باستخدام التحكم في الوصول استنادا إلى الدور (RBAC)، يمكنك إنشاء أدوار ومجموعات داخل فريق عمليات الأمان لمنح الوصول المناسب إلى المدخل. استنادا إلى الأدوار والمجموعات التي تقوم بإنشائها، لديك تحكم دقيق في ما يمكن للمستخدمين الذين لديهم حق الوصول إلى المدخل رؤيته والقيام به.
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
تعتمد فرق عمليات الأمان الموزعة جغرافيا الكبيرة عادة نموذجا يستند إلى المستوى لتعيين الوصول إلى مداخل الأمان وتخويله. تتضمن المستويات النموذجية المستويات الثلاثة التالية:
المستوي
الوصف
المستوى 1
فريق عمليات الأمان المحلي / فريق تكنولوجيا المعلومات يقوم هذا الفريق عادة بفرز التنبيهات المضمنة في موقعه الجغرافي والتحقيق فيها ويتصاعد إلى المستوى 2 في الحالات التي يكون فيها الإصلاح النشط مطلوبا.
المستوى 2
فريق عمليات الأمان الإقليمية يمكن لهذا الفريق رؤية جميع الأجهزة لمنطقتهم وتنفيذ إجراءات المعالجة.
المستوى 3
فريق عمليات الأمان العالمية يتكون هذا الفريق من خبراء أمنيين ومخولون برؤية جميع الإجراءات وتنفيذها من المدخل.
ملاحظة
بالنسبة لأصول المستوى 0، راجع إدارة الهويات المتميزة لمسؤولي الأمان لتوفير تحكم أكثر دقة في Microsoft Defender لنقطة النهاية Microsoft Defender XDR.
تم تصميم Defender for Endpoint RBAC لدعم نموذج اختيارك المستند إلى المستوى أو الدور ويمنحك تحكما دقيقا في الأدوار التي يمكن أن تراها والأجهزة التي يمكنهم الوصول إليها والإجراءات التي يمكنهم اتخاذها. يتم توسيط إطار عمل التحكم في الوصول استنادا إلى الدور حول عناصر التحكم التالية:
التحكم في من يمكنه اتخاذ إجراء محدد
إنشاء أدوار مخصصة والتحكم في قدرات Defender لنقطة النهاية التي يمكنهم الوصول إليها بدقة.
التحكم في الأشخاص الذين يمكنهم رؤية معلومات حول مجموعة أجهزة أو مجموعات معينة
أنشئ مجموعات الأجهزة حسب معايير محددة مثل الأسماء والعلامات والمجالات وغيرها، ثم امنحها حق الوصول إلى الدور باستخدام مجموعة مستخدمين Microsoft Entra معينة.
ملاحظة
يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.
لتنفيذ الوصول المستند إلى الدور، ستحتاج إلى تحديد أدوار المسؤول وتعيين الأذونات المقابلة وتعيين Microsoft Entra مجموعات المستخدمين المعينة للأدوار.
قبل البدء
قبل استخدام التحكم في الوصول استنادا إلى الدور، من المهم أن تفهم الأدوار التي يمكن أن تمنح الأذونات وعواقب تشغيل التحكم في الوصول استنادا إلى الدور.
تحذير
قبل تمكين الميزة، من المهم أن يكون لديك دور مناسب، مثل مسؤول الأمان المعين في Microsoft Entra ID، وأن يكون لديك مجموعات Microsoft Entra جاهزة لتقليل مخاطر تأمينها من المدخل.
عند تسجيل الدخول لأول مرة إلى مدخل Microsoft Defender، يتم منحك حق الوصول الكامل أو حق الوصول للقراءة فقط. يتم منح حقوق الوصول الكاملة للمستخدمين الذين لديهم دور مسؤول الأمان في Microsoft Entra ID. يتم منح حق الوصول للقراءة فقط للمستخدمين الذين لديهم دور قارئ الأمان في Microsoft Entra ID.
يتمتع شخص لديه دور مسؤول عام ل Defender لنقطة النهاية بوصول غير مقيد إلى جميع الأجهزة، بغض النظر عن اقتران مجموعة الأجهزة وتعيينات مجموعات المستخدمين Microsoft Entra.
تحذير
في البداية، يمكن فقط لأولئك الذين لديهم حقوق المسؤول العام أو مسؤول الأمان Microsoft Entra إنشاء الأدوار وتعيينها في مدخل Microsoft Defender؛ لذلك، فإن إعداد المجموعات المناسبة في Microsoft Entra ID أمر مهم.
يؤدي تشغيل التحكم في الوصول المستند إلى الدور إلى فقدان المستخدمين الذين لديهم أذونات للقراءة فقط (على سبيل المثال، المستخدمون المعينون لدور قارئ الأمان Microsoft Entra) الوصول حتى يتم تعيينهم لدور.
يتم تعيين دور Defender لمسؤول نقطة النهاية الافتراضي المضمن تلقائيا للمستخدمين الذين لديهم أذونات المسؤول بأذونات كاملة. بعد الاشتراك في استخدام التحكم في الوصول استنادا إلى الدور، يمكنك تعيين مستخدمين إضافيين ليسوا Microsoft Entra المسؤولين العموميين أو مسؤولي الأمان لدور Defender for Endpoint Global Administrator.
بعد الاشتراك في استخدام التحكم في الوصول استنادا إلى الدور، لا يمكنك العودة إلى الأدوار الأولية كما هو الحال عند تسجيل الدخول لأول مرة إلى المدخل.