Share via


Conceder acesso ao MSSP (provedor de serviços de segurança gerenciada) (versão prévia)

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Para implementar uma solução de acesso delegado multilocatário, siga as seguintes etapas:

  1. Habilite o controle de acesso baseado em função no Defender para Ponto de Extremidade e conecte-se com grupos do AD (Active Directory).

  2. Configure pacotes de acesso de governança para solicitação de acesso e provisionamento.

  3. Gerenciar solicitações e auditorias de acesso no Microsoft Myaccess.

Habilitar controles de acesso baseados em função no Microsoft Defender para Ponto de Extremidade

  1. Create grupos de acesso para recursos MSSP no AAD do Cliente: Grupos

    Esses grupos estão vinculados às funções que você cria no Defender para Ponto de Extremidade. Para fazer isso, no locatário do Customer AD, crie três grupos. Em nossa abordagem de exemplo, criamos os seguintes grupos:

    • Analista de nível 1
    • Analista de nível 2
    • Aprovadores de analistas do MSSP
  2. Create funções do Defender para Ponto de Extremidade para níveis de acesso apropriados no Defender do Cliente para Ponto de Extremidade.

    Para habilitar o RBAC no portal do Microsoft Defender do cliente, acesse Configurações > Funções de Permissões >> de Pontos de Extremidade e "Ativar funções", de uma conta de usuário com direitos de Administrador Global ou Administrador de Segurança.

    Em seguida, crie funções RBAC para atender às necessidades da Camada SOC do MSSP. Vincule essas funções aos grupos de usuários criados por meio de "Grupos de usuários atribuídos".

    Duas funções possíveis:

    • Analistas de nível 1

      Execute todas as ações, exceto a resposta ao vivo e gerencie as configurações de segurança.

    • Analistas de nível 2

      Recursos de nível 1 com a adição à resposta ao vivo

    Para obter mais informações, consulte Usar controle de acesso baseado em função.

Configurar pacotes de acesso à governança

  1. Adicionar MSSP como Organização Conectada no AAD do Cliente: Governança de Identidade

    Adicionar o MSSP como uma organização conectada permite que o MSSP solicite e tenha acessos provisionados.

    Para fazer isso, no locatário do Cliente AD, acesse Governança de Identidade: organização conectada. Adicione uma nova organização e pesquise seu locatário do Analista MSSP por meio da ID do Locatário ou domínio. Sugerimos criar um locatário do AD separado para seus analistas do MSSP.

  2. Create um catálogo de recursos no Customer AAD: Identity Governance

    Os catálogos de recursos são uma coleção lógica de pacotes de acesso, criados no locatário do Cliente AD.

    Para fazer isso, no locatário do Cliente AD, acesse Governança de Identidade: Catálogos e adicione Novo Catálogo. Em nosso exemplo, ele é chamado de Acessos MSSP.

    A nova página de catálogo

    Mais informações, consulte Create um catálogo de recursos.

  3. Create pacotes de acesso para recursos MSSP Cliente AAD: Governança de Identidade

    Os pacotes de acesso são a coleção de direitos e acessos que um solicitante recebe após a aprovação.

    Para fazer isso, no locatário do Cliente AD, acesse Governança de Identidade: Pacotes de Acesso e adicione Novo Pacote de Acesso. Create um pacote de acesso para os aprovadores MSSP e cada camada de analista. Por exemplo, a seguinte configuração de analista de camada 1 cria um pacote de acesso que:

    • Requer que um membro do grupo AD Aprovadores de Analistas MSSP autorize novas solicitações
    • Tem revisões de acesso anuais, em que os analistas do SOC podem solicitar uma extensão de acesso
    • Só pode ser solicitado pelos usuários no locatário do SOC DO MSSP
    • O acesso automático expira após 365 dias

    A página Novo pacote de acesso

    Para obter mais informações, consulte Create um novo pacote de acesso.

  4. Fornecer link de solicitação de acesso aos recursos MSSP do Cliente AAD: Governança de Identidade

    O link do portal Meu Acesso é usado por analistas do SOC do MSSP para solicitar acesso por meio dos pacotes de acesso criados. O link é durável, o que significa que o mesmo link pode ser usado ao longo do tempo para novos analistas. A solicitação de analista entra em uma fila para aprovação dos Aprovadores de Analistas do MSSP.

    A página Propriedades

    O link está localizado na página de visão geral de cada pacote de acesso.

Gerenciar Acesso

  1. Examine e autorize solicitações de acesso no myaccess cliente e/ou MSSP.

    As solicitações de acesso são gerenciadas no cliente Meu Acesso, por membros do grupo Aprovadores de Analistas do MSSP.

    Para fazer isso, acesse o myaccess do cliente usando: https://myaccess.microsoft.com/@<Customer Domain>.

    Exemplo: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Aprovar ou negar solicitações na seção Aprovações da interface do usuário.

    Neste ponto, o acesso aos analistas foi provisionado e cada analista deve poder acessar o portal de Microsoft Defender do cliente:https://security.microsoft.com/?tid=<CustomerTenantId>

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.