Partilhar via


Conceder acesso ao fornecedor de serviços de segurança gerida (MSSP) (pré-visualização)

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Para implementar uma solução de acesso delegado multi-inquilino, siga os seguintes passos:

  1. Ative o controlo de acesso baseado em funções no Defender para Endpoint e ligue-se a grupos do Microsoft Entra ID.

  2. Configure Pacotes de Acesso de Governação para pedido de acesso e aprovisionamento.

  3. Gerir pedidos de acesso e auditorias no Microsoft MyAccess.

Ativar controlos de acesso baseados em funções no Microsoft Defender para Endpoint

  1. Criar grupos de acesso para recursos do MSSP no ID do Customer Entra: Grupos

    Estes grupos estão ligados às Funções que criar no Defender para Endpoint. Para tal, no inquilino do Cliente Entra ID, crie três grupos. Na nossa abordagem de exemplo, criamos os seguintes grupos:

    • Analista da Camada 1
    • Analista da Camada 2
    • Aprovadores de Analistas do MSSP
  2. Crie funções do Defender para Ponto Final para níveis de acesso adequados no Customer Defender para Endpoint.

    Para ativar o RBAC no portal do Microsoft Defender do cliente, aceda a Definições> Funçõesde PermissõesdePontos Finais>>e, em seguida, selecione Ativar funções.

    Em seguida, crie funções RBAC para satisfazer as necessidades do Escalão SOC do MSSP. Ligue estas funções aos grupos de utilizadores criados através de grupos de utilizadores atribuídos. Existem duas funções possíveis: Analistas da Camada 1 e Analistas da Camada 2.

    • Analistas da Camada 1 – execute todas as ações, exceto a resposta em direto e faça a gestão das definições de segurança.

    • Analistas da Camada 2 – Capacidades da Camada 1 com a adição à resposta em direto

    Para obter mais informações, veja Utilizar o controlo de acesso baseado em funções.

Configurar Pacotes de Acesso de Governação

  1. Adicionar o MSSP como Organização Ligada no ID de Entra do Cliente: Governação de Identidades

    Adicionar o MSSP como uma organização ligada permite que o MSSP peça e tenha acesso aprovisionado.

    Para tal, no inquilino do Cliente Entra ID, aceda a Governação de Identidade: Organização ligada. Adicione uma nova organização e procure o seu inquilino do Analista MSSP através do ID de Inquilino ou domínio. Sugerimos a criação de um inquilino do Entra ID separado para os analistas do MSSP.

  2. Criar um catálogo de recursos no Customer Entra ID: Identity Governance

    Os catálogos de recursos são uma coleção lógica de pacotes de acesso, criada no inquilino do ID de Entra do cliente.

    Para tal, no inquilino do ID de Entra do cliente, aceda a Governação de Identidades: Catálogos e adicione Novo Catálogo. No nosso exemplo, chama-se Acessos MSSP.

    A nova página do catálogo

    Para obter mais informações, veja Criar um catálogo de recursos.

  3. Criar pacotes de acesso para recursos do MSSP Customer Entra ID: Identity Governance

    Os pacotes de acesso são a coleção de direitos e acessos que um requerente é concedido após a aprovação.

    Para tal, no inquilino do ID de Entra do cliente, aceda a Governação de Identidade: Pacotes de Acesso e adicione Novo Pacote de Acesso. Crie um pacote de acesso para os aprovadores do MSSP e cada escalão de analista. Por exemplo, a seguinte configuração do Analista de Camada 1 cria um pacote de acesso que:

    • Requer que um membro do grupo DE ID do Entra Aprovadores do MSSP autorize novos pedidos
    • Tem revisões de acesso anuais, em que os analistas do SOC podem pedir uma extensão de acesso
    • Só pode ser pedido por utilizadores no Inquilino do SOC do MSSP
    • O Access expira automaticamente após 365 dias

    Para obter mais informações, veja Criar um novo pacote de acesso.

  4. Fornecer ligação de pedido de acesso aos recursos do MSSP a partir do ID do Customer Entra: Identity Governance

    A ligação do portal O Meu Acesso é utilizada pelos analistas do SOC do MSSP para pedir acesso através dos pacotes de acesso criados. A ligação é durável, o que significa que a mesma ligação pode ser utilizada ao longo do tempo para novos analistas. O pedido do analista entra numa fila para aprovação pelos Aprovadores de Analistas do MSSP.

    A ligação está localizada na página de descrição geral de cada pacote de acesso.

Gerir o acesso

  1. Reveja e autorize pedidos de acesso em MyAccess do Cliente e/ou MSSP.

    Os pedidos de acesso são geridos no cliente O Meu Acesso, por membros do grupo Aprovadores de Analistas do MSSP.

    Para tal, aceda ao MyAccess do cliente com: https://myaccess.microsoft.com/@<Customer Domain>.

    Exemplo: https://myaccess.microsoft.com/@M365x440XXX.onmicrosoft.com#/

  2. Aprovar ou negar pedidos na secção Aprovações da IU.

    Neste momento, o acesso dos analistas é aprovisionado e cada analista deve conseguir aceder ao portal do Microsoft Defender do cliente: https://security.microsoft.com/?tid=<CustomerTenantId>

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.