Fornire l'accesso al provider del servizio di sicurezza gestito (MSSP)
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Importante
Le procedure in questo articolo usano funzionalità che richiedono almeno Microsoft Entra ID P2 per ogni utente nell'ambito della gestione.
Si applica a:
Per implementare una soluzione di accesso delegato multi-tenant, seguire questa procedura:
Abilitare il controllo degli accessi in base al ruolo per Defender per endpoint tramite il portale di Microsoft Defender e connettersi ai gruppi di Microsoft Entra.
Configurare la gestione dei diritti per gli utenti esterni all'interno di Microsoft Entra ID Governance per abilitare le richieste di accesso e il provisioning.
Gestire le richieste di accesso e i controlli in Microsoft Myaccess.
Abilitare i controlli di accesso in base al ruolo in Microsoft Defender per endpoint nel portale di Microsoft Defender
Creare gruppi di accesso per le risorse MSSP in Customer Microsoft Entra ID: Gruppi
Questi gruppi sono collegati ai ruoli creati in Defender per endpoint nel portale di Microsoft Defender. A tale scopo, nel tenant di ACTIVE Directory del cliente creare tre gruppi. Nell'approccio di esempio vengono creati i gruppi seguenti:
- Analista di livello 1
- Analista di livello 2
- Responsabili approvazione degli analisti MSSP
Creare ruoli di Defender per endpoint per i livelli di accesso appropriati in Customer Defender per endpoint in Microsoft Defender ruoli e gruppi del portale.
Per abilitare il controllo degli accessi in base al ruolo nel portale di Microsoft Defender del cliente, accedere ai ruoli degli endpoint delle autorizzazioni > & raggruppare > i ruoli con un account utente con diritti di amministratore della sicurezza.
Creare quindi ruoli controllo degli accessi in base al ruolo per soddisfare le esigenze del livello SOC MSSP. Collegare questi ruoli ai gruppi di utenti creati tramite "Gruppi di utenti assegnati".
Due ruoli possibili:
Analisti di livello 1
Eseguire tutte le azioni ad eccezione della risposta in tempo reale e gestire le impostazioni di sicurezza.Analisti di livello 2
Funzionalità di livello 1 con aggiunta alla risposta dinamica.
Per altre informazioni, vedere Gestire l'accesso al portale usando il controllo degli accessi in base al ruolo.
Aggiungere MSSP come organizzazione connessa in Customer Microsoft Entra ID: Identity Governance
L'aggiunta di MSSP come organizzazione connessa consente al provider del servizio gestito di richiedere e di effettuare il provisioning degli accessi.
A tale scopo, nel tenant di ACTIVE Directory del cliente accedere a Identity Governance: Connected organization.To do do, in the customer AD tenant, access Identity Governance: Connected organization. Aggiungere una nuova organizzazione e cercare il tenant dell'analista MSSP tramite l'ID tenant o il dominio. È consigliabile creare un tenant di ACTIVE Directory separato per gli analisti MSSP.
Creare un catalogo risorse in Customer Microsoft Entra ID: Identity Governance
I cataloghi di risorse sono una raccolta logica di pacchetti di accesso, creati nel tenant di Active Directory del cliente.
A tale scopo, nel tenant di ACTIVE Directory del cliente accedere a Identity Governance: Catalogs e aggiungere Nuovo catalogo. Nell'esempio verrà chiamato MSSP Accesses.
Per altre informazioni, vedere Creare un catalogo di risorse.
Creare pacchetti di accesso per le risorse MSSP Customer Microsoft Entra ID: Identity Governance
I pacchetti di accesso sono la raccolta di diritti e accessi concessi da un richiedente al momento dell'approvazione.
A tale scopo, nel tenant di ACTIVE Directory del cliente accedere a Identity Governance: Accedere ai pacchetti e aggiungere nuovo pacchetto di accesso. Creare un pacchetto di accesso per i responsabili approvazione mssp e ogni livello di analista. Ad esempio, la configurazione di analista di livello 1 seguente crea un pacchetto di accesso che:
- Richiede a un membro del gruppo DI ACTIVE Directory i responsabili approvazione degli analisti MSSP per autorizzare nuove richieste
- Ha verifiche di accesso annuali, in cui gli analisti soc possono richiedere un'estensione di accesso
- Può essere richiesto solo dagli utenti nel tenant SOC MSSP
- L'accesso automatico scade dopo 365 giorni
Per altre informazioni, vedere Creare un nuovo pacchetto di accesso.
Fornire il collegamento alla richiesta di accesso alle risorse MSSP da Customer Microsoft Entra ID: Identity Governance
Il collegamento al portale di accesso personale viene usato dagli analisti del soc MSSP per richiedere l'accesso tramite i pacchetti di accesso creati. Il collegamento è durevole, ovvero lo stesso collegamento potrebbe essere usato nel tempo per i nuovi analisti. La richiesta dell'analista entra in una coda per l'approvazione da parte dei responsabili approvazione degli analisti MSSP.
Il collegamento si trova nella pagina di panoramica di ogni pacchetto di accesso.
Esaminare e autorizzare le richieste di accesso in Customer and/or MSSP myaccess.Review and authorize access requests in Customer and/or MSSP myaccess.
Le richieste di accesso vengono gestite nel cliente Accesso personale dai membri del gruppo Responsabili approvazione analisti MSSP.
A tale scopo, accedere al myaccess del cliente usando:
https://myaccess.microsoft.com/@<Customer Domain>
.Esempio:
https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/
Approvare o negare le richieste nella sezione Approvazioni dell'interfaccia utente.
A questo punto, è stato effettuato il provisioning dell'accesso degli analisti e ogni analista deve essere in grado di accedere al portale di Microsoft Defender del cliente:
https://security.microsoft.com/?tid=<CustomerTenantId>
con le autorizzazioni e i ruoli assegnati.
Suggerimento
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.