إدارة الوصول إلى المدخل باستخدام التحكم في الوصول المستند إلى الدور
ملاحظة
إذا كنت تقوم بتشغيل برنامج معاينة Microsoft Defender XDR، فيمكنك الآن تجربة نموذج التحكم في الوصول الموحد (RBAC) الجديد ل Microsoft Defender 365. لمزيد من المعلومات، راجع التحكم في الوصول الموحد المستند إلى الدور (RBAC) في Microsoft Defender 365.
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Entra ID
- Office 365
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
باستخدام التحكم في الوصول استنادا إلى الدور (RBAC)، يمكنك إنشاء أدوار ومجموعات داخل فريق عمليات الأمان لمنح الوصول المناسب إلى المدخل. استنادا إلى الأدوار والمجموعات التي تقوم بإنشائها، لديك تحكم دقيق في ما يمكن للمستخدمين الذين لديهم حق الوصول إلى المدخل رؤيته والقيام به.
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
تعتمد فرق عمليات الأمان الموزعة جغرافيا الكبيرة عادة نموذجا يستند إلى المستوى لتعيين الوصول إلى مداخل الأمان وتخويله. تتضمن المستويات النموذجية المستويات الثلاثة التالية:
المستوي | الوصف |
---|---|
المستوى 1 |
فريق عمليات الأمان المحلي / فريق تكنولوجيا المعلومات يقوم هذا الفريق عادة بفرز التنبيهات المضمنة في موقعه الجغرافي والتحقيق فيها ويتصاعد إلى المستوى 2 في الحالات التي يكون فيها الإصلاح النشط مطلوبا. |
المستوى 2 |
فريق عمليات الأمان الإقليمية يمكن لهذا الفريق رؤية جميع الأجهزة لمنطقتهم وتنفيذ إجراءات المعالجة. |
المستوى 3 |
فريق عمليات الأمان العالمية يتكون هذا الفريق من خبراء أمنيين ومخولون برؤية جميع الإجراءات وتنفيذها من المدخل. |
ملاحظة
بالنسبة لأصول المستوى 0، راجع إدارة الهويات المتميزة لمسؤولي الأمان لتوفير تحكم أكثر دقة في Microsoft Defender لنقطة النهاية وMicrosoft Defender XDR.
تم تصميم Defender for Endpoint RBAC لدعم نموذج اختيارك المستند إلى المستوى أو الدور ويمنحك تحكما دقيقا في الأدوار التي يمكن أن تراها والأجهزة التي يمكنهم الوصول إليها والإجراءات التي يمكنهم اتخاذها. يتم توسيط إطار عمل التحكم في الوصول استنادا إلى الدور حول عناصر التحكم التالية:
-
التحكم في من يمكنه اتخاذ إجراء محدد
- إنشاء أدوار مخصصة والتحكم في قدرات Defender لنقطة النهاية التي يمكنهم الوصول إليها بدقة.
-
التحكم في الأشخاص الذين يمكنهم رؤية معلومات حول مجموعة أجهزة أو مجموعات معينة
قم بإنشاء مجموعات الأجهزة حسب معايير محددة مثل الأسماء والعلامات والمجالات وغيرها، ثم امنح حق الوصول إلى الدور إليها باستخدام مجموعة مستخدم Microsoft Entra معينة.
ملاحظة
يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.
لتنفيذ الوصول المستند إلى الدور، ستحتاج إلى تحديد أدوار المسؤول وتعيين الأذونات المقابلة وتعيين مجموعات مستخدمي Microsoft Entra المعينة للأدوار.
قبل البدء
قبل استخدام التحكم في الوصول استنادا إلى الدور، من المهم أن تفهم الأدوار التي يمكن أن تمنح الأذونات وعواقب تشغيل التحكم في الوصول استنادا إلى الدور.
تحذير
قبل تمكين الميزة، من المهم أن يكون لديك دور مسؤول عام أو دور مسؤول الأمان في معرف Microsoft Entra وأن تكون مجموعات Microsoft Entra جاهزة لتقليل خطر تأمينها من المدخل.
عند تسجيل الدخول لأول مرة إلى مدخل Microsoft Defender، يتم منحك حق الوصول الكامل أو حق الوصول للقراءة فقط. يتم منح حقوق الوصول الكاملة للمستخدمين الذين لديهم أدوار مسؤول الأمان أو المسؤول العام في Microsoft Entra ID. يتم منح حق الوصول للقراءة فقط للمستخدمين الذين لديهم دور قارئ الأمان في معرف Microsoft Entra.
يتمتع شخص لديه دور مسؤول عام ل Defender لنقطة النهاية بوصول غير مقيد إلى جميع الأجهزة، بغض النظر عن اقتران مجموعة الأجهزة وتعيينات مجموعات مستخدمي Microsoft Entra.
تحذير
في البداية، يمكن فقط لأولئك الذين لديهم حقوق مسؤول Microsoft Entra العام أو مسؤول الأمان إنشاء الأدوار وتعيينها في مدخل Microsoft Defender؛ لذلك، يعد إعداد المجموعات المناسبة في معرف Microsoft Entra أمرا مهما.
يؤدي تشغيل التحكم في الوصول المستند إلى الدور إلى فقدان المستخدمين الذين لديهم أذونات للقراءة فقط (على سبيل المثال، المستخدمون المعينون لدور قارئ أمان Microsoft Entra) الوصول حتى يتم تعيينهم لدور.
يتم تعيين دور Defender لمسؤول نقطة النهاية الافتراضي المضمن تلقائيا للمستخدمين الذين لديهم أذونات المسؤول بأذونات كاملة. بعد الاشتراك في استخدام التحكم في الوصول استنادا إلى الدور، يمكنك تعيين مستخدمين إضافيين ليسوا من مسؤولي Microsoft Entra العموميين أو مسؤولي الأمان إلى دور Defender for Endpoint Global Administrator.
بعد الاشتراك في استخدام التحكم في الوصول استنادا إلى الدور، لا يمكنك العودة إلى الأدوار الأولية كما هو الحال عند تسجيل الدخول لأول مرة إلى المدخل.
موضوع ذو صلة
- أدوار التحكم في الوصول استنادا إلى الدور
- إنشاء مجموعات الأجهزة وإدارتها في Microsoft Defender لنقطة النهاية
تلميح
هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.