Portaalin käyttöoikeuksien hallinta roolipohjaisella käytön hallinnalla
Huomautus
Jos käytössäsi on Microsoft Defenderin XDR-esiversio-ohjelma, voit nyt käyttää uutta Microsoft Defender 365 Unified -roolipohjaista käyttöoikeuksien hallintamallia (RBAC). Lisätietoja on artikkelissa Microsoft Defender 365 Unified role-based access control (RBAC).
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Entra ID
- Office 365
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Roolipohjaisen käytön hallinnan (RBAC) avulla voit luoda rooleja ja ryhmiä käyttöoikeustoimintatiimissäsi ja myöntää portaaliin asianmukaiset käyttöoikeudet. Luodessasi rooleissa ja ryhmissä voit hallita tarkasti, mitä käyttäjät, joilla on portaalin käyttöoikeus, voivat nähdä ja tehdä.
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Suuret maantieteellisesti hajautetut suojaustoiminnot käyttävät yleensä tasopohjaista mallia suojausportaalien käyttöoikeuksien määrittämiseksi ja valtuuttamiseksi. Tyypillisiä tasoja ovat seuraavat kolme tasoa:
| Kerros | Kuvaus |
|---|---|
| Taso 1 |
Paikallinen suojaustiimi / IT-tiimi Tämä tiimi yleensä lajittelee ja tutkii niiden maantieteelliseen sijaintiin sisältyvät hälytykset ja eskaloi ne tasolle 2 tapauksissa, joissa tarvitaan aktiivista korjausta. |
| Taso 2 |
Alueellinen turvallisuusryhmä Tämä tiimi voi tarkastella alueensa kaikkia laitteita ja suorittaa korjaustoimia. |
| Taso 3 |
Globaalin suojauksen toimintoryhmä Tämä ryhmä koostuu suojausasiantuntijoista, ja sillä on oikeus nähdä ja suorittaa kaikki toiminnot portaalissa. |
Huomautus
Katso tason 0 resurssit kohdasta Käyttöoikeustietojen hallinta suojauksen järjestelmänvalvojille, jotta microsoft Defender for Endpointin ja Microsoft Defender XDR:n hallintaa voidaan hallita tarkemmin.
Defender for Endpoint RBAC on suunniteltu tukemaan valitsemaasi taso- tai roolipohjaista mallia, ja sen avulla voit hallita, mitä rooleja voi nähdä, mitä laitteita he voivat käyttää, ja toimintoja, joita he voivat suorittaa. RBAC-kehys keskittyy seuraaviin ohjausobjekteihin:
-
Määritä, ketkä voivat suorittaa tiettyjä toimia
- Luo mukautettuja rooleja ja hallitse sitä, mitä Defender for Endpoint -ominaisuuksia he voivat käyttää askelvälillä.
-
Määrittää, ketkä voivat nähdä tietoja tietystä laiteryhmästä tai ryhmistä
Luo laiteryhmiä tiettyjen ehtojen, kuten nimien, tunnisteiden, toimialueiden ja muiden perusteella ja myönnä heille roolikäyttöoikeudet tietyn Microsoft Entra -käyttäjäryhmän avulla.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
Jos haluat ottaa käyttöön roolipohjaisia käyttöoikeuksia, sinun on määritettävä järjestelmänvalvojan roolit, määritettävä vastaavat käyttöoikeudet ja määritettävä rooleille määritetyt Microsoft Entra -käyttäjäryhmät.
Alkuvalmistelut
Ennen RBAC:n käyttöä on tärkeää, että ymmärrät roolit, jotka voivat myöntää käyttöoikeuksia, ja RBAC:n käyttöön ottaminen.
Varoitus
Ennen ominaisuuden käyttöönottoa on tärkeää, että sinulla on yleinen järjestelmänvalvojan rooli tai suojauksen järjestelmänvalvojan rooli Microsoft Entra ID:ssä ja että Microsoft Entra -ryhmäsi ovat valmiita vähentämään portaalista lukituksen vaaraa.
Kun kirjaudut sisään Microsoft Defender -portaaliin ensimmäistä kertaa, saat joko täydet käyttöoikeudet tai vain luku -oikeudet. Täydet käyttöoikeudet myönnetään käyttäjille, joilla on Microsoft Entra -tunnuksen suojauksen järjestelmänvalvoja- tai yleinen järjestelmänvalvoja -rooli. Vain luku -käyttöoikeus myönnetään käyttäjille, joilla on Suojauksen lukija -rooli Microsoft Entra -tunnuksella.
Käyttäjällä, jolla on Defender for Endpointin yleisen järjestelmänvalvojan rooli, on rajoittamaton käyttöoikeus kaikkiin laitteisiin riippumatta laiteryhmän kytkennästä ja Microsoft Entra -käyttäjäryhmien määrituksista.
Varoitus
Aluksi vain ne käyttäjät, joilla on Microsoft Entran yleisen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan oikeudet, voivat luoda ja määrittää rooleja Microsoft Defender -portaalissa. Siksi oikeiden ryhmien ottaminen valmiiksi Microsoft Entra -tunnukseen on tärkeää.
Jos otat käyttöön roolipohjaisen käytön hallinnan, käyttäjät, joilla on vain luku -oikeudet (esimerkiksi Microsoft Entra Securityn lukijarooliin määritetyt käyttäjät), menettävät käyttöoikeutensa, kunnes heille on määritetty rooli.
Käyttäjille, joilla on järjestelmänvalvojan oikeudet, määritetään automaattisesti oletusmuotoinen Defender for Endpointin yleinen järjestelmänvalvoja -rooli, jolla on täydet käyttöoikeudet. Kun olet päättänyt käyttää RBAC:tä, voit määrittää muita käyttäjiä, jotka eivät ole Microsoft Entran yleisiä järjestelmänvalvojia tai suojauksen järjestelmänvalvojia, Defender for Endpointin yleisen järjestelmänvalvojan rooliin.
Kun olet valinnut RBAC:n käyttöön, et voi palata alkuperäisiin rooleihin kirjautuessasi portaaliin ensimmäisen kerran.
Aiheeseen liittyvä aihe
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.