Concesión de acceso al proveedor de servicios de seguridad administrados (MSSP) (versión preliminar)

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Para implementar una solución de acceso delegado multiinquilino, siga estos pasos:

1. Habilite el control de acceso basado en rol en Defender para punto de conexión y conéctese con grupos de Active Directory (AD).

2. Configure los paquetes de acceso de gobernanza para la solicitud de acceso y el aprovisionamiento.

3. Administrar solicitudes de acceso y auditorías en Microsoft Myaccess.

Habilitación de controles de acceso basados en rol en Microsoft Defender para punto de conexión

1. Create grupos de acceso para recursos de MSSP en Customer AAD: Groups

   Estos grupos están vinculados a los roles que se crean en Defender para punto de conexión. Para ello, en el inquilino de AD del cliente, cree tres grupos. En nuestro enfoque de ejemplo, creamos los siguientes grupos:

   • Analista de nivel 1
   • Analista de nivel 2
   • Aprobadores de analistas de MSSP

2. Create roles de Defender para punto de conexión para los niveles de acceso adecuados en Customer Defender para punto de conexión.

   Para habilitar RBAC en el portal de Microsoft Defender del cliente, acceda a Roles de permisos > de puntos de conexión > de configuración > y "Activar roles" desde una cuenta de usuario con derechos de administrador global o administrador de seguridad.

   A continuación, cree roles de RBAC para satisfacer las necesidades del nivel SOC de MSSP. Vincule estos roles a los grupos de usuarios creados mediante "Grupos de usuarios asignados".

   Dos roles posibles:

   • Analistas de nivel 1

     Realice todas las acciones excepto la respuesta en vivo y administre la configuración de seguridad.

   • Analistas de nivel 2

     Funcionalidades de nivel 1 con la adición a la respuesta en vivo

   Para obtener más información, consulte Uso del control de acceso basado en rol.

Configuración de paquetes de acceso de gobernanza

1. Adición de MSSP como organización conectada en Customer AAD: Identity Governance

   Agregar el MSSP como una organización conectada permite al MSSP solicitar y tener acceso aprovisionado.

   Para ello, en el inquilino de AD del cliente, acceda a Identity Governance: Connected organization (Gobernanza de identidades: organización conectada). Agregue una nueva organización y busque el inquilino de MSSP Analyst a través del identificador de inquilino o dominio. Se recomienda crear un inquilino de AD independiente para los analistas de MSSP.

2. Create un catálogo de recursos en Customer AAD: Identity Governance

   Los catálogos de recursos son una colección lógica de paquetes de acceso creados en el inquilino de AD del cliente.

   Para ello, en el inquilino de AD del cliente, acceda a Identity Governance: Catalogs (Gobernanza de identidades: catálogos) y agregue New Catalog (Nuevo catálogo). En nuestro ejemplo, se llama MSSP Accesses.

   

   Para más información, consulte Create un catálogo de recursos.

3. Create paquetes de acceso para recursos de MSSP Customer AAD: Identity Governance

   Los paquetes de acceso son la recopilación de derechos y accesos que se conceden a un solicitante tras la aprobación.

   Para ello, en el inquilino de AD del cliente, acceda a Identity Governance: Access Packages (Gobernanza de identidades: paquetes de acceso) y agregue New Access Package (Nuevo paquete de acceso). Create un paquete de acceso para los aprobadores de MSSP y cada nivel de analista. Por ejemplo, la siguiente configuración de analista de nivel 1 crea un paquete de acceso que:

   • Requiere que un miembro del grupo de AD , los aprobadores de analistas de MSSP , autorice nuevas solicitudes.
   • Tiene revisiones de acceso anuales, donde los analistas de SOC pueden solicitar una extensión de acceso.
   • Solo los usuarios pueden solicitarlo en el inquilino de SOC de MSSP.
   • El acceso automático expira después de 365 días

   

   Para obtener más información, consulte Create un nuevo paquete de acceso.

4. Proporcionar un vínculo de solicitud de acceso a los recursos de MSSP desde Customer AAD: Identity Governance

   Los analistas de MSSP SOC usan el vínculo del portal Mi acceso para solicitar acceso a través de los paquetes de acceso creados. El vínculo es duradero, lo que significa que el mismo vínculo se puede usar con el tiempo para los nuevos analistas. La solicitud de analista entra en una cola para su aprobación por parte de los aprobadores de analistas de MSSP.

   

   El vínculo se encuentra en la página de información general de cada paquete de acceso.

Administrar el acceso

1. Revise y autorice las solicitudes de acceso en MyAccess del Cliente o MSSP.

   Las solicitudes de acceso se administran en el cliente Mi acceso, por miembros del grupo de aprobadores de analistas de MSSP.

   Para ello, acceda a myaccess del cliente mediante: https://myaccess.microsoft.com/@<Customer Domain>.

   Ejemplo: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

2. Aprobar o denegar solicitudes en la sección Aprobaciones de la interfaz de usuario.

   En este momento, se ha aprovisionado el acceso de analista y cada analista debe poder acceder al portal de Microsoft Defender del cliente:https://security.microsoft.com/?tid=<CustomerTenantId>

Temas relacionados

• Acceder al portal de clientes de MSSP
• Configurar notificaciones de alerta
• Capturar alertas del espacio empresarial del cliente

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.