Roolipohjaisen käytön hallinnan (RBAC) avulla voit luoda rooleja ja ryhmiä käyttöoikeustoimintatiimissäsi ja myöntää portaaliin asianmukaiset käyttöoikeudet. Luodessasi rooleissa ja ryhmissä voit hallita tarkasti, mitä käyttäjät, joilla on portaalin käyttöoikeus, voivat nähdä ja tehdä.
Tärkeä
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Suuret maantieteellisesti hajautetut suojaustoiminnot käyttävät yleensä tasopohjaista mallia suojausportaalien käyttöoikeuksien määrittämiseksi ja valtuuttamiseksi. Tyypillisiä tasoja ovat seuraavat kolme tasoa:
Kerros
Kuvaus
Taso 1
Paikallinen suojaustiimi / IT-tiimi Tämä tiimi yleensä lajittelee ja tutkii niiden maantieteelliseen sijaintiin sisältyvät hälytykset ja eskaloi ne tasolle 2 tapauksissa, joissa tarvitaan aktiivista korjausta.
Taso 2
Alueellinen turvallisuusryhmä Tämä tiimi voi tarkastella alueensa kaikkia laitteita ja suorittaa korjaustoimia.
Taso 3
Globaalin suojauksen toimintoryhmä Tämä ryhmä koostuu suojausasiantuntijoista, ja sillä on oikeus nähdä ja suorittaa kaikki toiminnot portaalissa.
Huomautus
Katso tason 0 resurssit kohdasta suojauksen järjestelmänvalvojien Privileged Identity Management, jotta he voivat hallita Microsoft Defender for Endpoint ja Microsoft Defender XDR tarkemmin.
Defender for Endpoint RBAC on suunniteltu tukemaan valitsemaasi taso- tai roolipohjaista mallia, ja sen avulla voit hallita, mitä rooleja voi nähdä, mitä laitteita he voivat käyttää, ja toimintoja, joita he voivat suorittaa. RBAC-kehys keskittyy seuraaviin ohjausobjekteihin:
Määritä, ketkä voivat suorittaa tiettyjä toimia
Luo mukautettuja rooleja ja hallitse sitä, mitä Defender for Endpoint -ominaisuuksia he voivat käyttää askelvälillä.
Määrittää, ketkä voivat nähdä tietoja tietystä laiteryhmästä tai ryhmistä
Luo laiteryhmiä tiettyjen ehtojen, kuten nimien, tunnisteiden, toimialueiden ja muiden ehtojen avulla ja myönnä heille roolikäyttöoikeudet käyttämällä tiettyä Microsoft Entra käyttäjäryhmälle.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
Jos haluat ottaa käyttöön roolipohjaisen käyttöoikeuden, sinun on määritettävä järjestelmänvalvojan roolit, määritettävä vastaavat käyttöoikeudet ja määritettävä Microsoft Entra käyttäjäryhmiä, joille on määritetty roolit.
Alkuvalmistelut
Ennen RBAC:n käyttöä on tärkeää, että ymmärrät roolit, jotka voivat myöntää käyttöoikeuksia, ja RBAC:n käyttöön ottaminen.
Varoitus
Ennen ominaisuuden käyttöönottoa on tärkeää, että sinulla on asianmukainen rooli, kuten Microsoft Entra ID määritetty suojauksen järjestelmänvalvoja, ja että Microsoft Entra ryhmät ovat valmiita vähentämään portaalista lukituksen vaaraa.
Kun kirjaudut Microsoft Defender portaaliin ensimmäistä kertaa, saat joko täydet käyttöoikeudet tai vain luku -oikeudet. Täydet käyttöoikeudet myönnetään käyttäjille, joilla on suojauksen järjestelmänvalvojan rooli Microsoft Entra ID. Vain luku -käyttöoikeus myönnetään käyttäjille, joilla on suojauksen lukija -rooli Microsoft Entra ID.
Käyttäjällä, jolla on Defender for Endpointin yleisen järjestelmänvalvojan rooli, on rajoittamaton käyttöoikeus kaikkiin laitteisiin riippumatta laiteryhmän kytkennästä ja käyttäjäryhmien määritysten Microsoft Entra.
Varoitus
Aluksi vain ne, joilla on Microsoft Entra yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan oikeudet, voivat luoda ja määrittää rooleja Microsoft Defender portaalissa. Siksi oikeiden ryhmien valmisteleminen Microsoft Entra ID on tärkeää.
Jos otat käyttöön roolipohjaisen käytön hallinnan, käyttäjät, joilla on vain luku -oikeudet (esimerkiksi käyttäjät, joille on määritetty Microsoft Entra käyttöoikeuslukijan rooli), menettävät käyttöoikeutensa, kunnes heille on määritetty rooli.
Käyttäjille, joilla on järjestelmänvalvojan oikeudet, määritetään automaattisesti oletusmuotoinen Defender for Endpointin yleinen järjestelmänvalvoja -rooli, jolla on täydet käyttöoikeudet. Kun olet päättänyt käyttää RBAC:tä, voit määrittää muita käyttäjiä, jotka eivät ole Microsoft Entra yleisiä järjestelmänvalvojia tai suojauksen järjestelmänvalvojia Defender for Endpointin yleisen järjestelmänvalvojan rooliin.
Kun olet valinnut RBAC:n käyttöön, et voi palata alkuperäisiin rooleihin kirjautuessasi portaaliin ensimmäisen kerran.