Accorder l’accès mssp (Managed Security Service Provider) (préversion)

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Pour implémenter une solution d’accès délégué multilocataire, procédez comme suit :

  1. Activez le contrôle d’accès en fonction du rôle dans Defender pour point de terminaison et connectez-vous avec des groupes d’ID Microsoft Entra.

  2. Configurez des packages d’accès de gouvernance pour la demande d’accès et l’approvisionnement.

  3. Gérer les demandes d’accès et les audits dans Microsoft MyAccess.

Activer les contrôles d’accès en fonction du rôle dans Microsoft Defender pour point de terminaison

  1. Créer des groupes d’accès pour les ressources MSSP dans Customer Entra ID : Groupes

    Ces groupes sont liés aux rôles que vous créez dans Defender pour point de terminaison. Pour ce faire, dans le locataire de l’ID Entra du client, créez trois groupes. Dans notre exemple d’approche, nous créons les groupes suivants :

    • Analyste de niveau 1
    • Analyste de niveau 2
    • Approbateurs d’analystes MSSP
  2. Créez des rôles Defender pour point de terminaison pour les niveaux d’accès appropriés dans Customer Defender pour point de terminaison.

    Pour activer RBAC dans le portail Microsoft Defender du client, accédez à Paramètres Points>de terminaison>Autorisations>Rôles, puis sélectionnez Activer les rôles.

    Ensuite, créez des rôles RBAC pour répondre aux besoins du niveau SOC MSSP. Liez ces rôles aux groupes d’utilisateurs créés via des groupes d’utilisateurs attribués. Il existe deux rôles possibles : analystes de niveau 1 et analystes de niveau 2.

    • Analystes de niveau 1 : effectuent toutes les actions, à l’exception de la réponse en direct et de la gestion des paramètres de sécurité.

    • Analystes de niveau 2 : fonctionnalités de niveau 1 avec l’ajout de la réponse en direct

    Pour plus d’informations, consultez Utiliser le contrôle d’accès en fonction du rôle.

Configurer des packages d’accès de gouvernance

  1. Ajouter MSSP en tant qu’organisation connectée dans Customer Entra ID : Identity Governance

    L’ajout du MSSP en tant qu’organisation connectée permet au MSSP de demander et de configurer l’accès.

    Pour ce faire, dans le locataire id Entra du client, accédez à Gouvernance des identités : Organisation connectée. Ajoutez une nouvelle organisation et recherchez votre locataire Analyste MSSP via l’ID de locataire ou le domaine. Nous vous suggérons de créer un locataire d’ID Entra distinct pour vos analystes MSSP.

  2. Créer un catalogue de ressources dans Customer Entra ID : Identity Governance

    Les catalogues de ressources sont une collection logique de packages d’accès, créés dans le locataire de l’ID Entra client.

    Pour ce faire, dans le locataire id Entra du client, accédez à Gouvernance des identités : Catalogues, puis ajoutez Nouveau catalogue. Dans notre exemple, il est appelé MSSP Accesses.

    Page du nouveau catalogue

    Pour plus d’informations, consultez Créer un catalogue de ressources.

  3. Créer des packages d’accès pour les ressources MSSP ID Customer Entra : Gouvernance des identités

    Les packages d’accès sont la collection de droits et d’accès accordés à un demandeur lors de l’approbation.

    Pour ce faire, dans le locataire de l’ID Entra du client, accédez à Identity Governance : Access Packages et ajoutez Un nouveau package d’accès. Créez un package d’accès pour les approbateurs MSSP et chaque niveau analyste. Par exemple, la configuration analyste de niveau 1 suivante crée un package d’accès qui :

    • Nécessite un membre des approbateurs d’analyste MSSP du groupe d’ID Entra pour autoriser les nouvelles demandes
    • A des révisions d’accès annuelles, où les analystes SOC peuvent demander une extension d’accès
    • Peut uniquement être demandé par les utilisateurs dans le locataire SOC MSSP
    • L’accès automatique expire après 365 jours

    Pour plus d’informations, consultez Créer un package d’accès.

  4. Fournir un lien de demande d’accès aux ressources MSSP à partir de Customer Entra ID : Identity Governance

    Le lien Portail Mon accès est utilisé par les analystes SOC MSSP pour demander l’accès via les packages d’accès créés. Le lien est durable, ce qui signifie que le même lien peut être utilisé au fil du temps pour les nouveaux analystes. La demande d’analyste est envoyée dans une file d’attente pour approbation par les approbateurs d’analystes MSSP.

    Le lien se trouve sur la page de vue d’ensemble de chaque package d’accès.

Gérer l’accès

  1. Passez en revue et autorisez les demandes d’accès dans Customer et/ou MSSP MyAccess.

    Les demandes d’accès sont gérées dans le client Mon accès, par les membres du groupe Approbateurs analystes MSSP.

    Pour ce faire, accédez à MyAccess du client à l’aide de : https://myaccess.microsoft.com/@<Customer Domain>.

    Exemple : https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Approuver ou refuser les demandes dans la section Approbations de l’interface utilisateur.

    À ce stade, l’accès analyste est approvisionné et chaque analyste doit pouvoir accéder au portail Microsoft Defender du client : https://security.microsoft.com/?tid=<CustomerTenantId>

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.