Administración del acceso al portal mediante el control de acceso basado en rol

Nota

Si ejecuta el programa de Microsoft Defender XDR versión preliminar, ahora puede experimentar el nuevo modelo de control de acceso basado en rol (RBAC) unificado Microsoft Defender 365. Para obtener más información, consulte Microsoft Defender control de acceso basado en rol unificado (RBAC) 365.

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Con el control de acceso basado en rol (RBAC), puede crear roles y grupos dentro del equipo de operaciones de seguridad para conceder el acceso adecuado al portal. En función de los roles y grupos que cree, tiene un control específico sobre lo que los usuarios con acceso al portal pueden ver y hacer.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Los equipos de operaciones de seguridad distribuidas geográficamente de gran tamaño suelen adoptar un modelo basado en niveles para asignar y autorizar el acceso a los portales de seguridad. Los niveles típicos incluyen los tres niveles siguientes:

Nivel Descripción
Nivel 1 Equipo de operaciones de seguridad local/equipo de TI
Este equipo suele evaluar e investigar las alertas contenidas en su geolocalización y se escala al nivel 2 en los casos en los que se requiere una corrección activa.
Nivel 2 Equipo de operaciones de seguridad regional
Este equipo puede ver todos los dispositivos de su región y realizar acciones de corrección.
Nivel 3 Equipo de operaciones de seguridad global
Este equipo está formado por expertos en seguridad y está autorizado para ver y realizar todas las acciones desde el portal.

Nota

En el caso de los recursos de nivel 0, consulte Privileged Identity Management para que los administradores de seguridad proporcionen un control más pormenorizado de Microsoft Defender para punto de conexión y Microsoft Defender XDR.

RBAC de Defender para punto de conexión está diseñado para admitir el modelo de nivel o basado en rol que prefiera y proporciona un control pormenorizado sobre qué roles pueden ver, los dispositivos a los que pueden acceder y las acciones que pueden realizar. El marco de RBAC se centra en los siguientes controles:

  • Controlar quién puede realizar una acción específica
    • Cree roles personalizados y controle a qué funcionalidades de Defender para punto de conexión pueden acceder con granularidad.
  • Controlar quién puede ver información sobre grupos o grupos de dispositivos específicos
    • Cree grupos de dispositivos por criterios específicos, como nombres, etiquetas, dominios y otros, y, a continuación, concédales acceso de rol mediante un grupo de usuarios Microsoft Entra específico.

      Nota

      La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Para implementar el acceso basado en rol, deberá definir roles de administrador, asignar los permisos correspondientes y asignar Microsoft Entra grupos de usuarios asignados a los roles.

Antes de empezar

Antes de usar RBAC, es importante que comprenda los roles que pueden conceder permisos y las consecuencias de activar RBAC.

Advertencia

Antes de habilitar la característica, es importante que tenga un rol adecuado, como Administrador de seguridad asignado en Microsoft Entra ID, y que tenga los grupos de Microsoft Entra listos para reducir el riesgo de que se bloquee el portal.

La primera vez que inicie sesión en el portal de Microsoft Defender, se le concederá acceso completo o acceso de solo lectura. Los derechos de acceso completo se conceden a los usuarios con el rol Administrador de seguridad en Microsoft Entra ID. El acceso de solo lectura se concede a los usuarios con un rol lector de seguridad en Microsoft Entra ID.

Alguien con un rol de administrador global de Defender para punto de conexión tiene acceso sin restricciones a todos los dispositivos, independientemente de su asociación de grupos de dispositivos y de las asignaciones de grupos de usuarios Microsoft Entra.

Advertencia

Inicialmente, solo los usuarios con derechos de administrador global o administrador de seguridad de Microsoft Entra pueden crear y asignar roles en el portal de Microsoft Defender; por lo tanto, es importante tener los grupos adecuados listos en Microsoft Entra ID.

La activación del control de acceso basado en rol hace que los usuarios con permisos de solo lectura (por ejemplo, los usuarios asignados a Microsoft Entra rol lector de seguridad) pierdan el acceso hasta que se asignen a un rol.

A los usuarios con permisos de administrador se les asigna automáticamente el rol de administrador global integrado predeterminado de Defender para punto de conexión con permisos completos. Después de participar en el uso de RBAC, puede asignar usuarios adicionales que no estén Microsoft Entra administradores globales o administradores de seguridad al rol De administrador global de Defender para punto de conexión.

Después de participar en el uso de RBAC, no puede revertir a los roles iniciales como cuando inició sesión por primera vez en el portal.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.