Concedere l'accesso al provider del servizio di sicurezza gestito (anteprima)

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Per implementare una soluzione di accesso delegato multi-tenant, seguire questa procedura:

  1. Abilitare il controllo degli accessi in base al ruolo in Defender per endpoint e connettersi ai gruppi di Active Directory (AD).

  2. Configurare i pacchetti di accesso alla governance per la richiesta di accesso e il provisioning.

  3. Gestire le richieste di accesso e i controlli in Microsoft Myaccess.

Abilitare i controlli di accesso in base al ruolo in Microsoft Defender per endpoint

  1. Create gruppi di accesso per le risorse MSSP in Customer AAD: Gruppi

    Questi gruppi sono collegati ai ruoli creati in Defender per endpoint. A tale scopo, nel tenant di ACTIVE Directory del cliente creare tre gruppi. Nell'approccio di esempio vengono creati i gruppi seguenti:

    • Analista di livello 1
    • Analista di livello 2
    • Responsabili approvazione degli analisti MSSP

  2. Create ruoli di Defender per endpoint per i livelli di accesso appropriati in Customer Defender per endpoint.

    Per abilitare il controllo degli accessi in base al ruolo nel portale del cliente Microsoft Defender, accedere ai ruoli delle autorizzazioni > degli > endpoint delle impostazioni > e "Attiva ruoli" da un account utente con diritti di amministratore globale o amministratore della sicurezza.

    Creare quindi ruoli controllo degli accessi in base al ruolo per soddisfare le esigenze del livello SOC MSSP. Collegare questi ruoli ai gruppi di utenti creati tramite "Gruppi di utenti assegnati".

    Due ruoli possibili:

    • Analisti di livello 1

      Eseguire tutte le azioni ad eccezione della risposta in tempo reale e gestire le impostazioni di sicurezza.

    • Analisti di livello 2

      Funzionalità di livello 1 con aggiunta alla risposta dinamica

    Per altre informazioni, vedere Usare il controllo degli accessi in base al ruolo.

Configurare i pacchetti di accesso alla governance

  1. Aggiungere MSSP come organizzazione connessa in Customer AAD: Identity Governance

    L'aggiunta di MSSP come organizzazione connessa consente al provider del servizio gestito di richiedere e di effettuare il provisioning degli accessi.

    A tale scopo, nel tenant di ACTIVE Directory del cliente accedere a Identity Governance: Connected organization.To do do, in the customer AD tenant, access Identity Governance: Connected organization. Aggiungere una nuova organizzazione e cercare il tenant dell'analista MSSP tramite l'ID tenant o il dominio. È consigliabile creare un tenant di ACTIVE Directory separato per gli analisti MSSP.

  2. Create un catalogo di risorse in Customer AAD: Identity Governance

    I cataloghi di risorse sono una raccolta logica di pacchetti di accesso, creati nel tenant di Active Directory del cliente.

    A tale scopo, nel tenant di ACTIVE Directory del cliente accedere a Identity Governance: Catalogs e aggiungere Nuovo catalogo. Nell'esempio viene chiamato MSSP Accesses.In our example, it's called, MSSP Accesses.

    Pagina del nuovo catalogo

    Per altre informazioni, vedere Create un catalogo di risorse.

  3. Create pacchetti di accesso per le risorse MSSP Customer AAD: Identity Governance

    I pacchetti di accesso sono la raccolta di diritti e accessi concessi a un richiedente al momento dell'approvazione.

    A tale scopo, nel tenant di ACTIVE Directory del cliente accedere a Identity Governance: Accedere ai pacchetti e aggiungere nuovo pacchetto di accesso. Create un pacchetto di accesso per i responsabili approvazione mssp e ogni livello di analista. Ad esempio, la configurazione di analista di livello 1 seguente crea un pacchetto di accesso che:

    • Richiede a un membro del gruppo DI ACTIVE Directory i responsabili approvazione degli analisti MSSP per autorizzare nuove richieste
    • Ha verifiche di accesso annuali, in cui gli analisti soc possono richiedere un'estensione di accesso
    • Può essere richiesto solo dagli utenti nel tenant SOC MSSP
    • L'accesso automatico scade dopo 365 giorni

    Pagina Nuovo pacchetto di accesso

    Per altre informazioni, vedere Create un nuovo pacchetto di accesso.

  4. Fornire il collegamento alla richiesta di accesso alle risorse MSSP da Customer AAD: Identity Governance

    Il collegamento al portale di accesso personale viene usato dagli analisti del soc MSSP per richiedere l'accesso tramite i pacchetti di accesso creati. Il collegamento è durevole, ovvero lo stesso collegamento può essere usato nel tempo per i nuovi analisti. La richiesta dell'analista entra in una coda per l'approvazione da parte dei responsabili approvazione degli analisti MSSP.

    Pagina Proprietà

    Il collegamento si trova nella pagina di panoramica di ogni pacchetto di accesso.

Gestire accessi

  1. Esaminare e autorizzare le richieste di accesso in Customer and/or MSSP myaccess.Review and authorize access requests in Customer and/or MSSP myaccess.

    Le richieste di accesso vengono gestite nel cliente Accesso personale dai membri del gruppo Responsabili approvazione analisti MSSP.

    A tale scopo, accedere al myaccess del cliente usando: https://myaccess.microsoft.com/@<Customer Domain>.

    Esempio: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Approvare o negare le richieste nella sezione Approvazioni dell'interfaccia utente.

    A questo punto, è stato effettuato il provisioning dell'accesso degli analisti e ogni analista deve essere in grado di accedere al portale di Microsoft Defender del cliente:https://security.microsoft.com/?tid=<CustomerTenantId>

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.