Správa přístupu k portálu pomocí řízení přístupu na základě role
Poznámka
Pokud používáte program Microsoft Defender XDR preview, můžete si teď vyzkoušet nový model Microsoft Defender 365 Unified řízení přístupu na základě role (RBAC). Další informace najdete v tématu Jednotné řízení přístupu na základě role (RBAC) v Programu Microsoft Defender 365.
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Entra ID
- Office 365
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Pomocí řízení přístupu na základě role (RBAC) můžete vytvořit role a skupiny v rámci týmu operací zabezpečení a udělit tak odpovídající přístup k portálu. Na základě rolí a skupin, které vytvoříte, máte podrobnou kontrolu nad tím, co uživatelé s přístupem k portálu můžou zobrazit a dělat.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Velké geograficky distribuované provozní týmy zabezpečení obvykle používají model založený na vrstvě, který přiřazuje a autorizuje přístup k portálům zabezpečení. Typické úrovně zahrnují následující tři úrovně:
| Úroveň | Popis |
|---|---|
| Vrstva 1 |
Místní bezpečnostní provozní tým / IT tým Tento tým obvykle určuje a prošetřuje výstrahy obsažené v jejich geografické poloze a eskaluje na vrstvu 2 v případech, kdy je vyžadována aktivní náprava. |
| Vrstva 2 |
Regionální tým bezpečnostních operací Tento tým může zobrazit všechna zařízení pro svou oblast a provádět nápravné akce. |
| Vrstva 3 |
Globální tým pro operace zabezpečení Tento tým se skládá z odborníků na zabezpečení a má oprávnění zobrazovat a provádět všechny akce z portálu. |
Poznámka
Informace o prostředcích vrstvy 0 najdete v tématu Privileged Identity Management pro správce zabezpečení, abyste zajistili podrobnější kontrolu nad Microsoft Defenderem for Endpoint a Microsoft Defenderem XDR.
Defender for Endpoint RBAC je navržený tak, aby podporoval vámi zvolený model založený na vrstvách nebo rolích a poskytuje podrobnou kontrolu nad tím, jaké role můžou zobrazit, zařízení, ke kterým mají přístup, a nad akcemi, které můžou provádět. Architektura RBAC se soustředí na následující ovládací prvky:
-
Určení, kdo může provést konkrétní akci
- Vytvořte vlastní role a určete, ke kterým funkcím Defenderu for Endpoint budou mít přístup s odstupňovaným přístupem.
-
Určení, kdo může zobrazit informace o konkrétní skupině nebo skupinách zařízení
Vytvořte skupiny zařízení podle konkrétních kritérií, jako jsou názvy, značky, domény a další, a pak jim udělte přístup rolí pomocí konkrétní skupiny uživatelů Microsoft Entra.
Poznámka
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Pokud chcete implementovat přístup na základě rolí, budete muset definovat role správce, přiřadit odpovídající oprávnění a přiřadit skupiny uživatelů Microsoft Entra přiřazené k rolím.
Než začnete
Než použijete RBAC, je důležité pochopit role, které můžou udělit oprávnění, a důsledky zapnutí RBAC.
Upozornění
Před povolením této funkce je důležité, abyste měli roli globálního správce nebo správce zabezpečení v Microsoft Entra ID a abyste měli připravené skupiny Microsoft Entra, abyste snížili riziko zablokování portálu.
Když se poprvé přihlásíte k portálu Microsoft Defender, získáte buď úplný přístup, nebo přístup jen pro čtení. Úplná přístupová práva se udělují uživatelům s rolí Správce zabezpečení nebo Globální správce v Microsoft Entra ID. Přístup jen pro čtení je udělen uživatelům s rolí Čtenář zabezpečení v Microsoft Entra ID.
Někdo s rolí globálního správce Defenderu for Endpoint má neomezený přístup ke všem zařízením bez ohledu na přidružení skupiny zařízení a přiřazení skupin uživatelů Microsoft Entra.
Upozornění
Na začátku můžou role na portálu Microsoft Defender vytvářet a přiřazovat jenom osoby s oprávněními globálního správce nebo správce zabezpečení Microsoft Entra. Proto je důležité mít v Microsoft Entra ID připravené správné skupiny.
Zapnutí řízení přístupu na základě role způsobí, že uživatelé s oprávněním jen pro čtení (například uživatelé přiřazení k roli čtenáře zabezpečení Microsoft Entra) ztratí přístup, dokud nebudou přiřazeni k roli.
Uživatelům s oprávněními správce se automaticky přiřadí výchozí integrovaná role globálního správce Defenderu for Endpoint s úplnými oprávněními. Po vyjádření souhlasu s používáním řízení přístupu na základě role globálního správce služby Defender for Endpoint můžete přiřadit další uživatele, kteří nejsou globální správci nebo správci zabezpečení Microsoft Entra.
Po vyjádření souhlasu s používáním RBAC se nemůžete vrátit k počátečním rolím, jako když jste se poprvé přihlásili k portálu.
Související téma
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.