Fournir un accès MSSP (Managed Security Service Provider)

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

S’applique à :

Pour implémenter une solution d’accès délégué multilocataire, procédez comme suit :

  1. Activez le contrôle d’accès en fonction du rôle pour Defender pour point de terminaison via le portail Microsoft Defender et connectez-vous aux groupes Microsoft Entra.

  2. Configurez la gestion des droits d’utilisation pour les utilisateurs externes dans La gouvernance des ID Microsoft Entra pour activer les demandes d’accès et l’approvisionnement.

  3. Gérer les demandes d’accès et les audits dans Microsoft Myaccess.

Activer les contrôles d’accès en fonction du rôle dans Microsoft Defender pour point de terminaison dans le portail Microsoft Defender

  1. Créer des groupes d’accès pour les ressources MSSP dans l’ID Microsoft Entra du client : Groupes

    Ces groupes sont liés aux rôles que vous créez dans Defender pour point de terminaison dans le portail Microsoft Defender. Pour ce faire, dans le locataire AD du client, créez trois groupes. Dans notre exemple d’approche, nous créons les groupes suivants :

    • Analyste de niveau 1
    • Analyste de niveau 2
    • Approbateurs d’analystes MSSP
  2. Créez des rôles Defender pour point de terminaison pour les niveaux d’accès appropriés dans Customer Defender pour point de terminaison dans les rôles et groupes du portail Microsoft Defender.

    Pour activer RBAC dans le portail Microsoft Defender du client, accédez aux autorisations > Rôles points de terminaison & groupes > Rôles avec un compte d’utilisateur disposant de droits d’administrateur de la sécurité.

    Détails de l’accès MSSP dans le portail Microsoft Defender

    Ensuite, créez des rôles RBAC pour répondre aux besoins du niveau SOC MSSP. Liez ces rôles aux groupes d’utilisateurs créés via « Groupes d’utilisateurs affectés ».

    Deux rôles possibles :

    • Analystes de niveau 1
      Effectuez toutes les actions à l’exception de la réponse en direct et gérez les paramètres de sécurité.

    • Analystes de niveau 2
      Fonctionnalités de niveau 1 avec l’ajout de la réponse en direct.

    Pour plus d’informations, consultez Gérer l’accès au portail à l’aide du contrôle d’accès en fonction du rôle.

Configurer des packages d’accès de gouvernance

  1. Ajouter MSSP en tant qu’organisation connectée dans l’ID Microsoft Entra du client : Gouvernance des identités

    L’ajout du MSSP en tant qu’organisation connectée permet au MSSP de demander et d’avoir des accès provisionnés.

    Pour ce faire, dans le locataire AD du client, accédez à Gouvernance des identités : organisation connectée. Ajoutez une nouvelle organisation et recherchez votre locataire Analyste MSSP via l’ID de locataire ou le domaine. Nous vous suggérons de créer un locataire AD distinct pour vos analystes MSSP.

  2. Créer un catalogue de ressources dans l’ID Microsoft Entra du client : gouvernance des identités

    Les catalogues de ressources sont une collection logique de packages d’accès, créés dans le locataire AD du client.

    Pour ce faire, dans le locataire AD du client, accédez à Gouvernance des identités : Catalogues et ajoutez Nouveau catalogue. Dans notre exemple, nous allons l’appeler MSSP Accesses.

    Un nouveau catalogue dans le portail Microsoft Defender

    Pour plus d’informations, consultez Créer un catalogue de ressources.

  3. Créer des packages d’accès pour les ressources MSSP ID Microsoft Entra client : Gouvernance des identités

    Les packages d’accès sont la collection de droits et d’accès qu’un demandeur accorde lors de l’approbation.

    Pour ce faire, dans le locataire AD du client, accédez à Identity Governance : Access Packages et ajoutez un nouveau package d’accès. Créez un package d’accès pour les approbateurs MSSP et chaque niveau analyste. Par exemple, la configuration analyste de niveau 1 suivante crée un package d’accès qui :

    • Nécessite qu’un membre du groupe AD MSSP Analyst Approbateurs autorise les nouvelles demandes
    • A des révisions d’accès annuelles, où les analystes SOC peuvent demander une extension d’accès
    • Peut uniquement être demandé par les utilisateurs dans le locataire SOC MSSP
    • L’accès automatique expire après 365 jours

    Détails d’un nouveau package d’accès dans le portail Microsoft Defender

    Pour plus d’informations, consultez Créer un package d’accès.

  4. Fournir un lien de demande d’accès aux ressources MSSP à partir de l’ID Microsoft Entra client : Gouvernance des identités

    Le lien Portail Mon accès est utilisé par les analystes SOC MSSP pour demander l’accès via les packages d’accès créés. Le lien est durable, ce qui signifie que le même lien peut être utilisé au fil du temps pour les nouveaux analystes. La demande d’analyste est envoyée dans une file d’attente pour approbation par les approbateurs d’analystes MSSP.

    Propriétés d’accès dans le portail Microsoft Defender

    Le lien se trouve sur la page de vue d’ensemble de chaque package d’accès.

Gérer l’accès

  1. Examinez et autorisez les demandes d’accès dans Client et/ou MSSP myaccess.

    Les demandes d’accès sont gérées dans le client Mon accès, par les membres du groupe Approbateurs analystes MSSP.

    Pour ce faire, accédez à myaccess du client à l’aide de : https://myaccess.microsoft.com/@<Customer Domain>.

    Exemple : https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Approuver ou refuser les demandes dans la section Approbations de l’interface utilisateur.

    À ce stade, l’accès des analystes a été approvisionné et chaque analyste doit pouvoir accéder au portail Microsoft Defender du client :

    https://security.microsoft.com/?tid=<CustomerTenantId> avec les autorisations et les rôles qui leur ont été attribués.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.