マネージド セキュリティ サービス プロバイダー (MSSP) アクセスの付与 (プレビュー)

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

マルチテナント委任アクセス ソリューションを実装するには、次の手順を実行します。

  1. Defender for Endpoint で ロールベースのアクセス制御 を有効にし、Microsoft Entra ID グループに接続します。

  2. アクセス要求とプロビジョニング用に ガバナンス アクセス パッケージ を構成します。

  3. Microsoft MyAccess でアクセス要求と監査を管理します。

Microsoft Defender for Endpoint でロールベースのアクセス制御を有効にする

  1. Customer Entra ID: Groups で MSSP リソースのアクセス グループを作成する

    これらのグループは、Defender for Endpoint で作成したロールにリンクされます。 これを行うには、顧客の Entra ID テナントで 3 つのグループを作成します。 この例のアプローチでは、次のグループを作成します。

    • 階層 1 アナリスト
    • 階層 2 アナリスト
    • MSSP アナリスト承認者

  2. Customer Defender for Endpoint で適切なアクセス レベルの Defender for Endpoint ロールを作成します。

    顧客の Microsoft Defender ポータルで RBAC を有効にするには、[設定>Endpoints>Permissions>Roles] に移動し、[ロールの有効化] を選択します。

    次に、MSSP SOC レベルのニーズを満たす RBAC ロールを作成します。 割り当てられたユーザー グループを使用して、これらのロールを作成したユーザー グループにリンクします。 可能なロールは、階層 1 アナリストと階層 2 アナリストの 2 つあります。

    • 階層 1 アナリスト - ライブ応答を除くすべてのアクションを実行し、セキュリティ設定を管理します。

    • 階層 2 アナリスト - ライブ応答に追加された階層 1 の機能

    詳細については、「 ロールベースのアクセス制御を使用する」を参照してください。

ガバナンス アクセス パッケージを構成する

  1. Customer Entra ID: Identity Governance に接続された組織として MSSP を追加する

    接続された組織として MSSP を追加すると、MSSP はアクセスを要求し、プロビジョニングできます。

    これを行うには、顧客の Entra ID テナントで、IDENTITY Governance: Connected Organization にアクセスします。 新しい組織を追加し、テナント ID またはドメインを使用して MSSP アナリスト テナントを検索します。 MSSP アナリスト用に個別の Entra ID テナントを作成することをお勧めします。

  2. Customer Entra ID: Identity Governance でリソース カタログを作成する

    リソース カタログは、顧客の Entra ID テナントで作成されたアクセス パッケージの論理コレクションです。

    これを行うには、顧客の Entra ID テナントで、Identity Governance: Catalogs にアクセスし、 新しいカタログを追加します。 この例では、 MSSP Accesses と呼ばれます。

    新しいカタログ ページ

    詳細については、「 リソースのカタログを作成する」を参照してください。

  3. MSSP リソースのアクセス パッケージを作成する顧客 Entra ID: ID ガバナンス

    アクセス パッケージは、要求者が承認時に付与する権限とアクセスのコレクションです。

    これを行うには、顧客の Entra ID テナントで、IDENTITY Governance: Access Packages にアクセスし、 新しいアクセス パッケージを追加します。 MSSP 承認者と各アナリスト層のアクセス パッケージを作成します。 たとえば、次の階層 1 アナリスト構成では、次のようなアクセス パッケージが作成されます。

    • 新しい要求を承認するには、Entra ID グループ MSSP アナリスト承認者 のメンバーが必要です
    • SOC アナリストがアクセス拡張機能を要求できる年次アクセス レビューがある
    • MSSP SOC テナント内のユーザーのみが要求できます
    • アクセスの自動有効期限は 365 日後です

    [新しいアクセス パッケージ] ページ

    詳細については、「 新しいアクセス パッケージを作成する」を参照してください。

  4. 顧客 Entra ID から MSSP リソースへのアクセス要求リンクを提供する: ID ガバナンス

    マイ アクセス ポータル リンクは、MSSP SOC アナリストが作成したアクセス パッケージを介してアクセスを要求するために使用されます。 リンクは永続的です。つまり、同じリンクが時間の経過と同時に新しいアナリストに使用される可能性があります。 アナリスト要求は、 MSSP アナリスト承認者による承認のためにキューに入ります。

    [プロパティ] ページ

    リンクは、各アクセス パッケージの概要ページにあります。

アクセスを管理する

  1. 顧客または MSSP MyAccess でアクセス要求を確認および承認します。

    アクセス要求は、MSSP アナリスト承認者グループのメンバーによって、顧客のマイ アクセスで管理されます。

    これを行うには、次の https://myaccess.microsoft.com/@<Customer Domain> を使用して顧客の MyAccess にアクセスします。

    例: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. UI の [承認] セクションで要求 を承認 または拒否します。

    この時点で、アナリスト アクセスがプロビジョニングされ、各アナリストは顧客の Microsoft Defender ポータルにアクセスできる必要があります。 https://security.microsoft.com/?tid=<CustomerTenantId>

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。