Multitenant-bewerkingen beheren voor defensieorganisaties

In dit artikel wordt gedefinieerd hoe organisaties met meerdere tenants bewerkingen moeten beheren in Microsoft Entra-tenants om te voldoen aan nul vertrouwensvereisten. Het omvat toepassingsbeheer, identiteitsbeheer en beveiligingsbewerkingen. De primaire en secundaire Microsoft Entra-tenantbeheerders hebben verschillende verantwoordelijkheden in elk gebied. Primaire en secundaire tenant(s) moeten de onboarding van toepassingen, rechtenbeheer en detectie en reactie van bedreigingen coördineren (zie afbeelding 1). Zie tenanttypen identificeren voor meer informatie.

Afbeelding 1. Gedeelde verantwoordelijkheden per tenant voor multitenant-defensieorganisaties

Toepassingsbeheer

De primaire Microsoft Entra-tenant en de secundaire Microsoft Entra-tenant(s) delen de verantwoordelijkheden voor toepassingsbeheer. De primaire tenant is verantwoordelijk voor het voltooien van Microsoft Entra-taken, zoals enterprise-app-beheer en app-registratie. De secundaire tenant is verantwoordelijk voor Azure-platformbewerkingen, zoals prestatiebewaking, resourceconfiguratie, schalen en beheren van DevSecOps-pijplijnen.

Beheer van primaire tenanttoepassingen

U moet alle moderne toepassingen onboarden die gebruikers moeten aanmelden als bedrijfstoepassingen in de primaire tenant.

U moet Azure-toepassingen registreren die worden uitgevoerd in secundaire tenantabonnementen bij de primaire tenant. De primaire tenant is waar gebruikers en licenties zich bevinden. Als gebruikers toepassingen registreren in de primaire tenant, kunnen ze zich aanmelden met dezelfde identiteit die ze gebruiken voor Microsoft 365. Deze configuratie biedt de meest naadloze ervaring en u kunt dezelfde basislijn voor nulvertrouwensbeleid toepassen op alle toegang tot toepassingen.

De locatie van de toepassingsinfrastructuur (virtuele machines, databases, web-apps) heeft geen invloed op de tenant die u kunt gebruiken voor gebruikersaanmelding. Het team dat de primaire tenant beheert, is verantwoordelijk voor app-registraties en bedrijfstoepassingen. Ze zijn ook verantwoordelijk voor beleid voor voorwaardelijke toegang dat wordt toegepast op toepassingen die worden gehost in de primaire tenant en eventuele secundaire tenants.

App-registraties. U registreert webtoepassingen en API's die de organisatie gebruikt bij de primaire tenant. De app-registratie maakt een toepassingsobject in Microsoft Entra ID. Het toepassingsobject vertegenwoordigt de toepassingsdefinitie. De toepassingsdefinitie bevat een toepassingsmanifest, configuratie van tokenclaims, app-roldefinities en clientgeheimen. Activiteiten die betrokken zijn bij de registraties van primaire tenant-apps zijn onder andere:

• App-registratiemachtigingen delegeren in Microsoft Entra-id
• De toewijzing van de rol Microsoft Entra voor toepassingsontwikkelaars beheren
• Aangepaste rollen maken en toewijzen voor app-registratie
• App-registraties maken voor toepassingen en API's
• Web-API's beschikbaar maken en bereiken toevoegen aan een geregistreerde app
• App-rollen maken en beheren voor een geregistreerde toepassing
• API-machtigingen definiëren voor een toepassing

Bedrijfstoepassingen. Bedrijfstoepassingen zijn de service-principals voor een afzonderlijk exemplaar van een toepassing in uw directory. Wanneer u een app-registratie maakt in Azure Portal, wordt de bedrijfstoepassing automatisch gemaakt en worden bepaalde eigenschappen overgenomen van het toepassingsobject. Activiteiten die betrekking hebben op het beheren van bedrijfstoepassingen in de primaire tenant zijn onder andere:

• Bedrijfstoepassingen maken vanuit de Microsoft Entra Gallery en niet-galerie SAML-apps implementeren
• Beheer van bedrijfstoepassingen delegeren door eigenaren toe te wijzen
• De naam, het logo, de zichtbaarheid in Mijn apps voor een bedrijfstoepassing beheren
• Gebruikers en groepen toewijzen voor toegang tot de bedrijfstoepassing
• Ondertekeningscertificaten voor SAML-apps beheren
• Toestemming verlenen voor API-machtigingen
• Microsoft Entra-toepassingsproxy implementeren en beheren voor on-premises toepassingen

Beleid voor voorwaardelijke toegang. Beleid voor voorwaardelijke toegang dwingt nul vertrouwensbeleid af voor toegang tot resources die worden beveiligd door Microsoft Entra-id. Wanneer u toepassingen registreert in de primaire tenant, bepaalt de primaire tenantbeheerder welke beleidsregels van toepassing zijn tijdens het aanmelden van gebruikers.

Secundair tenanttoepassingsbeheer

Secundaire tenants hosten de infrastructuur- en platformbronnen voor workloads in Azure. Het team dat een secundaire tenant beheert, is verantwoordelijk voor het bewaken van prestaties, resourceconfiguratie, schalen en beheren van DevSecOps-pijplijnen.

Prestatiebewaking. Azure bevat verschillende hulpprogramma's voor het bewaken van de prestaties van gehoste toepassingen, waaronder Azure Monitor en Application Insights. De beheerders van de secundaire tenant moeten bewaking instellen voor het verzamelen van prestatiegegevens voor toepassingsworkloads in abonnementen die zijn gekoppeld aan hun secundaire tenant.

Toepassingsinfrastructuur. De beheerders in de Azure-omgeving moeten de infrastructuur beheren waarop de toepassingen worden uitgevoerd. De infrastructuur omvat netwerken, platformservices en virtuele machines. De vereiste is van toepassing op toepassingen die worden uitgevoerd op Azure Kubernetes Service, App Service of virtuele machines.

Toepassingseigenaren moeten Defender voor Cloud gebruiken om het beveiligingspostuur van de omgeving te beheren en waarschuwingen en aanbevelingen voor de geïmplementeerde resources weer te geven. Ze moeten Azure Policy-initiatieven gebruiken om te voldoen aan de nalevingsvereisten.

Door Defender voor Cloud te verbinden met Microsoft Sentinel, kan uw Security Operations Center (SOC) cloudtoepassingen beter beveiligen. De SOC kan nog steeds hun standaard beveiligingswerkstroom en automatiseringsprocedures onderhouden. Defender verbinden met Sentinel biedt zichtbaarheid om gebeurtenissen in de hele onderneming te correleren. Het kan de cloud en on-premises bewaken. Als u on-premises onderdelen wilt bewaken, moet u deze beheren met (1) Azure Arc of (2) deze verbinden via een API, Azure Monitor-agent of Syslog-doorstuurserver.

DevSecOps-pijplijnen. Wanneer u toepassingen in Azure host, implementeert een DevSecOps-pijplijn infrastructuurbronnen en toepassingscode in Azure. Secundaire tenantbeheerders zijn verantwoordelijk voor het beheren van service-principals die de implementatie van code automatiseren. Microsoft Entra Workload-ID Premium helpt bij het beveiligen van service-principals. Microsoft Entra Workload-ID controleert ook de bestaande toegang en biedt extra beveiliging op basis van het risico van de service-principal.

Identiteitsbeheer

Organisaties met meerdere tenants moeten de toegang tot toepassingen in de primaire Microsoft Entra-tenant beheren en externe gastidentiteiten beheren in de secundaire tenant voor de Azure-omgeving.

Primaire tenantidentiteitsbeheer

Wanneer u toepassingen registreert in de primaire tenant, bepaalt de primaire tenant toegang tot toepassingen. Het team dat de primaire tenant beheert, configureert rechtenbeheer en voert toegangsbeoordelingen uit om bestaande toegang te controleren. Ze beheren ook externe identiteiten en privileged identity management in de primaire tenant.

Rechtenbeheer. Microsoft Entra ID-rechtenbeheer helpt de toegang tot Microsoft Entra-toepassingen, groepen, SharePoint-sites en Teams te beheren door rechten te bundelen in toewijsbare toegangspakketten. De primaire tenantbeheerders beheren de Microsoft Entra-objecten die worden gebruikt voor toepassingsbeheer. Activiteiten die betrokken zijn bij rechtenbeheer in de primaire tenant omvatten (zie afbeelding 2):

• Microsoft Entra-beveiligingsgroepen maken voor het toewijzen van toepassingsrollen
• Groepseigendom delegeren voor toepassingstoewijzing
• Rechtenbeheercatalogussen en toegangspakketten configureren
• Rollen delegeren in rechtenbeheer
• Identiteitsbeheertaken automatiseren
• Toegangsbeoordelingen maken voor toegangspakketten en Microsoft Entra-beveiligingsgroepen

Afbeelding 2. Rechtenbeheer voor toepassingstoewijzing met behulp van contoso.com als voorbeelddomeinnaam.

U moet toepassingsbeheer instellen met behulp van een toegangspakket voor rechtenbeheer en dit proces volgen (zie afbeelding 2):

1. Een primaire tenanttoepassingsbeheerder moet samenwerken met de ontwikkelaar om een nieuwe app-registratie te maken voor een web-app die is geïmplementeerd in een secundaire tenant.
2. De beheerder van identiteitsbeheer moet een toegangspakket maken. De beheerder voegt de toepassing toe als rechten en stelt gebruikers in staat het pakket aan te vragen. De beheerder stelt de maximale duur voor toegang in voordat een toegangsbeoordeling wordt gecontroleerd. Desgewenst kan de beheerder van rechtenbeheer machtigingen delegeren voor anderen om toegangspakketten te beheren.
3. De gebruiker vraagt het toegangspakket aan. Ze moeten de duur van de toegangsaanvraag samen met een reden bevatten om een fiatteur te helpen een beslissing te nemen. Ze kunnen elke duur aanvragen tot de maximale duur die de beheerder heeft ingesteld.
4. De fiatteur van het toegangspakket keurt de aanvraag goed.
5. Het pakket wijst de gebruiker toegang toe tot de toepassing in de secundaire tenant voor de aangevraagde duur.
6. De gebruiker meldt zich aan met de identiteit van de primaire tenant om toegang te krijgen tot de toepassing die wordt gehost in een abonnement dat is gekoppeld aan een secundaire tenant.

Externe identiteiten. Microsoft Entra Externe ID maakt veilige interactie mogelijk met gebruikers buiten uw organisatie. De primaire tenantbeheerders hebben verschillende configuratieverantwoordelijkheden voor toepassingen die zijn geregistreerd in de primaire tenant. Ze moeten externe samenwerking (B2B) en beleid voor toegang tussen tenants configureren met hun partnerorganisaties. Ze moeten ook alle levenscycluswerkstromen configureren voor de gastgebruikers en hun toegang. Activiteiten die betrokken zijn bij het beheren van externe identiteiten in de primaire tenant zijn onder andere:

• Toegang beheren voor gebruikers buiten uw organisatie
• Instellingen voor B2B-samenwerking en beleid voor toegang tussen tenants (XTAP) voor partnerorganisaties beheren
• Microsoft Entra ID-governance configureren om externe gebruikers te controleren en te verwijderen die geen toegang meer hebben tot resources

Privileged Identity Management. Microsoft Entra Privileged Identity Management (PIM) maakt Just-In-Time-beheer van Microsoft Entra-rollen, Azure-rollen en Microsoft Entra-beveiligingsgroepen mogelijk. Primaire tenantbeheerders zijn verantwoordelijk voor het configureren en beheren van Microsoft Entra PIM in de primaire tenant.

Secundaire tenantidentiteitsbeheer

U moet primaire tenant-identiteiten gebruiken om secundaire tenants te beheren. Dit beheermodel vermindert het aantal afzonderlijke accounts en referenties dat beheerders moeten onderhouden. Het configureren van functies voor identiteitsbeheer in secundaire tenants vereenvoudigt nog meer beheer. U kunt een selfservicemodel gebruiken om externe gebruikers (B2B-gasten) vanuit de primaire tenant te onboarden.

Het team dat een secundaire tenant beheert, heeft verschillende verantwoordelijkheden in hun secundaire tenant. Ze configureren rechtenbeheer. Ze voeren toegangsbeoordelingen uit om bestaande toegang te controleren. Ze beheren externe identiteiten en configureren privileged identity management.

Rechtenbeheer. U moet externe gebruikersbeheer configureren voor Azure-beheer. U moet externe identiteiten (B2B-gasten) van de primaire tenant onboarden om Azure-resources te beheren met behulp van een scenario dat door de eindgebruiker is geïnitieerd met behulp van rechtenbeheer (zie afbeelding 3).

Afbeelding 3. Rechtenbeheer voor externe gasttoegang (B2B) met behulp van contoso.com als voorbeelddomeinnaam.

U moet externe gasttoegang (B2B) instellen met behulp van een toegangspakket voor rechtenbeheer en dit proces volgen (zie afbeelding 3):

1. Een beheerder in de secundaire tenant voegt de primaire tenant toe als een verbonden organisatie en maakt een toegangspakket voor primaire tenantgebruikers om aan te vragen.
2. Primaire tenantgebruiker vraagt het toegangspakket in de secundaire tenant aan.
3. Optioneel voltooit een fiatteur de aanvraag.
4. Er wordt een extern gastobject gemaakt voor de gebruiker in de secundaire tenant.
5. Toegangspakket wordt toegewezen aan het verlenen van geschiktheid voor een Azure-rol.
6. De gebruiker beheert Azure-resources met behulp van hun externe identiteit.

Zie Toegang beheren voor externe gebruikers in rechtenbeheer voor meer informatie.

Externe identiteiten. Microsoft Entra Externe ID stelt gebruikers in de primaire tenant in staat om te communiceren met resources in de secundaire tenant. Het proces dat in afbeelding 3 wordt beschreven, maakt gebruik van externe identiteiten van de primaire tenant om Azure-abonnementen te beheren die zijn gekoppeld aan de secundaire tenant. Activiteiten die betrokken zijn bij het beheren van externe identiteiten in de secundaire tenant zijn onder andere:

• Instellingen voor B2B-samenwerking en beleid voor toegang tussen tenants (XTAP) voor de primaire tenant en andere partnerorganisaties beheren
• Identiteitsbeheer gebruiken om externe gebruikers te controleren en te verwijderen die geen toegang meer hebben tot resources

Privileged Identity Management. Microsoft Entra PIM maakt Just-In-Time-beheer mogelijk voor Microsoft Entra-rollen, Azure-rollen en bevoegde beveiligingsgroepen. Secundaire tenantbeheerders zijn verantwoordelijk voor het configureren en beheren van Microsoft Entra PIM voor beheerdersrollen die worden gebruikt voor het beheren van de secundaire Microsoft Entra-tenant en Azure-omgeving.

Beveiligingsbewerkingen

Het beveiligingsteam van een defensieorganisatie moet bedreigingen beveiligen, detecteren en erop reageren in on-premises, hybride en multicloudomgevingen. Ze moeten hun gebruikers beschermen, gevoelige gegevens beheren, bedreigingen onderzoeken op gebruikersapparaten en -servers. Ze moeten ook onveilige configuratie van cloud- en on-premises resources herstellen. Beveiligingsoperators in multitenant defense-organisaties werken meestal vanuit de primaire tenant, maar kunnen voor bepaalde acties tussen tenants draaien.

Primaire tenantbeveiligingsbewerkingen

Beveiligingsoperators in de primaire tenant moeten waarschuwingen van Microsoft 365 in de primaire tenant bewaken en beheren. Dit werk omvat het beheren van Microsoft Sentinel- en Microsoft Defender XDR-services zoals Microsoft Defender voor Eindpunt (MDE).

Sentinel en Microsoft 365. U implementeert een Microsoft Sentinel-exemplaar in een abonnement dat is gekoppeld aan de primaire tenant. U moet gegevensconnectors configureren voor dit Sentinel-exemplaar. Met de gegevensconnectors kan het Sentinel-exemplaar beveiligingslogboeken uit verschillende bronnen opnemen. Deze bronnen omvatten Office 365, Microsoft Defender XDR, Microsoft Entra ID, Entra Identity Protection en andere workloads in de primaire tenant. Beveiligingsoperators die incidenten en waarschuwingen voor Microsoft 365 bewaken, moeten gebruikmaken van de primaire tenant. Activiteiten die betrokken zijn bij het beheren van Sentinel voor Microsoft 365 in de primaire tenant zijn onder andere:

• Riskante gebruikers en service-principals in de primaire tenant bewaken en herstellen
• Gegevensconnectors configureren voor Microsoft 365 en andere beschikbare primaire tenantgegevensbronnen voor Microsoft Sentinel
• Werkmappen, notebooks, analyseregels en SOAR (Security Orchestration and Response) bouwen binnen de Microsoft 365-omgeving

Microsoft Defender XDR. U beheert Microsoft Defender XDR in de primaire tenant. De primaire tenant is waar u Microsoft 365-services gebruikt. Microsoft Defender XDR helpt u bij het bewaken van waarschuwingen en het oplossen van aanvallen op gebruikers, apparaten en service-principals. Activiteiten omvatten het beheren van onderdelen van Microsoft Defender XDR. Deze onderdelen omvatten Defender voor Eindpunt, Defender for Identity, Defender voor Cloud-apps, Defender voor Office.

Microsoft Defender voor Eindpunt (MDE) antwoord (werkstations). U moet werkstations van eindgebruikers koppelen aan de primaire tenant en Microsoft Intune gebruiken om ze te beheren. Beveiligingsoperators moeten MDE gebruiken om te reageren op gedetecteerde aanvallen. Het antwoord kan werkstations isoleren of een onderzoekspakket verzamelen. Defender voor Eindpunt-antwoordacties voor gebruikersapparaten vindt plaats in de MDE-service van de primaire tenant. Activiteiten die betrokken zijn bij het beheren van MDE-antwoorden in de primaire tenant omvatten het beheren van apparaatgroepen en rollen.

Secundaire tenantbeveiligingsbewerkingen

In deze sectie wordt beschreven hoe u Azure-resources moet bewaken en beveiligen in abonnementen in secundaire tenants. U moet Defender voor Cloud, Microsoft Sentinel en Microsoft Defender voor Eindpunt (MDE). U moet Azure Lighthouse en externe identiteiten gebruiken om machtigingen toe te wijzen aan beveiligingsoperators in de primaire tenant. Met deze instelling kunnen beveiligingsoperators één account en een bevoegd toegangsapparaat gebruiken om de beveiliging tussen tenants te beheren.

Sentinel (cloud, on-premises). U moet machtigingen toewijzen en Sentinel configureren voor het opnemen van beveiligingssignalen van Azure-resources die zijn geïmplementeerd in abonnementen die zijn gekoppeld aan de secundaire tenant.

Machtigingen toewijzen. Voor beveiligingsoperators in de primaire tenant om Microsoft Sentinel te kunnen gebruiken, moet u machtigingen toewijzen met behulp van Azure Resource Manager-rollen . U kunt Azure Lighthouse gebruiken om deze rollen toe te wijzen aan gebruikers en beveiligingsgroepen in de primaire tenant. Met deze configuratie kunnen beveiligingsoperators worden uitgevoerd in Sentinel-werkruimten in verschillende tenants. Zonder Lighthouse hebben beveiligingsoperators gastaccounts of afzonderlijke referenties nodig om Sentinel in de secundaire tenants te beheren.

Sentinel configureren. U moet Microsoft Sentinel configureren in een secundaire tenant om beveiligingslogboeken van verschillende bronnen op te nemen. Deze bronnen omvatten logboeken van Azure-resources in de secundaire tenant, on-premises servers en netwerkapparaten die eigendom zijn van en worden beheerd in de secundaire tenant. Activiteiten die betrokken zijn bij het beheren van Sentinel en on-premises in de secundaire tenant zijn onder andere:

• Sentinel-rollen toewijzen en Azure Lighthouse configureren om toegang te verlenen tot primaire tenantbeveiligingsoperators
• Gegevensconnectors configureren voor Azure Resource Manager, Defender voor Cloud en andere beschikbare secundaire tenantgegevensbronnen voor Microsoft Sentinel
• Werkmappen, notebooks, analyseregels en SOAR (Security Orchestration and Response) bouwen in de Azure-omgeving van de secundaire tenant

Microsoft Defender voor Cloud. Defender voor Cloud beveiligingsaanbevelingen en -waarschuwingen voor resources in Azure, on-premises of andere cloudproviders worden weergegeven. U moet machtigingen toewijzen om Defender voor Cloud te configureren en beheren.

Machtigingen toewijzen. U moet machtigingen toewijzen aan beveiligingsoperators in de primaire tenant. Net als Sentinel gebruikt Defender voor Cloud ook Azure-rollen. U kunt Azure-rollen toewijzen aan primaire tenantbeveiligingsoperators met behulp van Azure Lighthouse. Met deze configuratie kunnen beveiligingsoperators in de primaire tenant aanbevelingen en waarschuwingen van de Defender voor Cloud zien zonder van directory te wisselen of zich aan te melden met een afzonderlijk account in de secundaire tenant.

Configureer Defender voor Cloud. U moet Defender voor Cloud inschakelen en aanbevelingen en waarschuwingen beheren. Schakel verbeterde workloadbeveiligingen in voor resources in abonnementen die zijn gekoppeld aan secundaire tenants.

Microsoft Defender voor Eindpunt (MDE) antwoord (servers). Defender for Servers is een Defender voor Cloud verbeterde beveiliging voor servers met MDE.

Machtigingen toewijzen. Wanneer u een Defender for Server-abonnement inschakelt in een secundaire tenant, wordt de MDE-extensie automatisch geïmplementeerd op uw VM's. Deze MDE-extensie onboardt de server naar de MDE-service voor de secundaire tenant.

MDE maakt gebruik van het Microsoft Defender-portal - en machtigingsmodel. U moet externe identiteiten (B2B-gasten) gebruiken om beveiligingsoperators toegang te geven tot MDE in de primaire tenant. Wijs MDE-rollen toe aan Microsoft Entra-beveiligingsgroepen en voeg de gasten toe als groepsleden, zodat ze reactieacties kunnen uitvoeren op servers.

MDE configureren. U moet apparaatgroepen en -rollen configureren en beheren in Microsoft Defender voor Eindpunt voor de secundaire tenant.

Volgende stap

Gecentraliseerde beveiligingsbewerkingen

Verwante koppelingen

• Identiteits essentials
• Zero trust-configuraties
• Multitenant-bewerkingen beheren