Fournir un accès au fournisseur de services de sécurité gérés (MSSP)Provide managed security service provider (MSSP) access

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

Important

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.Microsoft makes no warranties, express or implied, with respect to the information provided here.

S’applique à :Applies to:

Pour implémenter une solution d'accès délégué multi-locataire, prenez les mesures suivantes :To implement a multi-tenant delegated access solution, take the following steps:

  1. Activez le contrôle d'accès basé sur les rôles dans Defender pour le point de terminaison dans le Centre de sécurité Microsoft 365 et connectez-vous aux groupes Azure Active Directory (Azure AD).Enable role-based access control in Defender for Endpoint in Microsoft 365 security center and connect with Azure Active Directory (Azure AD) groups.

  2. Configurer des packages d'accès de gouvernance pour la demande d'accès et la mise en service.Configure Governance Access Packages for access request and provisioning.

  3. Gérer les demandes d'accès et les audits dans Microsoft Myaccess.Manage access requests and audits in Microsoft Myaccess.

Activer les contrôles d'accès basés sur les rôles dans Microsoft Defender pour le point de terminaison dans le Centre de sécurité Microsoft 365Enable role-based access controls in Microsoft Defender for Endpoint in Microsoft 365 security center

  1. Créer des groupes d'accès pour les ressources MSSP dans Customer AAD : GroupesCreate access groups for MSSP resources in Customer AAD: Groups

    Ces groupes seront liés aux rôles que vous créez dans Defender for Endpoint dans le Centre de sécurité Microsoft 365.These groups will be linked to the Roles you create in Defender for Endpoint in Microsoft 365 security center. Pour ce faire, dans le client AD client, créez trois groupes.To do so, in the customer AD tenant, create three groups. Dans notre exemple d'approche, nous créons les groupes suivants :In our example approach, we create the following groups:

    • Analyste de niveau 1Tier 1 Analyst
    • Analyste de niveau 2Tier 2 Analyst
    • Approbations d'analyste MSSPMSSP Analyst Approvers
  2. Créez des rôles Defender pour les points de terminaison pour les niveaux d'accès appropriés dans Customer Defender for Endpoint dans les rôles et groupes du Centre de sécurité Microsoft 365.Create Defender for Endpoint roles for appropriate access levels in Customer Defender for Endpoint in Microsoft 365 security center roles and groups.

    Pour activer RBAC dans le Centre de sécurité Microsoft 365 client, accédez aux autorisations > Rôles de points de terminaison & groupes > Rôles avec un compte d'utilisateur ayant des droits d'administrateur général ou d'administrateur de sécurité.To enable RBAC in the customer Microsoft 365 security center, access Permissions > Endpoints roles & groups > Roles with a user account with Global Administrator or Security Administrator rights.

    Image de l'accès MSSP

    Ensuite, créez des rôles RBAC pour répondre aux besoins du niveau SOC MSSP.Then, create RBAC roles to meet MSSP SOC Tier needs. Lier ces rôles aux groupes d'utilisateurs créés via « Groupes d'utilisateurs affectés ».Link these roles to the created user groups via "Assigned user groups".

    Deux rôles possibles :Two possible roles:

    • Analystes de niveau 1Tier 1 Analysts
      Effectuez toutes les actions à l'exception de la réponse en direct et gérez les paramètres de sécurité.Perform all actions except for live response and manage security settings.

    • Analystes de niveau 2Tier 2 Analysts
      Fonctionnalités de niveau 1 avec l'ajout de la réponse en directTier 1 capabilities with the addition to live response

    Pour plus d'informations, voir Utiliser le contrôle d'accès basé sur un rôle.For more information, see Use role-based access control.

Configurer les packages d'accès de gouvernanceConfigure Governance Access Packages

  1. Ajouter MSSP en tant qu'organisation connectée dans Customer AAD : Gouvernance des identitésAdd MSSP as Connected Organization in Customer AAD: Identity Governance

    L'ajout du MSSP en tant qu'organisation connectée permettra au MSSP de demander et de mettre en service des accès.Adding the MSSP as a connected organization will allow the MSSP to request and have accesses provisioned.

    Pour ce faire, dans le client AD client, accédez à Gouvernance des identités : Organisation connectée.To do so, in the customer AD tenant, access Identity Governance: Connected organization. Ajoutez une nouvelle organisation et recherchez votre client d'analyste MSSP via un ID de client ou un domaine.Add a new organization and search for your MSSP Analyst tenant via Tenant ID or Domain. Nous vous suggérons de créer un client AD distinct pour vos analystes MSSP.We suggest creating a separate AD tenant for your MSSP Analysts.

  2. Créer un catalogue de ressources dans Customer AAD: Identity GovernanceCreate a resource catalog in Customer AAD: Identity Governance

    Les catalogues de ressources sont une collection logique de packages d'accès, créés dans le client Client AD.Resource catalogs are a logical collection of access packages, created in the customer AD tenant.

    Pour ce faire, dans le client AD client, accédez à La gouvernance des identités : catalogues et ajoutez nouveau catalogue.To do so, in the customer AD tenant, access Identity Governance: Catalogs, and add New Catalog. Dans notre exemple, nous l'appeller MSSP Accesses.In our example, we will call it MSSP Accesses.

    Image du nouveau catalogue

    Pour plus d'informations, voir Créer un catalogue de ressources.Further more information, see Create a catalog of resources.

  3. Créer des packages d'accès pour les ressources MSSP Client AAD : Gouvernance des identitésCreate access packages for MSSP resources Customer AAD: Identity Governance

    Les packages d'accès sont la collection de droits et d'accès accordés à un demandeur lors de l'approbation.Access packages are the collection of rights and accesses that a requestor will be granted upon approval.

    Pour ce faire, dans le client AD client, accédez à Gouvernance des identités : packages d'accès et ajoutez un nouveau package d'accès.To do so, in the customer AD tenant, access Identity Governance: Access Packages, and add New Access Package. Créez un package d'accès pour les approuveurs MSSP et chaque niveau d'analyste.Create an access package for the MSSP approvers and each analyst tier. Par exemple, la configuration suivante de l'analyste de niveau 1 crée un package d'accès qui :For example, the following Tier 1 Analyst configuration creates an access package that:

    • Nécessite un membre du groupe AD MSSP Analyst Approvers pour autoriser les nouvelles demandesRequires a member of the AD group MSSP Analyst Approvers to authorize new requests
    • Possède des révisions d'accès annuel, où les analystes SOC peuvent demander une extension d'accèsHas annual access reviews, where the SOC analysts can request an access extension
    • Peut uniquement être demandé par les utilisateurs du client SOC MSSPCan only be requested by users in the MSSP SOC Tenant
    • L'accès automatique expire après 365 joursAccess auto expires after 365 days

    Image du nouveau package d'accès

    Pour plus d'informations, voir Créer un package d'accès.For more information, see Create a new access package.

  4. Fournir un lien de demande d'accès aux ressources MSSP à partir de Customer AAD: Identity GovernanceProvide access request link to MSSP resources from Customer AAD: Identity Governance

    Le lien du portail Mon accès est utilisé par les analystes SOC MSSP pour demander l'accès via les packages d'accès créés.The My Access portal link is used by MSSP SOC analysts to request access via the access packages created. Le lien est durable, ce qui signifie qu'il peut être utilisé au fil du temps pour de nouveaux analystes.The link is durable, meaning the same link may be used over time for new analysts. La demande d'analyste est entrée dans une file d'attente pour approbation par les approuveurs d'analyste MSSP.The analyst request goes into a queue for approval by the MSSP Analyst Approvers.

    Image des propriétés d'accès

    Le lien se trouve sur la page de vue d'ensemble de chaque package d'accès.The link is located on the overview page of each access package.

Gérer l’accèsManage access

  1. Examiner et autoriser les demandes d'accès dans Customer et/ou MSSP myaccess.Review and authorize access requests in Customer and/or MSSP myaccess.

    Les demandes d'accès sont gérées dans le client Mon accès, par les membres du groupe d'approbations d'analyste MSSP.Access requests are managed in the customer My Access, by members of the MSSP Analyst Approvers group.

    Pour ce faire, accédez à la myaccess du client à l'aide de : https://myaccess.microsoft.com/@<Customer Domain > .To do so, access the customer's myaccess using: https://myaccess.microsoft.com/@<Customer Domain >.

    Exemple : https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/Example: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Approuver ou refuser des demandes dans la section Approbations de l'interface utilisateur.Approve or deny requests in the Approvals section of the UI.

    À ce stade, l'accès analyste a été mis en service et chaque analyste doit pouvoir accéder au Centre de sécurité Microsoft 365 du client :At this point, analyst access has been provisioned, and each analyst should be able to access the customer's Microsoft 365 Security Center:

    https://security.microsoft.com/?tid=<CustomerTenantId> avec les autorisations et les rôles qui leur ont été attribués.https://security.microsoft.com/?tid=<CustomerTenantId> with the permissions and roles they were assigned.

Important

L'accès délégué à Microsoft Defender pour point de terminaison dans le Centre de sécurité Microsoft 365 permet actuellement d'accéder à un seul client par fenêtre de navigateur.Delegated access to Microsoft Defender for Endpoint in the Microsoft 365 security center currently allows access to a single tenant per browser window.