Accorder l’accès mssp (Managed Security Service Provider) (préversion)
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Pour implémenter une solution d’accès délégué multilocataire, procédez comme suit :
Activez le contrôle d’accès en fonction du rôle dans Defender pour point de terminaison et connectez-vous avec des groupes Active Directory (AD).
Configurez des packages d’accès de gouvernance pour la demande d’accès et l’approvisionnement.
Gérer les demandes d’accès et les audits dans Microsoft Myaccess.
Activer les contrôles d’accès en fonction du rôle dans Microsoft Defender pour point de terminaison
Create groupes d’accès pour les ressources MSSP dans Customer AAD : Groups
Ces groupes sont liés aux rôles que vous créez dans Defender pour point de terminaison. Pour ce faire, dans le locataire AD du client, créez trois groupes. Dans notre exemple d’approche, nous créons les groupes suivants :
- Analyste de niveau 1
- Analyste de niveau 2
- Approbateurs d’analystes MSSP
Create les rôles Defender pour point de terminaison pour obtenir les niveaux d’accès appropriés dans Customer Defender pour point de terminaison.
Pour activer RBAC dans le portail Microsoft Defender client, accédez aux paramètres > Rôles d’autorisations > des points de terminaison > et à « Activer les rôles », à partir d’un compte d’utilisateur disposant de droits d’administrateur général ou d’administrateur de la sécurité.
Ensuite, créez des rôles RBAC pour répondre aux besoins du niveau SOC MSSP. Liez ces rôles aux groupes d’utilisateurs créés via « Groupes d’utilisateurs affectés ».
Deux rôles possibles :
Analystes de niveau 1
Effectuez toutes les actions à l’exception de la réponse en direct et gérez les paramètres de sécurité.
Analystes de niveau 2
Fonctionnalités de niveau 1 avec l’ajout de la réponse en direct
Pour plus d’informations, consultez Utiliser le contrôle d’accès en fonction du rôle.
Configurer des packages d’accès de gouvernance
Ajouter MSSP en tant qu’organisation connectée dans Customer AAD : Identity Governance
L’ajout du MSSP en tant que organization connecté permet au MSSP de demander et de provisionner des accès.
Pour ce faire, dans le locataire AD du client, accédez à Identity Governance : Connected organization. Ajoutez un nouveau organization et recherchez votre locataire Analyste MSSP via l’ID de locataire ou le domaine. Nous vous suggérons de créer un locataire AD distinct pour vos analystes MSSP.
Create un catalogue de ressources dans Customer AAD : Identity Governance
Les catalogues de ressources sont une collection logique de packages d’accès, créés dans le locataire AD du client.
Pour ce faire, dans le locataire AD du client, accédez à Gouvernance des identités : Catalogues et ajoutez Nouveau catalogue. Dans notre exemple, il est appelé MSSP Accesses.
Pour plus d’informations, consultez Create un catalogue de ressources.
Create packages d’accès pour les ressources MSSP Client AAD : Gouvernance des identités
Les packages d’accès sont la collection de droits et d’accès accordés à un demandeur lors de l’approbation.
Pour ce faire, dans le locataire AD du client, accédez à Identity Governance : Access Packages et ajoutez un nouveau package d’accès. Create un package d’accès pour les approbateurs MSSP et chaque niveau analyste. Par exemple, la configuration analyste de niveau 1 suivante crée un package d’accès qui :
- Nécessite qu’un membre du groupe AD MSSP Analyst Approbateurs autorise les nouvelles demandes
- A des révisions d’accès annuelles, où les analystes SOC peuvent demander une extension d’accès
- Peut uniquement être demandé par les utilisateurs dans le locataire SOC MSSP
- L’accès automatique expire après 365 jours
Pour plus d’informations, consultez Create un nouveau package d’accès.
Fournir un lien de demande d’accès aux ressources MSSP à partir de Customer AAD : Identity Governance
Le lien Portail Mon accès est utilisé par les analystes SOC MSSP pour demander l’accès via les packages d’accès créés. Le lien est durable, ce qui signifie que le même lien peut être utilisé au fil du temps pour les nouveaux analystes. La demande d’analyste est envoyée dans une file d’attente pour approbation par les approbateurs d’analystes MSSP.
Le lien se trouve sur la page de vue d’ensemble de chaque package d’accès.
Gérer l’accès
Examinez et autorisez les demandes d’accès dans Client et/ou MSSP myaccess.
Les demandes d’accès sont gérées dans le client Mon accès, par les membres du groupe Approbateurs analystes MSSP.
Pour ce faire, accédez à myaccess du client à l’aide de :
https://myaccess.microsoft.com/@<Customer Domain>.Exemple :
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Approuver ou refuser les demandes dans la section Approbations de l’interface utilisateur.
À ce stade, l’accès aux analystes a été provisionné et chaque analyste doit pouvoir accéder au portail Microsoft Defender du client :
https://security.microsoft.com/?tid=<CustomerTenantId>
Voir aussi
- Accéder au portail client MSSP
- Configurer des notifications d’alerte
- Récupérer les alertes d’un client
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour