Partager via


Fonctionnement des experts Microsoft Defender pour les autorisations XDR

S’applique à :

Pour les experts Microsoft Defender pour les enquêtes sur les incidents XDR, lorsque nos experts ont besoin d’accéder à vos locataires, nous suivons les principes de juste-à-temps et de privilège minimum pour fournir le niveau d’accès approprié au bon moment. Pour répondre à ces exigences, nous avons créé la plateforme d’autorisations Microsoft Defender Experts à l’aide des fonctionnalités suivantes dans l’ID Microsoft Entra :

  • Privilèges d’administrateur délégué granulaires (GDAP) : dans le cadre de l’intégration, nous provisionnons le locataire Microsoft Experts en tant que fournisseur de services sur votre locataire pour utiliser la fonctionnalité GDAP et obtenir le niveau d’accès approprié à nos experts. Les rôles accordés à nos experts sont configurés à l’aide de l’attribution de rôles interlocataires pour s’assurer qu’ils disposent uniquement des autorisations que vous leur avez explicitement accordées.
  • Stratégies d’accès interlocataire Microsoft Entra : pour appliquer des restrictions sur l’accès de nos experts à votre locataire, nous devons établir une approbation interlocataire entre nos experts et votre locataire. Pour activer cette approbation, nous configurons une stratégie d’accès interlocataire dans votre locataire dans le cadre de l’intégration. Ces stratégies d’accès interlocataires sont créées avec des autorisations en lecture seule pour éviter toute interruption.
  • Accès conditionnel pour les utilisateurs externes : nous limitons l’accès de nos experts à vos locataires à partir de notre environnement sécurisé en utilisant des appareils conformes avec une authentification multifacteur forte (MFA). Pour appliquer les paramètres d’approbation configurés dans la stratégie d’accès interlocataire et bloquer l’accès dans le cas contraire, nous configurons ces stratégies d’accès conditionnel dans votre locataire.
  • Accès juste-à-temps (JIT) : Même après avoir autorisé nos experts à accéder à votre environnement, nous limitons leur accès en fonction des autorisations JIT pour l’investigation de cas, avec une durée limitée pour chaque rôle. Nos experts doivent d’abord demander l’accès et obtenir l’approbation dans notre système interne pour obtenir le rôle approprié dans votre locataire. L’accès de nos experts à votre locataire est audité dans le cadre des journaux de connexion Microsoft Entra que vous pouvez consulter

Configuration des autorisations dans les locataires clients

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Une fois que vous avez sélectionné les autorisations que vous souhaitez accorder à nos experts, nous créons les stratégies suivantes dans votre locataire à l’aide du contexte Administrateur de la sécurité ou Administrateur général :

  • Configurer Microsoft Experts en tant que fournisseur de services : ce paramètre permet à nos experts d’accéder à l’environnement client en tant que collaborateurs externes sans que vous mettez à créer des comptes pour eux.
  • Configurer des attributions de rôles pour nos experts : ce paramètre contrôle les rôles que nos experts sont autorisés dans le locataire. Vous sélectionnez les rôles appropriés pendant le processus d’intégration
  • Configurer les paramètres d’accès interlocataire avec L’authentification multifacteur et l’appareil conforme comme paramètres d’approbation : ce paramètre configure une relation d’approbation entre le client et les locataires Microsoft Experts en fonction de l’authentification multifacteur et de la conformité des appareils dans le locataire Microsoft Experts. Cette stratégie se trouve sous Microsoft Entra ID>External Identities>Cross-tenant access Settings (Paramètres d’accès interlocataireMicrosoft) avec le nom Microsoft Experts.
  • Configurer des stratégies d’accès conditionnel : ces stratégies limitent l’accès de nos experts à votre locataire uniquement à partir des stations de travail sécurisées Microsoft Experts avec vérification de l’authentification multifacteur. Deux stratégies sont configurées avec la convention de nommage Microsoft Security Experts-policy< name-DO> NOT DELETE.

Ces stratégies sont configurées pendant le processus d’intégration et nécessitent que l’administrateur approprié reste connecté pour effectuer les étapes. Une fois que les stratégies ci-dessus sont créées et que la configuration des autorisations est considérée comme terminée, vous voyez une notification indiquant que l’installation est terminée.

Voir aussi

Considérations importantes pour les experts Microsoft Defender pour XDR

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.