Hantera åtgärder för flera klienter för försvarsorganisationer

Den här artikeln definierar hur flera klientorganisationer ska hantera åtgärder i Microsoft Entra-klienter för att uppfylla noll förtroendekrav. Den omfattar programhantering, identitetsstyrning och säkerhetsåtgärder. De primära och sekundära Microsoft Entra-klientadministratörerna har olika ansvarsområden inom varje område. Primära och sekundära klientorganisationer måste samordna programregistrering, berättigandehantering och hotidentifiering och svar (se bild 1). Mer information finns i identifiera klienttyper.

Bild 1. Delat ansvar efter klientorganisation för organisationer med flera klientorganisationer

Programhantering

Den primära Microsoft Entra-klientorganisationen och den sekundära Microsoft Entra-klientorganisationen delar ansvarsområden för programhantering. Den primära klientorganisationen ansvarar för att utföra Microsoft Entra-uppgifter som hantering av företagsappar och appregistrering. Den sekundära klientorganisationen ansvarar för Azure-plattformsåtgärder som prestandaövervakning, resurskonfiguration, skalning och hantering av DevSecOps-pipelines.

Programhantering för primär klientorganisation

Du bör registrera alla moderna program som behöver logga in användare som företagsprogram i den primära klientorganisationen.

Du bör registrera Azure-program som körs i sekundära klientprenumerationer med den primära klientorganisationen. Den primära klientorganisationen är där användare och licenser finns. Genom att registrera program i den primära klientorganisationen kan användarna logga in med samma identitet som de använder för Microsoft 365. Den här konfigurationen ger den mest sömlösa upplevelsen och gör att du kan använda samma principbaslinje med noll förtroende för all programåtkomst.

Platsen för programinfrastrukturen (virtuella datorer, databaser, webbappar) påverkar inte den klientorganisation som du kan använda för användarinloggning. Teamet som hanterar den primära klientorganisationen ansvarar för appregistreringar och företagsprogram. De ansvarar också för principer för villkorlig åtkomst som tillämpas på program som finns i den primära klientorganisationen och eventuella sekundära klienter.

App-registreringar. Du registrerar webbprogram och API:er som organisationen använder med den primära klientorganisationen. Appregistreringen skapar ett programobjekt i Microsoft Entra-ID. Programobjektet representerar programdefinitionen. Programdefinitionen innehåller ett programmanifest, konfiguration av tokenanspråk, approlldefinitioner och klienthemligheter. Aktiviteter som ingår i registreringar av primära klientappar är:

• Delegera appregistreringsbehörigheter i Microsoft Entra-ID
• Hantera tilldelningen av Microsoft Entra-rollen programutvecklare
• Skapa och tilldela anpassade roller för appregistrering
• Skapa appregistreringar för program och API:er
• Exponera webb-API:er och lägga till omfång i en registrerad app
• Skapa och hantera approller för ett registrerat program
• Definiera API-behörigheter för ett program

Företagsprogram. Företagsprogram är tjänstens huvudnamn för en distinkt instans av ett program i din katalog. När du skapar en appregistrering i Azure-portalen skapar företagsprogrammet automatiskt och ärver vissa egenskaper från programobjektet. Aktiviteter som omfattar hantering av företagsprogram i den primära klientorganisationen är:

• Skapa företagsprogram från Microsoft Entra-galleriet och distribuera SAML-appar som inte är galleribaserade
• Delegera hantering av företagsprogram genom att tilldela ägare
• Hantera namn, logotyp, synlighet i Moje aplikacije för ett företagsprogram
• Tilldela användare och grupper för åtkomst till företagsprogrammet
• Hantera signeringscertifikat för SAML-appar
• Bevilja medgivande för API-behörigheter
• Distribuera och hantera Microsoft Entra-programproxy för lokala program

Principer för villkorlig åtkomst. Principer för villkorsstyrd åtkomst tillämpar noll förtroendeprinciper för åtkomst till resurser som skyddas av Microsoft Entra-ID. När du registrerar program i den primära klientorganisationen styr administratören för den primära klientorganisationen vilka principer som gäller vid användarinloggning.

Hantering av program för sekundär klientorganisation

Sekundära klienter är värdar för infrastruktur- och plattformsresurserna för arbetsbelastningar i Azure. Teamet som hanterar en sekundär klientorganisation ansvarar för prestandaövervakning, resurskonfiguration, skalning och hantering av DevSecOps-pipelines.

Prestandaövervakning. Azure innehåller flera verktyg för att övervaka prestanda för värdbaserade program, inklusive Azure Monitor och Application Insights. De sekundära klientadministratörerna bör konfigurera övervakning för att samla in prestandamått för programarbetsbelastningar i prenumerationer som är länkade till deras sekundära klientorganisation.

Programinfrastruktur. Administratörerna i Azure-miljön måste hantera infrastrukturen som kör programmen. Infrastrukturen omfattar nätverk, plattformstjänster och virtuella datorer. Kravet gäller för program som körs på Azure Kubernetes Service, App Service eller virtuella datorer.

Programägare bör använda Defender för molnet för att hantera miljöns säkerhetsstatus och visa aviseringar och rekommendationer för de distribuerade resurserna. De bör använda Azure Policy Initiatives för att uppfylla efterlevnadskraven.

Genom att ansluta Defender för molnet till Microsoft Sentinel kan ditt säkerhetsåtgärdscenter (SOC) skydda molnprogram bättre. SOC kan fortfarande underhålla sina standardprocedurer för säkerhetsarbetsflöde och automatisering. Genom att ansluta Defender till Sentinel kan du korrelera händelser i hela företaget. Den kan övervaka molnet och lokalt. För att övervaka lokala komponenter måste du hantera dem med (1) Azure Arc eller (2) ansluta dem via ett API, Azure Monitor Agent eller Syslog Forwarder.

DevSecOps-pipelines. När du är värd för program i Azure distribuerar en DevSecOps-pipeline infrastrukturresurser och programkod till Azure. Sekundära klientadministratörer ansvarar för att hantera tjänstens huvudnamn som automatiserar koddistributionen. Microsoft Entra Workload ID Premium hjälper till att skydda tjänstens huvudnamn. Microsoft Entra-arbetsbelastnings-ID granskar också befintlig åtkomst och ger extra skydd baserat på risken för tjänstens huvudnamn.

Identitetsstyrning

Organisationer med flera klientorganisationer måste styra åtkomsten till program i den primära Microsoft Entra-klientorganisationen och hantera externa gästidentiteter i den sekundära klientorganisationen för Azure-miljön.

Styrning av primär klientorganisationsidentitet

När du registrerar program i den primära klientorganisationen styr den primära klientorganisationen programåtkomsten. Teamet som hanterar den primära klientorganisationen konfigurerar berättigandehantering och utför åtkomstgranskningar för att granska befintlig åtkomst. De hanterar även externa identiteter och privilegierad identitetshantering i den primära klientorganisationen.

Berättigandehantering. Microsoft Entra ID-berättigandehantering hjälper till att styra åtkomsten till Microsoft Entra-program, grupper, SharePoint-webbplatser och Teams genom att kombinera berättigande till tilldelningsbara åtkomstpaket. De primära klientadministratörerna hanterar De Microsoft Entra-objekt som används för programstyrning. Aktiviteter som ingår i berättigandehantering i den primära klientorganisationen inkluderar (se bild 2):

• Skapa Microsoft Entra-säkerhetsgrupper för att tilldela programroller
• Delegera gruppägarskap för programtilldelning
• Konfigurera kataloger för berättigandehantering och åtkomstpaket
• Delegera roller i berättigandehantering
• Automatisera uppgifter för identitetsstyrning
• Skapa åtkomstgranskningar för åtkomstpaket och Microsoft Entra-säkerhetsgrupper

Bild 2. Rättighetshantering för programtilldelning med contoso.com som exempeldomännamn.

Du bör konfigurera programstyrning med hjälp av ett åtkomstpaket för berättigandehantering och följa den här processen (se bild 2):

1. En primär klientprogramadministratör måste samordna med utvecklaren för att skapa en ny appregistrering för en webbapp som distribueras i en sekundär klientorganisation.
2. Identitetsstyrningsadministratören måste skapa ett åtkomstpaket. Administratören lägger till programmet som en rättighet och tillåter användare att begära paketet. Administratören anger den maximala varaktigheten för åtkomst före en åtkomstgranskning. Du kan också delegera behörighetshanteringsadministratören behörigheter för andra att hantera åtkomstpaket.
3. Användaren begär åtkomstpaketet. De måste inkludera varaktigheten för åtkomstbegäran tillsammans med motivering för att hjälpa en godkännare att fatta ett beslut. De kan begära en varaktighet upp till den maximala varaktighet som administratören har angett.
4. Godkännaren av åtkomstpaketet godkänner begäran.
5. Paketet tilldelar användaren åtkomst till programmet i den sekundära klientorganisationen under den begärda varaktigheten.
6. Användaren loggar in med sin primära klientidentitet för att få åtkomst till programmet som finns i en prenumeration som är länkad till en sekundär klientorganisation.

Externa identiteter. Microsoft Entra Externt ID möjliggör säker interaktion med användare utanför organisationen. De primära klientadministratörerna har flera konfigurationsansvar för program som är registrerade i den primära klientorganisationen. De måste konfigurera externa (B2B) samarbets- och åtkomstprinciper mellan klientorganisationer med sina partnerorganisationer. De måste också konfigurera alla livscykelarbetsflöden för gästanvändare och deras åtkomst. Aktiviteter som ingår i hanteringen av externa identiteter i den primära klientorganisationen är:

• Styra åtkomst för användare utanför organisationen
• Hantera B2B-samarbetsinställningar och åtkomstprinciper för flera klientorganisationer (XTAP) för partnerorganisationer
• Konfigurera Microsoft Entra ID-styrning för att granska och ta bort externa användare som inte längre har resursåtkomst

Privileged Identity Management. Microsoft Entra Privileged Identity Management (PIM) möjliggör just-in-time-administration av Microsoft Entra-roller, Azure-roller och Microsoft Entra-säkerhetsgrupper. Primära klientadministratörer ansvarar för att konfigurera och hantera Microsoft Entra PIM i den primära klientorganisationen.

Sekundär klientidentitetsstyrning

Du bör använda primära klientidentiteter för att hantera sekundära klienter. Den här hanteringsmodellen minskar antalet separata konton och autentiseringsuppgifter som administratörer behöver underhålla. Att konfigurera funktioner för identitetsstyrning i sekundära klienter förenklar hanteringen ännu mer. Du kan använda en självbetjäningsmodell för att registrera externa användare (B2B-gäster) från den primära klientorganisationen.

Teamet som hanterar en sekundär klientorganisation har flera ansvarsområden i sin sekundära klientorganisation. De konfigurerar berättigandehantering. De utför åtkomstgranskningar för att granska befintlig åtkomst. De hanterar externa identiteter och konfigurerar privilegierad identitetshantering.

Berättigandehantering. Du måste konfigurera extern användarstyrning för Azure-hantering. Du bör registrera externa identiteter (B2B-gäster) från den primära klientorganisationen för att hantera Azure-resurser med hjälp av ett slutanvändarinitierat scenario med berättigandehantering (se bild 3).

Bild 3. Berättigandehantering för extern gäståtkomst (B2B) med contoso.com som ett exempel på domännamn.

Du bör konfigurera extern gäståtkomst (B2B) med hjälp av ett åtkomstpaket för rättighetshantering och följa den här processen (se bild 3):

1. En administratör i den sekundära klientorganisationen lägger till den primära klientorganisationen som en ansluten organisation och skapar ett åtkomstpaket som primära klientanvändare kan begära.
2. Den primära klientanvändaren begär åtkomstpaketet i den sekundära klientorganisationen.
3. Om du vill kan en godkännare slutföra begäran.
4. Ett externt gästobjekt skapas för användaren i den sekundära klientorganisationen.
5. Åtkomstpaketet tilldelas behörighet för en Azure-roll.
6. Användaren hanterar Azure-resurser med hjälp av sin externa identitet.

Mer information finns i Styra åtkomst för externa användare i berättigandehantering.

Externa identiteter. Med Microsoft Entra External ID kan användare i den primära klientorganisationen interagera med resurser i den sekundära klientorganisationen. Processen som beskrivs i bild 3 använder externa identiteter från den primära klientorganisationen för att hantera Azure-prenumerationer som är kopplade till den sekundära klientorganisationen. Aktiviteter som ingår i hanteringen av externa identiteter i den sekundära klientorganisationen är:

• Hantera B2B-samarbetsinställningar och åtkomstprinciper mellan klientorganisationer (XTAP) för den primära klientorganisationen och andra partnerorganisationer
• Använda identitetsstyrning för att granska och ta bort externa användare som inte längre har resursåtkomst

Privileged Identity Management. Microsoft Entra PIM möjliggör just-in-time-administration för Microsoft Entra-roller, Azure-roller och privilegierade säkerhetsgrupper. Sekundära klientadministratörer ansvarar för att konfigurera och hantera Microsoft Entra PIM för administrativa roller som används för att hantera den sekundära Microsoft Entra-klientorganisationen och Azure-miljön.

Säkerhetsåtgärder

Säkerhetsåtgärdsteamet för en försvarsorganisation måste skydda, identifiera och svara på hot i lokala miljöer, hybridmiljöer och miljöer med flera moln. De måste skydda sina användare, kontrollera känsliga data, undersöka hot på användarenheter och servrar. De måste också åtgärda osäker konfiguration av molnresurser och lokala resurser. Säkerhetsoperatorer i organisationer med flera klientorganisationer arbetar vanligtvis från den primära klientorganisationen, men kan pivotera mellan klienter för vissa åtgärder.

Säkerhetsåtgärder för primära klientorganisationer

Säkerhetsoperatorer i den primära klientorganisationen måste övervaka och hantera aviseringar från Microsoft 365 i den primära klientorganisationen. Det här arbetet omfattar hantering av Microsoft Sentinel- och Microsoft Defender XDR-tjänster som Microsoft Defender za krajnju tačku (MDE).

Sentinel och Microsoft 365. Du distribuerar en Microsoft Sentinel-instans till en prenumeration som är kopplad till den primära klientorganisationen. Du bör konfigurera dataanslutningar för den här Sentinel-instansen. Med dataanslutningarna kan Sentinel-instansen mata in säkerhetsloggar från olika källor. Dessa källor omfattar Office 365, Microsoft Defender XDR, Microsoft Entra ID, Entra Identity Protection och andra arbetsbelastningar i den primära klientorganisationen. Säkerhetsoperatörer som övervakar incidenter och aviseringar för Microsoft 365 bör använda den primära klientorganisationen. Aktiviteter som ingår i hanteringen av Sentinel för Microsoft 365 i den primära klientorganisationen är:

• Övervaka och åtgärda riskfyllda användare och tjänstens huvudnamn i den primära klientorganisationen
• Konfigurera dataanslutningsprogram för Microsoft 365 och andra tillgängliga primära klientdatakällor till Microsoft Sentinel
• Skapa arbetsböcker, notebook-filer, analysregler och säkerhetsorkestrering och svar (SOAR) i Microsoft 365-miljön

Microsoft Defender XDR. Du hanterar Microsoft Defender XDR i den primära klientorganisationen. Den primära klientorganisationen är där du använder Microsoft 365-tjänster. Microsoft Defender XDR hjälper dig att övervaka aviseringar och åtgärda attacker mot användare, enheter och tjänstens huvudnamn. Aktiviteter omfattar hantering av komponenter i Microsoft Defender XDR. Dessa komponenter omfattar Defender för Endpoint, Defender för identitet, Defender för Cloud Apps, Defender för Office.

Microsoft Defender za krajnju tačku (MDE)-svar (arbetsstationer). Du måste ansluta slutanvändararbetsstationer till den primära klientorganisationen och använda Microsoft Intune för att hantera dem. Säkerhetsoperatorer måste använda MDE för att svara på identifierade attacker. Svaret kan vara att isolera arbetsstationer eller samla in ett undersökande paket. Defender för Endpoint-svarsåtgärder för användarenheter sker i den primära MDE-tjänsten för klientorganisationen. Aktiviteter som ingår i hanteringen av MDE-svar i den primära klientorganisationen omfattar hantering av enhetsgrupper och roller.

Säkerhetsåtgärder för sekundär klientorganisation

I det här avsnittet beskrivs hur du ska övervaka och skydda Azure-resurser i prenumerationer i sekundära klienter. Du behöver Defender för molnet, Microsoft Sentinel och Microsoft Defender za krajnju tačku (MDE). Du måste använda Azure Lighthouse och externa identiteter för att tilldela behörigheter till säkerhetsoperatorer i den primära klientorganisationen. Med den här konfigurationen kan säkerhetsoperatorer använda ett konto och en enhet med privilegierad åtkomst för att hantera säkerheten mellan klientorganisationer.

Sentinel (moln, lokalt). Du måste tilldela behörigheter och konfigurera Sentinel för att mata in säkerhetssignaler från Azure-resurser som distribueras i prenumerationer som är länkade till den sekundära klientorganisationen.

Tilldela behörigheter. För att säkerhetsoperatorer i den primära klientorganisationen ska kunna använda Microsoft Sentinel måste du tilldela behörigheter med hjälp av Azure Resource Manager-roller . Du kan använda Azure Lighthouse för att tilldela dessa roller till användare och säkerhetsgrupper i den primära klientorganisationen. Med den här konfigurationen kan säkerhetsoperatorer arbeta över Sentinel-arbetsytor i olika klientorganisationer. Utan Lighthouse skulle säkerhetsoperatorer behöva gästkonton eller separata autentiseringsuppgifter för att hantera Sentinel i de sekundära klientorganisationer.

Konfigurera Sentinel. Du bör konfigurera Microsoft Sentinel i en sekundär klientorganisation för att mata in säkerhetsloggar från flera källor. Dessa källor omfattar loggar från Azure-resurser i den sekundära klientorganisationen, lokala servrar och nätverksinstallationer som ägs och hanteras i den sekundära klientorganisationen. Aktiviteter som ingår i hanteringen av Sentinel och lokalt i den sekundära klientorganisationen är:

• Tilldela Sentinel-roller och konfigurera Azure Lighthouse för att bevilja åtkomst till primära klientorganisationssäkerhetsoperatorer
• Konfigurera dataanslutningsprogram för Azure Resource Manager, Defender för molnet och andra tillgängliga sekundära klientdatakällor till Microsoft Sentinel
• Skapa arbetsböcker, notebook-filer, analysregler och säkerhetsorkestrering och svar (SOAR) i azure-miljön för den sekundära klientorganisationen

Microsoft Defender for Cloud. Defender for Cloud innehåller säkerhetsrekommendationer och aviseringar för resurser i Azure, lokalt eller andra molnleverantörer. Du måste tilldela behörigheter för att konfigurera och hantera Defender för molnet.

Tilldela behörigheter. Du måste tilldela behörigheter till säkerhetsoperatorer i den primära klientorganisationen. Precis som Sentinel använder Defender för molnet även Azure-roller. Du kan tilldela Azure-roller till primära klientorganisationssäkerhetsoperatorer med hjälp av Azure Lighthouse. Med den här konfigurationen kan säkerhetsoperatorer i den primära klientorganisationen se rekommendationer och aviseringar från Defender för molnet utan att växla kataloger eller logga in med ett separat konto i den sekundära klientorganisationen.

Konfigurera Defender för molnet. Du måste aktivera Defender för molnet och hantera rekommendationer och aviseringar. Aktivera förbättrat arbetsbelastningsskydd för resurser i prenumerationer som är länkade till sekundära klienter.

Microsoft Defender za krajnju tačku (MDE)-svar (servrar). Defender för servrar är ett utökat skydd för Defender för molnet för servrar som innehåller MDE.

Tilldela behörigheter. När du aktiverar en Defender for Server-plan i en sekundär klientorganisation distribueras MDE-tillägget automatiskt till dina virtuella datorer. Det här MDE-tillägget registrerar servern till MDE-tjänsten för den sekundära klientorganisationen.

MDE använder Microsoft Defender-portalen och behörighetsmodellen. Du måste använda externa identiteter (B2B-gäster) för att ge säkerhetsoperatorer i den primära klientorganisationen åtkomst till MDE. Tilldela MDE-roller till Microsoft Entra-säkerhetsgrupper och lägg till gäster som gruppmedlemmar så att de kan vidta svarsåtgärder på servrar.

Konfigurera MDE. Du måste konfigurera och hantera enhetsgrupper och roller i Microsoft Defender za krajnju tačku för den sekundära klientorganisationen.

Gå vidare

Centraliserade säkerhetsåtgärder

Relaterade länkar

• Grundläggande identitet
• Noll förtroendekonfigurationer
• Hantera åtgärder för flera klienter