Proporcionar acceso al proveedor de servicios de seguridad administrado (MSSP)Provide managed security service provider (MSSP) access

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Se aplica a:Applies to:

Para implementar una solución de acceso delegado multiinquilino, siga estos pasos:To implement a multi-tenant delegated access solution, take the following steps:

  1. Habilite el control de acceso basado en roles en Defender for Endpoint en el Centro de seguridad de Microsoft 365 y conéctese con grupos de Azure Active Directory (Azure AD).Enable role-based access control in Defender for Endpoint in Microsoft 365 security center and connect with Azure Active Directory (Azure AD) groups.

  2. Configurar paquetes de acceso de gobierno para la solicitud de acceso y el aprovisionamiento.Configure Governance Access Packages for access request and provisioning.

  3. Administrar solicitudes de acceso y auditorías en Microsoft Myaccess.Manage access requests and audits in Microsoft Myaccess.

Habilitar controles de acceso basados en roles en Microsoft Defender para endpoint en el Centro de seguridad de Microsoft 365Enable role-based access controls in Microsoft Defender for Endpoint in Microsoft 365 security center

  1. Crear grupos de acceso para recursos MSSP en Customer AAD: GroupsCreate access groups for MSSP resources in Customer AAD: Groups

    Estos grupos se vincularán a los roles que cree en Defender for Endpoint en el Centro de seguridad de Microsoft 365.These groups will be linked to the Roles you create in Defender for Endpoint in Microsoft 365 security center. Para ello, en el inquilino de AD del cliente, cree tres grupos.To do so, in the customer AD tenant, create three groups. En nuestro enfoque de ejemplo, creamos los siguientes grupos:In our example approach, we create the following groups:

    • Analista de nivel 1Tier 1 Analyst
    • Analista de nivel 2Tier 2 Analyst
    • Aprobadores de analistas de MSSPMSSP Analyst Approvers
  2. Cree roles de Defender para puntos de conexión para niveles de acceso adecuados en Customer Defender for Endpoint en grupos y roles del centro de seguridad de Microsoft 365.Create Defender for Endpoint roles for appropriate access levels in Customer Defender for Endpoint in Microsoft 365 security center roles and groups.

    Para habilitar RBAC en el centro de seguridad de Microsoft 365 del cliente, acceda a permisos > roles de puntos de conexión & grupos > Roles con una cuenta de usuario con derechos de administrador global o administrador de seguridad.To enable RBAC in the customer Microsoft 365 security center, access Permissions > Endpoints roles & groups > Roles with a user account with Global Administrator or Security Administrator rights.

    Imagen del acceso de MSSP

    A continuación, cree roles RBAC para satisfacer las necesidades de nivel SOC de MSSP.Then, create RBAC roles to meet MSSP SOC Tier needs. Vincule estos roles a los grupos de usuarios creados mediante "Grupos de usuarios asignados".Link these roles to the created user groups via "Assigned user groups".

    Dos roles posibles:Two possible roles:

    • Analistas de nivel 1Tier 1 Analysts
      Realice todas las acciones excepto la respuesta en directo y administre la configuración de seguridad.Perform all actions except for live response and manage security settings.

    • Analistas de nivel 2Tier 2 Analysts
      Capacidades de nivel 1 con la adición a la respuesta en directoTier 1 capabilities with the addition to live response

    Para obtener más información, vea Use role-based access control.For more information, see Use role-based access control.

Configurar paquetes de acceso de gobiernoConfigure Governance Access Packages

  1. Agregar MSSP como organización conectada en customer AAD: Identity GovernanceAdd MSSP as Connected Organization in Customer AAD: Identity Governance

    Agregar el MSSP como organización conectada permitirá al MSSP solicitar y tener accesos aprovisionados.Adding the MSSP as a connected organization will allow the MSSP to request and have accesses provisioned.

    Para ello, en el inquilino de AD del cliente, acceda a Identity Governance: Connected organization.To do so, in the customer AD tenant, access Identity Governance: Connected organization. Agregue una nueva organización y busque el inquilino de MSSP Analyst a través del identificador de inquilino o dominio.Add a new organization and search for your MSSP Analyst tenant via Tenant ID or Domain. Se recomienda crear un inquilino de AD independiente para los analistas de MSSP.We suggest creating a separate AD tenant for your MSSP Analysts.

  2. Crear un catálogo de recursos en Customer AAD: Identity GovernanceCreate a resource catalog in Customer AAD: Identity Governance

    Los catálogos de recursos son una colección lógica de paquetes de acceso, creados en el inquilino de AD del cliente.Resource catalogs are a logical collection of access packages, created in the customer AD tenant.

    Para ello, en el inquilino de AD del cliente, acceda a Identity Governance: Catalogs y agregue New Catalog.To do so, in the customer AD tenant, access Identity Governance: Catalogs, and add New Catalog. En nuestro ejemplo, lo llamaremos MSSP Accesses.In our example, we will call it MSSP Accesses.

    Imagen del nuevo catálogo

    Para obtener más información, vea Create a catalog of resources.Further more information, see Create a catalog of resources.

  3. Crear paquetes de acceso para recursos MSSP Customer AAD: Identity GovernanceCreate access packages for MSSP resources Customer AAD: Identity Governance

    Los paquetes de acceso son la colección de derechos y accesos que se concederá a un solicitante tras su aprobación.Access packages are the collection of rights and accesses that a requestor will be granted upon approval.

    Para ello, en el inquilino de AD del cliente, acceda a Identity Governance: Access Packages y agregue New Access Package.To do so, in the customer AD tenant, access Identity Governance: Access Packages, and add New Access Package. Cree un paquete de acceso para los aprobadores de MSSP y cada nivel de analista.Create an access package for the MSSP approvers and each analyst tier. Por ejemplo, la siguiente configuración de Analista de nivel 1 crea un paquete de acceso que:For example, the following Tier 1 Analyst configuration creates an access package that:

    • Requiere que un miembro del grupo de AD aprobadores de analistas de MSSP autorice nuevas solicitudesRequires a member of the AD group MSSP Analyst Approvers to authorize new requests
    • Tiene revisiones de acceso anuales, donde los analistas de SOC pueden solicitar una extensión de accesoHas annual access reviews, where the SOC analysts can request an access extension
    • Los usuarios solo pueden solicitarlo en el inquilino soc de MSSPCan only be requested by users in the MSSP SOC Tenant
    • Access auto expira después de 365 díasAccess auto expires after 365 days

    Imagen del nuevo paquete de acceso

    Para obtener más información, vea Create a new access package.For more information, see Create a new access package.

  4. Proporcionar vínculo de solicitud de acceso a recursos MSSP desde customer AAD: Identity GovernanceProvide access request link to MSSP resources from Customer AAD: Identity Governance

    Los analistas de SOC de MSSP usan el vínculo Portal de My Access para solicitar acceso a través de los paquetes de acceso creados.The My Access portal link is used by MSSP SOC analysts to request access via the access packages created. El vínculo es duradero, lo que significa que el mismo vínculo puede usarse con el tiempo para los nuevos analistas.The link is durable, meaning the same link may be used over time for new analysts. La solicitud de analista entra en una cola para su aprobación por parte de los aprobadores de analistas de MSSP.The analyst request goes into a queue for approval by the MSSP Analyst Approvers.

    Imagen de las propiedades de access

    El vínculo se encuentra en la página de información general de cada paquete de acceso.The link is located on the overview page of each access package.

Administrar el accesoManage access

  1. Revise y autorice las solicitudes de acceso en Customer y/o MSSP myaccess.Review and authorize access requests in Customer and/or MSSP myaccess.

    Las solicitudes de acceso se administran en el cliente My Access, por miembros del grupo Aprobadores de analistas de MSSP.Access requests are managed in the customer My Access, by members of the MSSP Analyst Approvers group.

    Para ello, acceda a myaccess del cliente mediante: https://myaccess.microsoft.com/@<Customer Domain > .To do so, access the customer's myaccess using: https://myaccess.microsoft.com/@<Customer Domain >.

    Ejemplo: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Example: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Aprobar o denegar solicitudes en la sección Aprobaciones de la interfaz de usuario.Approve or deny requests in the Approvals section of the UI.

    En este momento, se ha aprovisionado el acceso de analistas y cada analista debe tener acceso al Centro de seguridad de Microsoft 365 del cliente:At this point, analyst access has been provisioned, and each analyst should be able to access the customer's Microsoft 365 Security Center:

    https://security.microsoft.com/?tid=<CustomerTenantId> con los permisos y roles que se asignaron.https://security.microsoft.com/?tid=<CustomerTenantId> with the permissions and roles they were assigned.

Importante

El acceso delegado a Microsoft Defender para Endpoint en el Centro de seguridad de Microsoft 365 actualmente permite el acceso a un único espacio empresarial por ventana del explorador.Delegated access to Microsoft Defender for Endpoint in the Microsoft 365 security center currently allows access to a single tenant per browser window.