共用方式為

提供管理安全服務提供者 (MSSP) 存取權限

  • 適用於: Microsoft Defender XDR, Microsoft Defender for Endpoint

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

重要事項

本文中的程序使用的功能,至少需要每位管理範圍內的使用者都必須有 Microsoft Entra ID P2。

要實施多租戶委派存取解決方案,請採取以下步驟:

  1. 透過 Microsoft Defender 入口網站啟用 Defender for Endpoint 的角色基礎存取控制,並連接 Microsoft Entra 群組。

  2. 在 Microsoft Entra ID 控管中為外部使用者設定權限管理,以啟用存取請求與配置。

  3. Microsoft Myaccess 中管理存取請求與稽核。

在 Microsoft Defender 入口網站啟用基於角色的存取控制,並 適用於端點的 Microsoft Defender

  1. 在 Customer Microsoft Entra ID: Groups 中建立 MSSP 資源的存取群組

    這些群組會連結到你在 Microsoft Defender 入口網站中 Defender for Endpoint 中建立的角色。 為此,在客戶 AD 租戶中建立三個群組。 在我們的範例方法中,我們建立了以下群組:

    • 第一層分析師
    • 第二層分析師
    • MSSP 分析師審核員

  2. 在 Microsoft Defender 入口網站角色與群組中,為客戶端點 Defender for Endpoint 的適當存取層級建立 Defender for Endpoint 角色。

    若要在客戶Microsoft Defender入口網站啟用 RBAC,請使用具有安全管理員權限的使用者帳號存取權限>端點角色 & 群組>角色

    Microsoft Defender 入口網站中 MSSP 存取的詳細資訊

    接著,建立符合 MSSP SOC 層級需求的 RBAC 職位。 透過「已分配的使用者群組」將這些角色連結到已建立的使用者群組。

    有兩種可能的角色:

    • 第一級分析師
      執行所有操作,唯獨即時回應並管理安全設定。

    • 第二級分析師
      Tier 1 功能,並新增 即時回應功能。

    欲了解更多資訊,請參閱 使用角色基礎存取控制管理入口網站存取

配置治理存取套件

  1. 在客戶 Microsoft Entra ID:身份治理中新增 MSSP 作為連通組織

    將 MSSP 加入為連網組織,允許 MSSP 請求並配置存取權限。

    為此,在客戶 AD 租戶中,存取身份治理:連接組織。 新增一個組織,並透過租戶 ID 或網域搜尋您的 MSSP 分析師租戶。 我們建議為你的 MSSP 分析師建立一個獨立的 AD 租戶。

  2. 在 Customer Microsoft Entra ID: Identity Governance 建立資源目錄

    資源目錄是一組邏輯性的存取套件集合,由客戶 AD 租戶建立。

    要做到這點,在客戶 AD 租戶中,存取身份治理:目錄,並新增 新目錄。 在我們的例子中,我們稱之為 MSSP 存取

    Microsoft Defender 入口網站的新目錄

    更多資訊請參見 「建立資源目錄」。

  3. 建立 MSSP 資源的存取套件 客戶 Microsoft Entra ID:身份治理

    存取套件是請求者在核准後所授予的權利與存取權的集合。

    為此,在客戶 AD 租戶中,存取身份治理:存取套件,並新增 存取套件。 為 MSSP 審核員及每個分析師層級建立存取套件。 例如,以下 Tier 1 分析師配置會建立一個存取套件,該套件:

    • 要求 AD 群組 MSSP 分析師審核 員的成員授權新請求
    • 每年都會進行存取審查,SOC 分析師可以申請存取延長
    • 僅能由 MSSP SOC 租戶中的使用者申請
    • Access Auto 會在 365 天後到期

    Microsoft Defender 入口網站中新存取套件的詳細資訊

    欲了解更多資訊,請參閱 建立新的存取套件

  4. 提供來自客戶 Microsoft Entra ID 的存取請求連結至 MSSP 資源:身份治理

    我的存取入口連結是 MSSP SOC 分析師用來透過建立的存取套件申請存取權限的。 這個連結是持久的,意味著同一條連結可能會隨著時間推移被新分析師使用。 分析師的請求會進入 MSSP 分析師審核員的審核隊列。

    Microsoft Defender 入口網站中的存取屬性

    連結位於每個存取方案的總覽頁面。

管理存取權

  1. 請審查並授權客戶及/或 MSSP 的 myaccess 存取請求。

    存取請求由 MSSP 分析師審核組成員在客戶的 My Access 中管理。

    為此,請使用以下方式存取客戶的 myaccess: https://myaccess.microsoft.com/@<Customer Domain>

    範例:https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. 在 UI 的 核准 區塊中批准或拒絕請求。

    此時,分析師存取權限已設定,每位分析師應該都能存取客戶的 Microsoft Defender 入口網站:

    https://security.microsoft.com/?tid=<CustomerTenantId> 以及他們被分配的權限和角色。

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on