Rollengruppen von Microsoft Defender for Identity
Microsoft Defender for Identity bietet rollenbasierte Sicherheit zum Schutz von Daten gemäß den spezifischen Sicherheits- und Complianceanforderungen eines organization. Defender for Identity unterstützt drei separate Rollen: Administratoren, Benutzer und Viewer.
Rollengruppen ermöglichen die Zugriffsverwaltung für Defender for Identity. Mithilfe von Rollengruppen können Sie Aufgaben innerhalb Ihres Sicherheitsteams aufteilen und nur den Zugriff gewähren, den Benutzer für ihre Aufgaben benötigen. In diesem Artikel wird die Zugriffsverwaltung, die Rollenautorisierung von Defender for Identity erläutert und Sie beim Einstieg in Rollengruppen in Defender for Identity unterstützt.
Hinweis
Jeder globale Administrator oder Sicherheitsadministrator im Azure Active Directory des Mandanten ist automatisch ein Defender for Identity-Administrator.
Einheitliche rollenbasierte Zugriffssteuerung (RBAC)
Sie können jetzt eine präzisere rollenbasierte Zugriffssteuerung über das Microsoft 365-Portal aktivieren, anstatt die Azure AD-Gruppen von Defender for Identity zu verwenden. Weitere Informationen finden Sie unter Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft 365 Defender.
Hinweis
Nach der Aktivierung können Sie vorhandene Defender for Identity-Rollen in das neue Format migrieren. Wenn Sie jedoch neue Rollen ändern oder hinzufügen, müssen sie diese Berechtigungen der Rollentabelle zuordnen, um auf die klassische Defender for Identity-Benutzeroberfläche zugreifen zu können.
| Entsprechende Defender for Identity-Rolle | Erforderliche Microsoft 365 Unified RBAC-Berechtigungen |
|---|---|
| MDI-Admin | Autorisierung und Einstellungen/Sicherheitseinstellungen/Lesen Autorisierung und Einstellungen/Sicherheitseinstellungen/Alle Berechtigungen Autorisierung und Einstellungen/Systemeinstellungen/Lesen Autorisierung und Einstellungen/Systemeinstellungen/Alle Berechtigungen Sicherheitsvorgänge/Sicherheitsdaten/Warnungen (verwalten) Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen) Autorisierung und Einstellungen/Autorisierung/Alle Berechtigungen Autorisierung und Einstellungen/Autorisierung/Lesen |
| MDI-Benutzer | Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen) Autorisierung und Einstellungen/Systemeinstellungen/Lesen Autorisierung und Einstellungen/Sicherheitseinstellungen/Lesen Sicherheitsvorgänge/Sicherheitsdaten/Warnungen (verwalten) microsoft.xdr/configuration/security/manage |
| MDI-Viewer | Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen) Autorisierung und Einstellungen/Systemeinstellungen/Lesen Autorisierung und Einstellungen/Sicherheitseinstellungen/Lesen |
Hinweis
Informationen aus dem Defender for Cloud Apps-Aktivitätsprotokoll enthalten möglicherweise weiterhin Defender for Identity-Daten, die vorhandenen Defender für Cloud Apps-Berechtigungen entsprechen.
Erforderliche Berechtigungen für die Microsoft 365 Defender-Benutzeroberfläche
Für den Zugriff auf die Defender for Identity-Benutzeroberfläche in Microsoft 365 Defender benötigen Sie die folgenden Berechtigungen:
| Aktionen in Microsoft 365 Defender | Erforderliche Berechtigungen |
|---|---|
| Erstellen eines MDI-Arbeitsbereichs | Mitglied einer der folgenden Azure AD-Rollen: |
| MDI-Einstellungen | Mitglied einer der folgenden Azure AD-Rollen: Oder Einheitliche RBAC-Berechtigungen: |
| MDI-Sicherheitswarnungen und -aktivitäten | Mitglied einer der Azure AD-Rollen gemäß Microsoft 365 Defender Oder Einheitliche RBAC-Berechtigungen: |
| MDI-Sicherheitsbewertungen (jetzt Teil der Microsoft-Sicherheitsbewertung) |
Berechtigungen für den Zugriff auf die Microsoft-Sicherheitsbewertung Und Einheitliche RBAC-Berechtigungen: |
| Seite "Assets/Identitäten" | Berechtigungen für den Zugriff auf Defender for Cloud Apps or Mitglied einer der Azure AD-Rollen gemäß Microsoft 365 Defender |
Typen von Defender for Identity-Sicherheitsgruppen
Defender for Identity bietet drei Arten von Sicherheitsgruppen: Azure ATP-Administratoren (Arbeitsbereichsname), Azure ATP (Arbeitsbereichsname) Benutzer und Azure ATP-Viewer (Arbeitsbereichsname). In der folgenden Tabelle wird die Art des Zugriffs in Defender for Identity beschrieben, der für jede Rolle verfügbar ist. Je nachdem, welche Rolle Sie zuweisen, stehen diesen Benutzern wie folgt verschiedene Bildschirme und Optionen nicht zur Verfügung:
| Aktivität | Azure ATP-Administratoren (Arbeitsbereichsname) | Benutzer von Azure ATP (Arbeitsbereichsname) | Azure ATP-Viewer (Arbeitsbereichsname) |
|---|---|---|---|
| Ändern status von Integritätswarnungen | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Ändern status von Sicherheitswarnungen (erneut öffnen, schließen, ausschließen, unterdrücken) | Verfügbar | Verfügbar | Nicht verfügbar |
| Arbeitsbereich löschen | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Herunterladen eines Berichts | Verfügbar | Verfügbar | Verfügbar |
| Anmelden | Verfügbar | Verfügbar | Verfügbar |
| Sicherheitswarnungen für Freigeben/Exportieren (über E-Mail, Link abrufen und Download von Details) | Verfügbar | Verfügbar | Verfügbar |
| Aktualisieren von Defender für Identitätskonfiguration – Updates | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Update Defender for Identity Configuration – Entitätstags (vertraulich und Honeytoken) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren von Defender für Identitätskonfiguration – Ausschlüsse | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren von Defender für Identitätskonfiguration – Sprache | Verfügbar | Verfügbar | Nicht verfügbar |
| Update Defender for Identity Configuration – Benachrichtigungen (E-Mail und Syslog) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren von Defender für Identitätskonfiguration – Vorschauerkennungen | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren von Defender for Identity Configuration – Geplante Berichte | Verfügbar | Verfügbar | Nicht verfügbar |
| Update Defender for Identity Configuration – Datenquellen (Verzeichnisdienste, SIEM, VPN, Defender für Endpunkt) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Aktualisieren von Defender für Identitätskonfiguration – Sensoren (Herunterladen, Erneutes Generieren des Schlüssels, Konfigurieren, Löschen) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Anzeigen von Entitätsprofilen und Sicherheitswarnungen | Verfügbar | Verfügbar | Verfügbar |
Hinzufügen und Entfernen von Benutzern
Defender for Identity verwendet Azure AD-Sicherheitsgruppen als Basis für Rollengruppen. Die Rollengruppen können über die Seite Gruppenverwaltung verwaltet werden. Nur Azure AD-Benutzer können zu Sicherheitsgruppen hinzugefügt bzw. aus ihnen entfernt werden.