Portaalin käyttöoikeuksien hallinta roolipohjaisella käytön hallinnalla
Huomautus
Jos suoritat Microsoft Defender XDR -esiversio-ohjelmaa, voit nyt käyttää uutta Microsoft Defender 365 Unified -roolipohjaisen käytön hallintamallia (RBAC). Lisätietoja on artikkelissa Microsoft Defender 365 Unified role-based access control (RBAC) -käyttöoikeus.
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Entra ID
- Office 365
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Roolipohjaisen käytön hallinnan (RBAC) avulla voit luoda rooleja ja ryhmiä käyttöoikeustoimintatiimissäsi ja myöntää portaaliin asianmukaiset käyttöoikeudet. Luodessasi rooleissa ja ryhmissä voit hallita tarkasti, mitä käyttäjät, joilla on portaalin käyttöoikeus, voivat nähdä ja tehdä.
Suuret maantieteellisesti hajautetut suojaustoiminnot käyttävät yleensä tasopohjaista mallia suojausportaalien käyttöoikeuksien määrittämiseksi ja valtuuttamiseksi. Tyypillisiä tasoja ovat seuraavat kolme tasoa:
| Tier | Kuvaus |
|---|---|
| Taso 1 | Paikallinen suojaustiimi / IT-tiimi Tämä tiimi yleensä lajittelee ja tutkii niiden maantieteelliseen sijaintiin sisältyvät hälytykset ja eskaloi ne tasolle 2 tapauksissa, joissa tarvitaan aktiivista korjausta. |
| Taso 2 | Alueellinen turvallisuusryhmä Tämä tiimi voi tarkastella alueensa kaikkia laitteita ja suorittaa korjaustoimia. |
| Taso 3 | Globaalin suojauksen toimintoryhmä Tämä ryhmä koostuu suojausasiantuntijoista, ja sillä on oikeus nähdä ja suorittaa kaikki toiminnot portaalissa. |
Huomautus
Katso tason 0 resurssit kohdasta suojauksen järjestelmänvalvojien Privileged Identity Management, jotta he voivat hallita Microsoft Defender for Endpoint ja Microsoft Defender XDR tarkemmin.
Defender for Endpoint RBAC on suunniteltu tukemaan valitsemaasi taso- tai roolipohjaista mallia, ja sen avulla voit hallita, mitä rooleja voi nähdä, mitä laitteita he voivat käyttää, ja toimintoja, joita he voivat suorittaa. RBAC-kehys keskittyy seuraaviin ohjausobjekteihin:
- Määritä, ketkä voivat suorittaa tiettyjä toimia
- Create mukautettuja rooleja ja hallita sitä, mitä Defender for Endpoint -ominaisuuksia he voivat käyttää askelvälillä.
- Määrittää, ketkä voivat nähdä tietoja tietystä laiteryhmästä tai ryhmistä
Create laiteryhmiä tiettyjen ehtojen, kuten nimien, tunnisteiden, toimialueiden ja muiden ehtojen mukaan, ja myönnä heille roolikäyttöoikeudet käyttämällä tiettyä Microsoft Entra käyttäjäryhmää.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
Jos haluat ottaa käyttöön roolipohjaisen käyttöoikeuden, sinun on määritettävä järjestelmänvalvojan roolit, määritettävä vastaavat käyttöoikeudet ja määritettävä Microsoft Entra käyttäjäryhmiä, joille on määritetty roolit.
Alkuvalmistelut
Ennen RBAC:n käyttöä on tärkeää, että ymmärrät roolit, jotka voivat myöntää käyttöoikeuksia, ja RBAC:n käyttöön ottaminen.
Varoitus
Ennen ominaisuuden käyttöönottoa on tärkeää, että sinulla on yleinen järjestelmänvalvojan rooli tai suojauksen järjestelmänvalvojan rooli Microsoft Entra ID ja että Microsoft Entra ryhmät ovat valmiita vähentämään portaalista lukituksen vaaraa.
Kun kirjaudut Microsoft Defender portaaliin ensimmäistä kertaa, saat joko täydet käyttöoikeudet tai vain luku -oikeudet. Täydet käyttöoikeudet myönnetään Microsoft Entra ID käyttäjille, joilla on suojauksen järjestelmänvalvojan tai yleisen järjestelmänvalvojan rooli. Vain luku -käyttöoikeus myönnetään käyttäjille, joilla on suojauksen lukija -rooli Microsoft Entra ID.
Jollain, jolla on Defender for Endpoint yleinen järjestelmänvalvoja -rooli, on rajoittamaton käyttöoikeus kaikkiin laitteisiin laiteryhmän kytkennästä ja käyttäjäryhmämääritysten Microsoft Entra riippumatta.
Varoitus
Aluksi vain ne, joilla on Microsoft Entra yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan oikeudet, voivat luoda ja määrittää rooleja Microsoft Defender-portaalissa, joten oikeiden ryhmien valmisteleminen Microsoft Entra ID on tärkeää.
Jos otat käyttöön roolipohjaisen käytön hallinnan, käyttäjät, joilla on vain luku -oikeudet (esimerkiksi käyttäjät, joille on määritetty Microsoft Entra suojauksen lukijaroolin) menettävät käyttöoikeutensa, kunnes heille on määritetty rooli.
Käyttäjille, joilla on järjestelmänvalvojan oikeudet, määritetään automaattisesti oletusarvoinen sisäinen Defender for Endpointin yleinen järjestelmänvalvoja -rooli, jolla on täydet käyttöoikeudet. Kun olet valinnut RBAC:n käyttöön, voit määrittää lisäkäyttäjiä, jotka eivät ole Microsoft Entra yleisiä tai suojauksen järjestelmänvalvojia, Defender for Endpointin yleisen järjestelmänvalvojan rooliin.
Kun olet valinnut RBAC:n käyttöön, et voi palata alkuperäisiin rooleihin kirjautuessasi portaaliin ensimmäisen kerran.
Aiheeseen liittyvä aihe
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle