Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Dalším krokem při nasazování Defenderu for Endpoint je přiřazení rolí a oprávnění pro nasazení Defenderu for Endpoint.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Řízení přístupu na základě role
Microsoft doporučuje používat koncept nejnižších oprávnění. Defender for Endpoint používá předdefinované role v rámci Microsoft Entra ID. Projděte si různé dostupné role a vyberte tu správnou, která vyřeší vaše potřeby pro každou osobu pro tuto aplikaci. Některé role může být potřeba dočasně použít a po dokončení nasazení je odebrat.
Microsoft doporučuje používat Privileged Identity Management ke správě rolí, aby bylo uživatelům s oprávněními k adresáři k dispozici větší auditování, řízení a kontrola přístupu.
Defender for Endpoint podporuje dva způsoby správy oprávnění:
Základní správa oprávnění: Nastavte oprávnění na úplný přístup nebo jen pro čtení. Uživatelé s rolí, jako je správce zabezpečení v Microsoft Entra ID, mají úplný přístup. Role Čtenář zabezpečení má přístup jen pro čtení a neuděluje přístup k zobrazení inventáře počítačů nebo zařízení.
Řízení přístupu na základě role (RBAC): Nastavte podrobná oprávnění definováním rolí, přiřazením Microsoft Entra skupin uživatelů k rolím a udělením přístupu ke skupinám zařízení skupinám uživatelů. Další informace. Viz Správa přístupu k portálu pomocí řízení přístupu na základě role.
Microsoft doporučuje použít RBAC, aby měli přístup k Defenderu for Endpoint jenom uživatelé, kteří mají obchodní odůvodnění.
Podrobnosti o pokynech k oprávněním najdete tady: Vytvoření rolí a přiřazení role ke skupině Microsoft Entra.
Důležité
Od 16. února 2025 budou mít noví zákazníci Microsoft Defender for Endpoint přístup pouze k unified Role-Based Access Control (URBAC). Stávající zákazníci si zachovají své aktuální role a oprávnění. Další informace najdete v tématu UrBAC Unified Role-Based Access Control (URBAC) pro Microsoft Defender for Endpoint
Následující příklad tabulky slouží k identifikaci struktury Cyber Defense Operations Center ve vašem prostředí, která vám pomůže určit strukturu RBAC vyžadovanou pro vaše prostředí.
| Vrstvy | Popis | Požadovaná oprávnění |
|---|---|---|
| Vrstva 1 |
Místní bezpečnostní provozní tým / IT tým Tento tým obvykle určuje a prošetřuje výstrahy obsažené v jejich geografické poloze a eskaluje na vrstvu 2 v případech, kdy je vyžadována aktivní náprava. |
Zobrazení dat |
| Vrstva 2 |
Regionální tým bezpečnostních operací Tento tým může zobrazit všechna zařízení pro svou oblast a provádět nápravné akce. |
Zobrazení dat Šetření výstrah Aktivní nápravné akce |
| Vrstva 3 |
Globální tým pro operace zabezpečení Tento tým se skládá z odborníků na zabezpečení a má oprávnění zobrazovat a provádět všechny akce z portálu. |
Zobrazení dat Šetření výstrah Aktivní nápravné akce Správa nastavení systému portálu Správa nastavení zabezpečení |
Další krok
Po přiřazení rolí a oprávnění k zobrazení a správě Defenderu for Endpoint je čas na krok 3 – Identifikace architektury a volba metody nasazení.