Asignación de roles y permisos de seguridad en Microsoft Defender para Empresas

En este artículo se describe cómo asignar roles y permisos de seguridad en Defender para empresas.

El equipo de seguridad de su organización necesita ciertos permisos para realizar tareas, como

• Configuración de Defender para empresas
• Incorporación (o eliminación) de dispositivos
• Visualización de informes sobre dispositivos y detecciones de amenazas
• Visualización de incidentes y alertas
• Realizar acciones de respuesta en amenazas detectadas

Los permisos se conceden a través de determinados roles de la Microsoft Entra ID. Estos roles se pueden asignar en el Centro de administración de Microsoft 365 o en el Centro de administración Microsoft Entra.

Qué hacer

1. Obtener información sobre los roles en Defender para Empresas.
2. Ver o editar las asignaciones de roles para el equipo de seguridad.
3. Continúe con los pasos siguientes.

Roles en Defender para empresas

En la tabla siguiente se describen los tres roles que se pueden asignar en Defender para empresas. Obtenga más información acerca de los roles de administrador.

Nivel de permisos	Descripción
Administradores globales (también conocidos como administradores globales) Como procedimiento recomendado, limite el número de administradores globales. Consulte Directrices de seguridad para asignar roles.	Los administradores globales pueden realizar todo tipo de tareas. La persona que registró su empresa para Microsoft 365 o para Defender para empresas es un administrador global de forma predeterminada. Los administradores globales suelen completar el proceso de configuración y configuración en Defender para empresas, incluidos los dispositivos de incorporación. Los administradores globales pueden modificar la configuración en todos los portales de Microsoft 365, como: - El Centro de administración de Microsoft 365 (https://admin.microsoft.com) - Microsoft Defender portal (https://security.microsoft.com)
Administradores de seguridad (también conocidos como administradores de seguridad)	Los administradores de seguridad pueden realizar las siguientes tareas: - Visualización y administración de directivas de seguridad - Visualización, respuesta y administración de alertas - Realizar acciones de respuesta en dispositivos con amenazas detectadas - Visualización de información de seguridad e informes En general, los administradores de seguridad usan el portal de Microsoft Defender (https://security.microsoft.com) para realizar tareas de seguridad.
Lector de seguridad	Los lectores de seguridad pueden realizar las siguientes tareas: - Ver una lista de dispositivos incorporados - Visualización de directivas de seguridad - Visualización de alertas y amenazas detectadas - Visualización de información de seguridad e informes Los lectores de seguridad no pueden agregar ni editar directivas de seguridad, ni tampoco pueden incorporar dispositivos.

Visualización y edición de asignaciones de roles

Importante

Microsoft recomienda conceder a los usuarios acceso solo a lo que necesitan para realizar sus tareas. A este concepto se le llama privilegio mínimo para los permisos. Para obtener más información, consulte Procedimientos recomendados para el acceso con privilegios mínimos para las aplicaciones.

Puede usar el Centro de administración de Microsoft 365 o el Centro de administración Microsoft Entra para ver y editar las asignaciones de roles.

Centro de administración de Microsoft 365

1. Vaya al Centro de administración de Microsoft 365 (https://admin.microsoft.com) e inicie sesión.

2. En el panel de navegación, vaya a Usuarios>usuarios activos.

3. Seleccione una cuenta de usuario para abrir su panel flotante.

4. En la pestaña Cuenta , en Roles, seleccione Administrar roles.

5. Para agregar o quitar un rol, use uno de los procedimientos siguientes:

   Tarea	Procedure
   Adición de un rol a una cuenta de usuario	1. Seleccione Administración acceso al centro, desplácese hacia abajo y, a continuación, expanda Mostrar todo por categoría. 2. Seleccione uno de los siguientes roles: - Administrador global (que aparece en Global) - Administrador de seguridad (que aparece en Cumplimiento de & de seguridad) - Lector de seguridad (que aparece en Solo lectura) 3. Seleccione Guardar cambios.
   Eliminación de un rol de una cuenta de usuario	1. Seleccione Usuario (sin acceso al centro de administración) para quitar todos los roles de administrador o desactive la casilla situada junto a uno o varios de los roles asignados. 2. Seleccione Guardar cambios.

Centro de administración de Microsoft Entra

1. Vaya a la Centro de administración Microsoft Entra (https://entra.microsoft.com) e inicie sesión.

2. En el panel de navegación, vaya a Usuarios>Todos los usuarios.

3. Seleccione una cuenta de usuario para abrir su perfil.

4. Para agregar o quitar un rol, use uno de los procedimientos siguientes:

   Tarea	Procedure
   Adición de un rol a una cuenta de usuario	1. En Administrar, seleccione Roles asignados y, a continuación, elija + Agregar asignaciones. 2. Búsqueda para uno de los siguientes roles, selecciónelo y, a continuación, elija Agregar para asignar ese rol a la cuenta de usuario. - Administrador global - Administrador de seguridad - Lector de seguridad
   Eliminación de un rol de una cuenta de usuario	1. En Administrar, seleccione Roles asignados. 2. Seleccione uno o varios roles administrativos y, a continuación, seleccione X Quitar asignaciones.

Pasos siguientes

• Continúe con el paso 4: Configurar notificaciones por correo electrónico para el equipo de seguridad.
• Paso 5: Incorporación de dispositivos a Microsoft Defender para Empresas