Portaalin käyttöoikeuksien hallinta roolipohjaisella käytön hallinnalla
Huomautus
Jos käytössäsi on Microsoft 365 Defender esiversio-ohjelma, voit nyt käyttää uutta Microsoft Defender 365 -roolipohjaisen käytönvalvontamallia (RBAC). Lisätietoja on artikkelissa Microsoft Defender 365:n roolipohjaisen käytön hallinta (RBAC).
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Azure Active Directory
- Office 365
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Roolipohjaisen käytön hallinnan (RBAC) avulla voit luoda rooleja ja ryhmiä suojaustoimintatiimissäsi ja myöntää portaaliin asianmukaiset käyttöoikeudet. Luodessasi rooleissa ja ryhmissä voit hallita tarkasti, mitä käyttäjät, joilla on portaalin käyttöoikeus, voivat nähdä ja tehdä.
Suuret maantieteellisesti hajautetut suojaustoiminnot käyttävät yleensä tasopohjaista mallia suojausportaalien käyttöoikeuksien määrittämiseksi ja valtuuttamiseksi. Tyypillisiä tasoja ovat seuraavat kolme tasoa:
| Tier | Kuvaus |
|---|---|
| Taso 1 | Paikallinen suojaustiimi / IT-tiimi Tämä tiimi yleensä lajittelee ja tutkii hälytyksiä, jotka sisältyvät niiden maantieteelliseen sijaintiin, ja eskaloi ne tasolle 2 tapauksissa, joissa tarvitaan aktiivista korjausta. |
| Taso 2 | Alueellinen turvallisuusryhmä Tämä tiimi voi tarkastella alueensa kaikkia laitteita ja suorittaa korjaustoimia. |
| Taso 3 | Globaalin suojauksen toimintoryhmä Tämä ryhmä koostuu suojausasiantuntijoista, ja sillä on oikeus nähdä ja suorittaa kaikki toiminnot portaalissa. |
Huomautus
Jos kyseessä on tason 0 resurssit, katso Privileged Identity Management suojauksen järjestelmänvalvojille, jotta he voivat hallita Microsoft Defender for Endpoint ja Microsoft 365 Defender tarkemmin.
Defender for Endpoint RBAC on suunniteltu tukemaan valitsemaasi taso- tai roolipohjaista mallia, ja sen avulla voit hallita sitä, mitä rooleja voi nähdä, mitä laitteita he voivat käyttää, ja toimintoja, joita he voivat suorittaa. RBAC-kehys keskittyy seuraaviin ohjausobjekteihin:
- Määritä, ketkä voivat suorittaa tiettyjä toimia
- Luo mukautettuja rooleja ja hallitse sitä, mitä Defender for Endpoint -ominaisuuksia he voivat käyttää askelvälillä.
- Määrittää, ketkä voivat nähdä tietoja tietystä laiteryhmästä tai ryhmistä
Luo laiteryhmiä tiettyjen ehtojen, kuten nimien, tunnisteiden, toimialueiden ja muiden ehtojen avulla ja myönnä heille roolikäyttöoikeudet käyttämällä tiettyä Azure Active Directory (Azure AD) -käyttäjäryhmää.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
Jos haluat ottaa käyttöön roolipohjaisen käyttöoikeuden, sinun on määritettävä järjestelmänvalvojan roolit, määritettävä vastaavat käyttöoikeudet ja määritettävä Azure AD rooleille määritettyjä käyttäjäryhmiä.
Alkuvalmistelut
Ennen RBAC:n käyttöä on tärkeää, että ymmärrät roolit, jotka voivat myöntää käyttöoikeuksia, ja RBAC:n käyttöön ottaminen.
Varoitus
Ennen ominaisuuden käyttöönottoa on tärkeää, että sinulla on yleinen järjestelmänvalvojan rooli tai suojauksen järjestelmänvalvojan rooli Azure AD ja että Azure AD ryhmät ovat valmiita vähentämään portaalista lukituksen vaaraa.
Kun kirjaudut Microsoft 365 Defender portaaliin ensimmäistä kertaa, saat joko täydet käyttöoikeudet tai vain luku -oikeudet. Täydet käyttöoikeudet myönnetään käyttäjille, joilla on suojauksen järjestelmänvalvojan tai yleisen järjestelmänvalvojan roolit Azure AD. Vain luku -käyttöoikeus myönnetään käyttäjille, joilla on suojauksen lukijan rooli Azure AD.
Jollain, jolla on Defender for Endpoint -yleinen järjestelmänvalvoja rooli, on rajoittamaton käyttöoikeus kaikkiin laitteisiin laiteryhmän kytkennästä ja käyttäjäryhmämääritysten Azure AD riippumatta.
Varoitus
Aluksi vain ne, joilla on Azure AD yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan oikeudet, voivat luoda ja määrittää rooleja Microsoft 365 Defender-portaalissa, joten oikeiden ryhmien valmisteleminen Azure AD on tärkeää.
Jos otat käyttöön roolipohjaisen käytön hallinnan, käyttäjät, joilla on vain luku -oikeudet (esimerkiksi käyttäjät, joille on määritetty Azure AD käyttöoikeuslukijan rooli), menettävät käyttöoikeutensa, kunnes heille on määritetty rooli.
Käyttäjille, joilla on järjestelmänvalvojan oikeudet, määritetään automaattisesti oletusarvoinen sisäinen Defender for Endpointin yleinen järjestelmänvalvoja -rooli, jolla on täydet käyttöoikeudet. Kun olet päättänyt käyttää RBAC:tä, voit määrittää lisäkäyttäjiä, jotka eivät ole Azure AD yleisiä tai suojauksen järjestelmänvalvojia, Defender for Endpointin yleisen järjestelmänvalvojan rooliin.
Kun olet valinnut RBAC:n käyttöön, et voi palata alkuperäisiin rooleihin kirjautuessasi portaaliin ensimmäisen kerran.