Sdílet prostřednictvím


Přiřazení rolí a oprávnění pro nasazení Microsoft Defender for Endpoint

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Dalším krokem při nasazování Defenderu for Endpoint je přiřazení rolí a oprávnění pro nasazení Defenderu for Endpoint.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Řízení přístupu na základě role

Microsoft doporučuje používat koncept nejnižších oprávnění. Defender for Endpoint využívá předdefinované role v rámci Microsoft Entra ID. Projděte si různé dostupné role a vyberte tu správnou, která vyřeší vaše potřeby pro každou osobu pro tuto aplikaci. Některé role může být potřeba dočasně použít a po dokončení nasazení je odebrat.

Microsoft doporučuje používat ke správě rolí Privileged Identity Management, aby bylo uživatelům s oprávněními k adresáři k dispozici další auditování, řízení a kontrola přístupu.

Defender for Endpoint podporuje dva způsoby správy oprávnění:

  • Základní správa oprávnění: Nastavte oprávnění na úplný přístup nebo jen pro čtení. Uživatelé s rolí, jako je správce zabezpečení v Microsoft Entra ID, mají úplný přístup. Role Čtenář zabezpečení má přístup jen pro čtení a neuděluje přístup k zobrazení inventáře počítačů nebo zařízení.

  • Řízení přístupu na základě role (RBAC): Nastavte podrobná oprávnění definováním rolí, přiřazením Microsoft Entra skupin uživatelů k rolím a udělením přístupu ke skupinám zařízení skupinám uživatelů. Další informace. Viz Správa přístupu k portálu pomocí řízení přístupu na základě role.

Microsoft doporučuje využít RBAC k zajištění toho, aby k Defenderu for Endpoint měli přístup jenom uživatelé, kteří mají obchodní odůvodnění.

Podrobnosti o pokynech k oprávněním najdete tady: Vytvoření rolí a přiřazení role ke skupině Microsoft Entra.

Následující příklad tabulky slouží k identifikaci struktury Cyber Defense Operations Center ve vašem prostředí, která vám pomůže určit strukturu RBAC vyžadovanou pro vaše prostředí.

Úroveň Popis Požadovaná oprávnění
Vrstva 1 Místní bezpečnostní provozní tým / IT tým

Tento tým obvykle určuje a prošetřuje výstrahy obsažené v jejich geografické poloze a eskaluje na vrstvu 2 v případech, kdy je vyžadována aktivní náprava.
Zobrazení dat
Vrstva 2 Regionální tým bezpečnostních operací

Tento tým může zobrazit všechna zařízení pro svou oblast a provádět nápravné akce.
Zobrazení dat

Šetření výstrah

Aktivní nápravné akce

Vrstva 3 Globální tým pro operace zabezpečení

Tento tým se skládá z odborníků na zabezpečení a má oprávnění zobrazovat a provádět všechny akce z portálu.
Zobrazení dat

Šetření výstrah

Aktivní nápravné akce

Správa nastavení systému portálu

Správa nastavení zabezpečení

Další krok

Po přiřazení rolí a oprávnění k zobrazení a správě Defenderu for Endpoint je čas na krok 3 – Identifikace architektury a volba metody nasazení.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.