Sdílet prostřednictvím


Skupiny rolí v programu Microsoft Defender for Identity

Microsoft Defender for Identity nabízí zabezpečení na základě rolí, které chrání data podle konkrétních potřeb zabezpečení a dodržování předpisů vaší organizace. Doporučujeme používat skupiny rolí ke správě přístupu k Defenderu for Identity, oddělení odpovědností napříč týmem zabezpečení a udělení pouze množství přístupu, které uživatelé potřebují k práci.

Jednotné řízení přístupu na základě role (RBAC)

Uživatelé, kteří už jsou globálními správci nebo správci zabezpečení na ID Microsoft Entra vašeho tenanta, jsou také automaticky defenderem pro správce identity. Globální správci Microsoft Entra a správci zabezpečení nepotřebují pro přístup k Defenderu for Identity další oprávnění.

Pro ostatní uživatele povolte a používejte řízení přístupu na základě role (RBAC) Microsoftu 365 k vytváření vlastních rolí a k podpoře dalších rolí ID Entra, jako je operátor zabezpečení nebo čtenář zabezpečení, ve výchozím nastavení ke správě přístupu k Defenderu for Identity.

Při vytváření vlastních rolí se ujistěte, že používáte oprávnění uvedená v následující tabulce:

Úroveň přístupu k Defenderu for Identity Minimální požadovaná sjednocená oprávnění RBAC v Microsoftu 365
Správci - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Uživatelé - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Diváci - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Další informace najdete v tématu Vlastní role v řízení přístupu na základě role pro XDR v programu Microsoft Defender a vytváření vlastních rolí pomocí sjednoceného řízení přístupu na základě role v programu Microsoft Defender XDR.

Poznámka:

Informace zahrnuté v protokolu aktivit Defender for Cloud Apps můžou stále obsahovat data Defenderu for Identity. Tento obsah dodržuje stávající oprávnění Defenderu for Cloud Apps.

Výjimka: Pokud jste na portálu Microsoft Defender for Cloud Apps nakonfigurovali nasazení s vymezeným oborem pro výstrahy Identity v programu Microsoft Defender for Cloud Apps, nebudou se tato oprávnění přenášet a budete muset explicitně udělit oprávnění Security Operations \ Security data \ Security data basics (read) pro příslušné uživatele portálu.

Požadovaná oprávnění Defender for Identity v XDR v programu Microsoft Defender

Následující tabulka podrobně popisuje konkrétní oprávnění požadovaná pro aktivity Defenderu for Identity v XDR v programu Microsoft Defender.

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

Aktivita Nejméně požadovaná oprávnění
Onboarding Defenderu for Identity (vytvoření pracovního prostoru) Správce zabezpečení
Konfigurace nastavení defenderu pro identitu Jedna z následujících rolí Microsoft Entra:
- Správce zabezpečení
- Operátor zabezpečení
Nebo
Následující sjednocená oprávnění RBAC:
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Zobrazení nastavení defenderu pro identitu Jedna z následujících rolí Microsoft Entra:
- Globální čtenář
- Čtenář zabezpečení
Nebo
Následující sjednocená oprávnění RBAC:
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Správa výstrah zabezpečení a aktivit služby Defender for Identity Jedna z následujících rolí Microsoft Entra:
- Operátor zabezpečení
Nebo
Následující sjednocená oprávnění RBAC:
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Zobrazení posouzení zabezpečení služby Defender for Identity
(nyní součástí služby Microsoft Secure Score)
Oprávnění pro přístup ke službě Microsoft Secure Score
And
Následující sjednocená oprávnění RBAC: Security operations/Security data /Security data basics (Read)
Zobrazení stránky Prostředky / Identity Oprávnění pro přístup k Defenderu for Cloud Apps
Nebo
Jedna z rolí Microsoft Entra vyžadovaných XDR v programu Microsoft Defender
Provedení akcí odpovědi defenderu for Identity Vlastní role definovaná s oprávněními pro odpověď (správa)
Nebo
Jedna z následujících rolí Microsoft Entra:
- Operátor zabezpečení

Skupiny zabezpečení Defenderu for Identity

Defender for Identity poskytuje následující skupiny zabezpečení, které pomáhají spravovat přístup k prostředkům Defenderu for Identity:

  • Správci Azure ATP (název pracovního prostoru)
  • Uživatelé Azure ATP (název pracovního prostoru)
  • Prohlížeče Azure ATP (název pracovního prostoru)

V následující tabulce jsou uvedené aktivity, které jsou k dispozici pro každou skupinu zabezpečení:

Aktivita Správci Azure ATP (název pracovního prostoru) Uživatelé Azure ATP (název pracovního prostoru) Prohlížeče Azure ATP (název pracovního prostoru)
Změna stavu problému dostupný Není k dispozici Není k dispozici
Změna stavu výstrah zabezpečení (opětovné otevření, zavření, vyloučení, potlačení) dostupný dostupný Není k dispozici
Odstranění pracovního prostoru dostupný Není k dispozici Není k dispozici
Stažení sestavy dostupný Dostupná dostupný
Přihlášení dostupný Dostupná dostupný
Sdílení/export výstrah zabezpečení (e-mailem, získání odkazu, podrobnosti o stažení) dostupný Dostupná dostupný
Aktualizace konfigurace Defenderu for Identity (aktualizace) dostupný Není k dispozici Není k dispozici
Aktualizace konfigurace Defenderu for Identity (značky entit, včetně citlivých i honeytokenů) dostupný dostupný Není k dispozici
Aktualizace konfigurace Defenderu for Identity (vyloučení) dostupný dostupný Není k dispozici
Aktualizace konfigurace Defenderu for Identity (jazyk) dostupný dostupný Není k dispozici
Aktualizace konfigurace Defenderu for Identity (oznámení, včetně e-mailu i syslogu) dostupný dostupný Není k dispozici
Aktualizace konfigurace Defenderu for Identity (detekce ve verzi Preview) dostupný dostupný Není k dispozici
Aktualizace konfigurace Defenderu for Identity (naplánované sestavy) dostupný dostupný Není k dispozici
Aktualizace konfigurace Defenderu for Identity (zdroje dat, včetně adresářových služeb, SIEM, VPN, Defenderu pro koncový bod) dostupný Není k dispozici Není k dispozici
Aktualizace konfigurace Defenderu for Identity (správa senzorů, včetně stahování softwaru, opětovného vygenerování klíčů, konfigurace, odstranění) dostupný Není k dispozici Není k dispozici
Zobrazení profilů entit a výstrah zabezpečení dostupný Dostupná dostupný

Přidání a odebrání uživatelů

Defender for Identity používá skupiny zabezpečení Microsoft Entra jako základ pro skupiny rolí.

Spravujte skupiny rolí ze stránky správa skupin na webu Azure Portal. Skupiny zabezpečení můžou přidávat nebo odebírat jenom uživatelé Microsoft Entra.

Další krok