Administración del acceso a Microsoft 365 Defender con roles globales de Azure Active Directory

Nota:

Si ejecuta el programa de Microsoft 365 Defender versión preliminar, ahora puede experimentar el nuevo modelo de control de acceso basado en rol (RBAC) Microsoft Defender 365. Para obtener más información, consulte Microsoft Defender control de acceso basado en rol (RBAC) 365.

Se aplica a:

  • Microsoft 365 Defender

Nota:

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Hay dos maneras de administrar el acceso a Microsoft 365 Defender:

  • Roles globales de Azure Active Directory (AD)
  • Acceso a roles personalizados

Las cuentas asignadas a los siguientes roles globales de Azure Active Directory (AD) pueden acceder a Microsoft 365 Defender funcionalidad y datos:

  • Administrador global
  • Administrador de seguridad
  • Operador de seguridad
  • Lector global
  • Lector de seguridad

Para revisar las cuentas con estos roles, vea Permisos en el portal de Microsoft 365 Defender.

El acceso a roles personalizados es una funcionalidad de Microsoft 365 Defender que permite administrar el acceso a datos, tareas y funcionalidades específicos en Microsoft 365 Defender. Los roles personalizados ofrecen más control que los roles globales de Azure AD, lo que proporciona a los usuarios solo el acceso que necesitan con los roles menos permisivos necesarios. Los roles personalizados se pueden crear además de los roles globales de Azure AD. Obtenga más información sobre los roles personalizados.

Nota:

Este artículo solo se aplica a la administración de roles globales de Azure Active Directory. Para obtener más información sobre el uso del control de acceso basado en rol personalizado, consulte Roles personalizados para el control de acceso basado en rol.

Acceso a la funcionalidad

El acceso a la funcionalidad específica está determinado por el de roles de de Azure AD. Póngase en contacto con un administrador global si necesita tener acceso a funciones específicas que requieren que usted o el grupo de usuarios tenga asignado un nuevo rol.

Aprobar tareas automatizadas pendientes

Investigación y corrección automatizadaspuede actuar en los mensajes de correo electrónico, las reglas de reenvío, los archivos, los mecanismos de persistencia y otros artefactos presentes durante las investigaciones. Para aprobar o rechazar acciones pendientes que requieran aprobación explícita, debe tener determinadas funciones asignadas en Microsoft 365. Para obtener más información, consulte permisos del centro de actividades.

Acceso a datos

El acceso a Microsoft 365 Defender datos se puede controlar mediante el ámbito asignado a grupos de usuarios en Microsoft Defender para punto de conexión control de acceso basado en rol (RBAC). Si el acceso no se ha limitado a un conjunto específico de dispositivos en Defender para punto de conexión, tendrá acceso total a los datos en Microsoft 365 Defender. Sin embargo, una vez que su cuenta está en el ámbito, solo verá los datos de los dispositivos de su ámbito.

Por ejemplo, si solo pertenece a un grupo de usuarios con un rol de Microsoft Defender para punto de conexión y a ese grupo de usuarios solo se le ha dado acceso a los dispositivos de ventas, solo verá datos sobre los dispositivos de ventas en Microsoft 365 Defender. Más información sobre la configuración de RBAC en Microsoft Defender para punto de conexión

Microsoft Defender for Cloud Apps controles de acceso

Durante la versión preliminar, Microsoft 365 Defender no aplica controles de acceso basados en la configuración de Defender for Cloud Apps. El acceso a Microsoft 365 Defender datos no se ve afectado por esta configuración.