Správa přístupu k portálu pomocí řízení přístupu na základě role
Poznámka
Pokud používáte program Microsoft Defender XDR Preview, můžete si teď vyzkoušet nový model Microsoft Defender 365 Sjednocené řízení přístupu na základě role (RBAC). Další informace najdete v tématu Microsoft Defender 365 Sjednocené řízení přístupu na základě role (RBAC).
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Entra ID
- Office 365
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Pomocí řízení přístupu na základě role (RBAC) můžete vytvořit role a skupiny v rámci týmu operací zabezpečení a udělit tak odpovídající přístup k portálu. Na základě rolí a skupin, které vytvoříte, máte podrobnou kontrolu nad tím, co uživatelé s přístupem k portálu můžou zobrazit a dělat.
Velké geograficky distribuované provozní týmy zabezpečení obvykle používají model založený na vrstvě, který přiřazuje a autorizuje přístup k portálům zabezpečení. Typické úrovně zahrnují následující tři úrovně:
| Vrstvy | Popis |
|---|---|
| Vrstva 1 | Místní bezpečnostní provozní tým / IT tým Tento tým obvykle určuje a prošetřuje výstrahy obsažené v jejich geografické poloze a eskaluje na vrstvu 2 v případech, kdy je vyžadována aktivní náprava. |
| Vrstva 2 | Regionální tým bezpečnostních operací Tento tým může zobrazit všechna zařízení pro svou oblast a provádět nápravné akce. |
| Vrstva 3 | Globální tým pro operace zabezpečení Tento tým se skládá z odborníků na zabezpečení a má oprávnění zobrazovat a provádět všechny akce z portálu. |
Poznámka
Informace o prostředcích vrstvy 0 najdete v části Privileged Identity Management pro správce zabezpečení, které poskytují podrobnější kontrolu nad Microsoft Defender for Endpoint a Microsoft Defender XDR.
Defender for Endpoint RBAC je navržený tak, aby podporoval vámi zvolený model založený na vrstvách nebo rolích a poskytuje podrobnou kontrolu nad tím, jaké role můžou zobrazit, zařízení, ke kterým mají přístup, a nad akcemi, které můžou provádět. Architektura RBAC se soustředí na následující ovládací prvky:
- Určení, kdo může provést konkrétní akci
- Create vlastní role a řídit, k jakým funkcím Defenderu for Endpoint mají přístup s odstupňovaným přístupem.
- Určení, kdo může zobrazit informace o konkrétní skupině nebo skupinách zařízení
Create skupiny zařízení podle konkrétních kritérií, jako jsou názvy, značky, domény a další, a pak jim udělte přístup rolí pomocí konkrétní Microsoft Entra skupiny uživatelů.
Poznámka
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Pokud chcete implementovat přístup na základě role, budete muset definovat role správce, přiřadit odpovídající oprávnění a přiřadit Microsoft Entra skupin uživatelů přiřazených k rolím.
Než začnete
Než použijete RBAC, je důležité pochopit role, které můžou udělit oprávnění, a důsledky zapnutí RBAC.
Upozornění
Před povolením této funkce je důležité, abyste v Microsoft Entra ID měli roli globálního správce nebo správce zabezpečení a měli připravené skupiny Microsoft Entra, abyste snížili riziko zablokování portálu.
Když se poprvé přihlásíte k portálu Microsoft Defender, získáte buď úplný přístup, nebo přístup jen pro čtení. Úplná přístupová práva se udělují uživatelům s rolí Správce zabezpečení nebo Globální správce v Microsoft Entra ID. Přístup jen pro čtení je udělen uživatelům s rolí Čtenář zabezpečení v Microsoft Entra ID.
Uživatel s rolí Globální správce Defender for Endpoint má neomezený přístup ke všem zařízením bez ohledu na přidružení skupiny zařízení a přiřazení skupin uživatelů Microsoft Entra.
Upozornění
Zpočátku budou moct vytvářet a přiřazovat role na portálu Microsoft Defender jenom ti, kteří mají Microsoft Entra oprávnění globálního správce nebo správce zabezpečení, proto je důležité mít v Microsoft Entra ID připravené správné skupiny.
Zapnutí řízení přístupu na základě role způsobí, že uživatelé s oprávněními jen pro čtení (například uživatelé s přiřazenou rolí čtenáře zabezpečení Microsoft Entra) ztratí přístup, dokud nebudou přiřazeni k roli.
Uživatelům s oprávněními správce se automaticky přiřadí výchozí integrovaná role globálního správce Defenderu for Endpoint s úplnými oprávněními. Po vyjádření souhlasu s používáním řízení přístupu na základě role globálního správce služby Defender for Endpoint můžete přiřadit další uživatele, kteří nejsou Microsoft Entra globální správci nebo správci zabezpečení.
Po vyjádření souhlasu s používáním RBAC se nemůžete vrátit k počátečním rolím, jako když jste se poprvé přihlásili k portálu.
Související téma
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro