用於端點的Defender啟用角色型訪問控制,並與 Microsoft Entra群組連線。
在 Microsoft Entra ID 控管 內設定外部用戶的權利管理,以啟用存取要求和布建。
在 Microsoft Myaccess 中管理存取要求和稽核。
在客戶 Microsoft Entra ID 中建立 MSSP 資源的存取群組:群組
這些群組會連結到您在入口網站中於適用於端點的Defender中建立的角色 Microsoft Defender。 若要這樣做,請在客戶 AD 租使用者中建立三個群組。 在我們的範例方法中,我們會建立下列群組:
- 第 1 層分析師
- 第 2 層分析師
- MSSP 分析師核准者
在入口網站角色和群組中,針對適用於端點的客戶 Defender 中適當的存取層級建立適用於端點的 Defender 角色 Microsoft Defender。
若要在客戶 Microsoft Defender 入口網站中啟用 RBAC,請存取>許可權端點角色 & 群組>具有安全性系統管理員許可權的用戶帳戶角色。
然後,建立 RBAC 角色以符合 MSSP SOC 層的需求。 透過「指派的使用者群組」,將這些角色連結至已建立的使用者群組。
兩個可能的角色:
第 1 層分析師
執行即時回應和管理安全性設定以外的所有動作。第 2 層分析師
新增 實時回應的第1層功能。
如需詳細資訊,請 參閱使用角色型訪問控制管理入口網站存取。
在客戶 Microsoft Entra ID 中將 MSSP 新增為已連線的組織:身分識別控管
將 MSSP 新增為已連線的組織,可讓 MSSP 要求並布建存取權。
若要這樣做,請在客戶 AD 租使用者中存取身分識別控管:已連線的組織。 新增組織,並透過租使用者標識碼或網域搜尋您的 MSSP 分析師租使用者。 建議您為 MSSP 分析師建立個別的 AD 租使用者。
在客戶 Microsoft Entra ID 中建立資源目錄:身分識別控管
資源目錄是在客戶 AD 租使用者中建立的存取套件邏輯集合。
若要這樣做,請在客戶 AD 租使用者中,存取 Identity Governance: Catalogs,並新增 [新增目錄]。 在我們的範例中,我們會將它稱為 MSSP 存取。
如需詳細資訊,請 參閱建立資源目錄。
建立 MSSP 資源的存取套件客戶 Microsoft Entra ID:身分識別控管
存取套件是要求者核准時授與的許可權和存取權集合。
若要這樣做,請在客戶 AD 租使用者中存取識別控管:存取套件,並新增 新的存取套件。 為 MSSP 核准者和每個分析師層建立存取套件。 例如,下列第 1 層分析師設定會建立存取套件::
- 需要AD群組 MSSP 分析師核准者 的成員才能授權新的要求
- 具有年度存取權檢閱,SOC 分析師可以在其中要求存取延伸模組
- 只能由 MSSP SOC 租使用者中的使用者要求
- 存取自動在 365 天后過期
如需詳細資訊,請 參閱建立新的存取套件。
從客戶 Microsoft Entra ID 提供 MSSP 資源的存取要求連結:身分識別控管
MSSP SOC 分析師會使用 「我的存取入口網站」連結,透過建立的存取套件要求存取權。 連結是永久性的,這表示新的分析師可能會隨著時間使用相同的連結。 分析師要求會進入佇列,以供 MSSP 分析師核准者核准。
鏈接位於每個存取套件的概觀頁面上。
在客戶和/或 MSSP myaccess 中檢閱和授權存取要求。
存取要求是由 MSSP 分析師核准者群組的成員在客戶的「我的存取權」中管理。
若要這樣做,請使用下列專案來存取客戶的 myaccess:
https://myaccess.microsoft.com/@<Customer Domain>
。範例:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/
在 UI 的 [核准 ] 區段中核准或拒絕要求。
此時,已布建分析師存取權,且每個分析師都應該能夠存取客戶的 Microsoft Defender 入口網站:
https://security.microsoft.com/?tid=<CustomerTenantId>
具有已指派的許可權和角色。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。