Benutzerrollen und -berechtigungen
Microsoft Defender for Cloud verwendet zur Bereitstellung integrierter Rollen die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC). Sie können diese Rollen Benutzern, Gruppen und Diensten in Azure zuweisen, um Benutzern den Zugriff auf Ressourcen entsprechend dem in der Rolle vorgesehenen Zugriff zu ermöglichen.
Defender für Cloud bewertet die Konfiguration Ihrer Ressourcen, um Sicherheitsprobleme und Schwachstellen zu identifizieren. In Defender for Cloud werden nur dann Informationen zu einer Ressource angezeigt, wenn Ihnen eine der folgenden Rollen für das Abonnement oder für die Ressourcengruppe, in der sich die Ressource befindet, zugewiesen ist: „Besitzer“, „Mitwirkender“ oder „Leser“.
Zusätzlich zu den integrierten Rollen gibt es zwei spezielle Rollen für Defender für Cloud:
- Sicherheitsleseberechtigter: Ein Benutzer mit dieser Rolle hat schreibgeschützten Zugriff auf Defender for Cloud. Der Benutzer kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.
- Sicherheitsadministrator: Ein Benutzer, der dieser Rolle angehört, hat den gleichen Zugriff wie der Sicherheitsleseberechtigte und kann darüber hinaus die Sicherheitsrichtlinie aktualisieren sowie Warnungen und Empfehlungen verwerfen.
Es empfiehlt sich, den Benutzern eine Rolle zuzuweisen, die jeweils nur so viele Berechtigungen umfasst wie für die Erfüllung ihrer Aufgaben erforderlich sind. Weisen Sie die Rolle „Leser“ etwa Benutzern zu, die nur Informationen zur Sicherheitsintegrität einer Ressource anzeigen, aber keine Aktionen durchführen müssen (also beispielsweise keine Empfehlungen umsetzen oder Richtlinien bearbeiten).
Rollen und zulässige Aktionen
Die folgende Tabelle zeigt die Rollen und zulässigen Aktionen in Defender für Cloud.
| Aktion | Sicherheitsleseberechtigter / Leser |
Sicherheitsadministrator | Mitwirkender / Besitzer | Mitwirkender | Besitzer |
|---|---|---|---|---|---|
| (Ressourcengruppenebene) | (Abonnementebene) | (Abonnementebene) | |||
| Initiativen hinzufügen/zuweisen (einschließlich Standards für die Einhaltung gesetzlicher Bestimmungen) | - | ✔ | - | - | ✔ |
| Sicherheitsrichtlinie bearbeiten | - | ✔ | - | - | ✔ |
| Aktivieren/Deaktivieren von Microsoft Defender-Plänen | - | ✔ | - | ✔ | ✔ |
| Warnungen verwerfen | - | ✔ | - | ✔ | ✔ |
| Anwenden von Sicherheitsempfehlungen für eine Ressource (und Verwenden von Beheben) | - | - | ✔ | ✔ | ✔ |
| Warnungen und Empfehlungen anzeigen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Ausgenommene Sicherheitsempfehlungen | - | ✔ | - | - | ✔ |
Die spezifische Rolle, die für die Bereitstellung von Überwachungskomponenten erforderlich ist, hängt von der Erweiterung ab, die Sie bereitstellen. Erfahren Sie mehr über Überwachungskomponenten.
Rollen zum automatischen Bereitstellen von Agents und Erweiterungen
Damit die Rolle „Sicherheitsadministrator“ in Defender for Cloud-Plänen verwendete Agents und Erweiterungen automatisch bereitstellen kann, wird von Defender for Cloud die Richtlinienwartung auf ähnliche Weise wie von Azure Policy verwendet. Um die Wartung zu nutzen, muss Defender for Cloud Dienstprinzipale (auch als verwaltete Identitäten bezeichnet) erstellen, die Rollen auf Abonnementebene zuweisen. Beispielsweise sind die Dienstprinzipale für den Defender for Containers-Plan wie folgt:
| Dienstprinzipal | Rollen |
|---|---|
| Defender for Containers: Bereitstellen des AKS-Sicherheitsprofils | • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender • Mitwirkender für Azure Kubernetes Service • Log Analytics-Mitwirkender |
| Defender for Containers stellt Arc-fähige Kubernetes bereit | • Mitwirkender für Azure Kubernetes Service • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender • Log Analytics-Mitwirkender |
| Bereitstellung von Defender for Containers: Azure Policy für Kubernetes | • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender • Mitwirkender für Azure Kubernetes Service |
| Richtlinienerweiterung für die Bereitstellung von Defender for Containers für Arc-fähiges Kubernetes | • Mitwirkender für Azure Kubernetes Service • Mitwirkender für Kubernetes-Erweiterungen • Mitwirkender |
Nächste Schritte
In diesem Artikel wurde erläutert, wie Defender für Cloud Azure RBAC verwendet, um Benutzern Berechtigungen zuzuweisen und die zulässigen Aktionen für jede Rolle zu identifizieren. Informieren Sie sich als Nächstes über Folgendes, nachdem Sie sich mit den Rollenzuweisungen zum Überwachen des Sicherheitszustands Ihres Abonnements, Bearbeiten von Sicherheitsrichtlinien und Anwenden von Empfehlungen vertraut gemacht haben: