Vytváření vlastních rolí s využitím Microsoft Defender sjednoceného řízení přístupu na základě role

  • Platí pro: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Identity, Microsoft Defender for Office 365 P2, Microsoft Defender Vulnerability Management, Microsoft Defender for Cloud, Microsoft Security Exposure Management, Microsoft Defender for Cloud Apps, Microsoft Sentinel data lake

Tento článek popisuje, jak vytvořit vlastní role v Microsoft Defender sjednoceného řízení přístupu na základě role (RBAC). Microsoft Defender sjednocené řízení přístupu na základě role umožňuje vytvářet vlastní role se specifickými oprávněními a přiřazovat je uživatelům nebo skupinám, což umožňuje podrobnou kontrolu nad přístupem k prostředí Microsoft Defender portálu.

Ve verzi Preview se podporuje vytváření vlastních rolí pro Microsoft Sentinel Data Lake.

Požadavky

Pokud chcete vytvořit vlastní role v Microsoft Defender sjednoceného řízení přístupu na základě role, musíte mít přiřazenou jednu z následujících rolí nebo oprávnění:

  • Alespoň Správce zabezpečení v Microsoft Entra ID.
  • Všechna oprávnění autorizace přiřazená v Microsoft Defender XDR Unified RBAC

Další informace o oprávněních najdete v tématu Požadavky na oprávnění.

Pokud chcete vytvořit vlastní role pro Microsoft Sentinel Data Lake pomocí skupiny oprávnění Operace zabezpečení nebo Operace s daty, musíte mít povolený pracovní prostor služby Log Analytics pro Microsoft Sentinel a onboardovaný na portálu Defender.

Vytvoření vlastní role

Následující postup popisuje, jak vytvořit vlastní role na portálu Microsoft Defender.

  1. Přihlaste se k portálu Microsoft Defender. V navigačním podokně na straně se posuňte dolů a vyberte Oprávnění.

  2. Na stránce Oprávnění v části Microsoft Defender XDR vyberte Role>Vytvořit vlastní roli.

  3. V průvodci, který se otevře, zadejte na kartě Základy název role a volitelný popis a pak vyberte Další.

  4. Na stránce Zvolit oprávnění vyberte podle potřeby každou z následujících možností a nakonfigurujte oprávnění pro danou oblast:

    • Operace zabezpečení: Oprávnění pro role, které spravují každodenní operace a reagují na incidenty a rady.
    • Stav zabezpečení: Oprávnění pro role, které spravují stav zabezpečení organizace a provádějí Defender Správa zranitelností.
    • Autorizace a nastavení: Oprávnění pro role, které upravují konfigurace portálu, jako je autorizace, nastavení zabezpečení a nastavení systému.
    • Operace s daty (Preview): Oprávnění ke správě dat zabezpečení organizace a řízení pokročilých analytických oprávnění. Podporuje se pro shromažďování dat Microsoft Sentinel Data Lake.

    Najeďte myší na sloupec popis u každé skupiny oprávnění a zobrazte podrobný popis oprávnění dostupných v této skupině.

    Pro každou skupinu oprávnění, kterou vyberete, se otevře další podokno Autorizace a nastavení , kde můžete zvolit konkrétní oprávnění, která chcete roli přiřadit.

    Pokud vyberete Všechna oprávnění jen pro čtení nebo Všechna oprávnění ke čtení a správě, všechna nová oprávnění přidaná do těchto kategorií se automaticky přiřazují také v rámci této role.

    Další informace najdete v tématu Oprávnění v Microsoft Defender sjednocené řízení přístupu na základě role (RBAC).

  5. Až skončíte s přiřazením oprávnění pro každou skupinu oprávnění, vyberte Použít a pak další a pokračujte k další skupině oprávnění.

    Poznámka

    Pokud jsou přiřazena všechna oprávnění jen pro čtení nebo všechna oprávnění ke čtení a správě, všechna nová oprávnění přidaná do této kategorie v budoucnu se automaticky přiřadí pod tuto roli.

    Pokud jste přiřadili vlastní oprávnění a do této kategorie se přidají nová oprávnění, budete muset v případě potřeby znovu přiřadit role s novými oprávněními.

  6. Po výběru oprávnění pro libovolnou příslušnou skupinu oprávnění vyberte Použít a pak Další a přiřaďte uživatele a zdroje dat.

  7. Na stránce Přiřadit uživatele a zdroje dat vyberte Přidat přiřazení.

    1. V bočním podokně Přidat přiřazení zadejte následující podrobnosti:

      • Název přiřazení: Zadejte popisný název přiřazení.
      • Zaměstnanci: Vyberte Microsoft Entra skupiny zabezpečení nebo jednotlivé uživatele a přiřaďte uživatele k roli.
      • Zdroje dat: Vyberte rozevírací seznam Zdroje dat a pak vyberte služby, ve kterých budou mít přiřazení uživatelé vybraná oprávnění. Pokud jste jednomu zdroji dat, například Microsoft Defender for Endpoint, přiřadili oprávnění jen pro čtení, nemůžou přiřazení uživatelé číst upozornění v jiných službách, například Microsoft Defender pro Office 365 nebo Microsoft Defender for Identity.
      • Shromažďování dat: Uživatelům přiřazeným v tomto přiřazení je možné udělit oprávnění buď ve všech dostupných Sentinel pracovních prostorech, nebo jenom vybraným pracovním prostorům. Pokud se například vytvoří role s oprávněním Operace zabezpečení – oprávnění jen pro čtení, může mít jeden tým přiřazenou tuto roli pro US-Workspace a UK-Workspace, což mu umožní přístup ke všem výstrahám z těchto zdrojů. Pro stejnou roli je možné vytvořit další přiřazení, které jinému týmu v organizaci poskytne přístup pouze k UK-Workspace výstrah z Sentinel uk-Workspace.

    2. Vyberte Zahrnout budoucí zdroje dat automaticky, pokud chcete zahrnout všechny ostatní zdroje dat podporované jednotným řízením přístupu na základě role Microsoft Defender. Pokud je tato možnost vybraná, všechny budoucí zdroje dat přidané pro sjednocenou podporu RBAC se také automaticky přidají do přiřazení.

    3. V oblasti Kolekce dat v bočním podokně Přidat přiřazení je ve výchozím nastavení uvedena Microsoft Sentinel výchozí data lake. Výběrem možnosti Upravit odeberte přístup k datovému jezeru nebo definujte vlastní výběr datového jezera.

    Poznámka

    V Microsoft Defender sjednocené řízení přístupu na základě role můžete v rámci stejné role se stejnými oprávněními vytvořit libovolný počet přiřazení. Můžete mít například přiřazení v rámci role, která má přístup ke všem zdrojům dat, a potom samostatné přiřazení pro tým, který potřebuje přístup pouze k upozorněním koncového bodu ze zdroje dat Defenderu for Endpoint. To umožňuje zachovat minimální počet rolí.

  8. Zpět na stránce Přiřadit uživatele a zdroje dat vyberte Další a zkontrolujte podrobnosti role a přiřazení. Vyberte Odeslat a vytvořte roli.

Vytvoření role pro přístup k rolím a oprávněním a jejich správě

Pokud chcete získat přístup k rolím a oprávněním a spravovat je, pokud nejste alespoň správce zabezpečení v Microsoft Entra ID, vytvořte roli s autorizačními oprávněními. Vytvoření této role:

  1. Přihlaste se k portálu Microsoft Defender jako správce zabezpečení nebo vyšší.

  2. V navigačním podokně vyberte Oprávnění > Microsoft Defender XDR > Role > Vytvořit vlastní roli.

  3. Zadejte název a popis vaší role a pak vyberte Další.

  4. Vyberte Autorizace a nastavení a pak v bočním podokně Autorizace a nastavení vyberte Vybrat vlastní oprávnění.

  5. V části Autorizace vyberte jednu z následujících možností:

    • Vyberte všechna oprávnění. Uživatelé můžou vytvářet a spravovat role a oprávnění.
    • Jen pro čtení. Uživatelé můžou přistupovat k rolím a oprávněním a zobrazovat je v režimu jen pro čtení.

    Příklady:

    Snímek obrazovky se stránkou oprávnění a rolí

  6. Vyberte Použít a pak Další a přiřaďte uživatele a zdroje dat.

  7. Vyberte Přidat zadání a zadejte název zadání.

  8. Pokud chcete zvolit zdroje dat, ke kterým mají uživatelé přiřazené oprávnění k autorizaci přístup, vyberte jednu z následujících možností:

    • Zvolte všechny zdroje dat: Tím se uživatelům udělí oprávnění k vytváření nových rolí a správě rolí pro všechny zdroje dat.
    • Výběr konkrétních zdrojů dat: Tím udělíte uživatelům oprávnění k vytváření nových rolí a správě rolí pro konkrétní zdroj dat. Vyberte například Microsoft Defender for Endpoint z rozevíracího seznamu a udělte uživatelům oprávnění k autorizaci jenom pro Microsoft Defender for Endpoint zdroj dat.
    • Microsoft Sentinel shromažďování data lake: Tuto možnost vyberte, pokud chcete uživatelům udělit oprávnění k autorizaci pro Microsoft Sentinel Data Lake.

  9. V části Přiřazení uživatelé a skupiny vyberte Microsoft Entra skupiny zabezpečení nebo jednotlivé uživatele, kterým chcete přiřadit roli, a vyberte Přidat.

  10. Výběrem možnosti Další zkontrolujte a dokončete vytváření role a pak vyberte Odeslat.

Poznámka

Aby Microsoft Defender XDR portál zabezpečení začal vynucovat oprávnění a přiřazení nakonfigurovaná v nových nebo importovaných rolích, musíte aktivovat nový Microsoft Defender sjednocený model RBAC. Další informace najdete v tématu Aktivace Microsoft Defender sjednoceného řízení přístupu na základě role.

Konfigurace rolí s vymezeným oborem pro Microsoft Defender for Identity

Přístup s vymezeným oborem můžete nakonfigurovat pomocí modelu URBAC (Unified RBAC) Microsoft Defender XDR pro identity spravované službou Microsoft Defender for Identity (MDI). To vám umožní omezit přístup a viditelnost na konkrétní domény služby služba Active Directory nebo organizační jednotky, což pomáhá v souladu s odpovědností týmu a omezit zbytečné vystavení dat.

Další informace najdete v tématu Konfigurace přístupu s vymezeným oborem pro Microsoft Defender for Identity.

Konfigurace rolí s vymezeným oborem pro Microsoft Defender for Cloud

Přístup s vymezeným oborem můžete nakonfigurovat pomocí sjednoceného modelu RBAC Microsoft Defender XDR pro prostředky spravované službou Microsoft Defender for Cloud. To vám umožní omezit přístup a viditelnost na konkrétní předplatná, skupiny prostředků nebo jednotlivé prostředky. Použitím rolí s vymezeným oborem můžete zajistit, aby členové týmu viděli a spravovali pouze prostředky, které jsou relevantní pro jejich povinnosti, což snižuje zbytečné ohrožení a zlepšuje provozní zabezpečení.

Další informace najdete v tématu Správa cloudových oborů a sjednoceného řízení přístupu na základě role.

Aspekty týkající se Microsoft Defender for Endpoint skupin zařízení

Microsoft Defender for Endpoint skupiny zařízení nadále řídí viditelnost a akce jednotlivých zařízení společně s jednotným řízením přístupu na základě role. Když vytváříte nebo importujete role URBAC, přiřazení skupin zařízení určují, která zařízení přiřazená uživatelům můžou zobrazit a podle kterých se můžou chovat. Nakonfigurujte skupiny zařízení na portálu Microsoft Defender odděleně od přiřazení rolí URBAC, abyste zajistili správné vymezení rozsahu.

Další informace najdete v tématu Vytváření a správa skupin zařízení v Microsoft Defender for Endpoint.

Poznámka

V prostředích Microsoft Sentinel s více pracovními prostory řídí výběry zdrojů dat URBAC přístup k datům Sentinel pracovního prostoru na portálu Defender. Tyto možnosti nemění přístup k SYSTÉMU SIEM ani oprávnění nakonfigurovaná prostřednictvím Azure RBAC pro jednotlivé pracovní prostory. Azure řízení přístupu na základě role (RBAC) nadále řídí přímý přístup k pracovnímu prostoru mimo portál Defender.

Další kroky

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

  • Last updated on