Groupes de rôles de Microsoft Defender pour Identity
Microsoft Defender pour Identity offre une sécurité basée sur les rôles pour protéger les données en fonction des besoins spécifiques de votre organisation en matière de sécurité et de conformité. Nous vous recommandons d’utiliser des groupes de rôles pour gérer l’accès à Defender pour Identity, de répartir les responsabilités au sein de votre équipe de sécurité et d’accorder uniquement le droit d’accès dont les utilisateurs ont besoin pour effectuer leurs tâches.
Contrôle d’accès en fonction du rôle (RBAC) unifié
Les utilisateurs qui sont déjà administrateurs généraux ou administrateurs de sécurité sur Microsoft Entra ID de votre locataire sont également automatiquement administrateurs Defender pour Identity. Les administrateurs généraux et de sécurité Microsoft Entra n’ont pas besoin d’autorisations supplémentaires pour accéder à Defender pour Identity.
Pour les autres utilisateurs, activez et utilisez le contrôle d'accès basé sur les rôles (RBAC) de Microsoft 365 pour créer des rôles personnalisés et prendre en charge davantage de rôles d'Entra ID, tels que l'opérateur de sécurité ou le lecteur de sécurité par défaut, afin de gérer l'accès à Defender pour Identity.
Lorsque vous créez vos rôles personnalisés, veillez à appliquer les autorisations répertoriées dans le tableau suivant :
| Niveau d’accès à Defender pour Identity | Autorisations RBAC unifiées Microsoft 365 minimales requises |
|---|---|
| Administrateurs | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Utilisateurs | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Utilisateurs | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Pour plus d’informations, consultez Rôles personnalisés dans le contrôle d’accès en fonction du rôle pour Microsoft Defender XDR et Créer des rôles personnalisés avec le RBAC unifié de Microsoft Defender XDR.
Remarque
Les informations incluses dans le journal d’activité de Defender for Cloud Apps peuvent toujours contenir des données Defender for Identity. Ce contenu respecte les autorisations Defender for Cloud Apps existantes.
Exception : Si vous avez configuré le déploiement Scoped pour les alertes Microsoft Defender pour Identity dans le portail Microsoft Defender pour Cloud Apps, ces permissions ne sont pas reportées. Vous devrez accorder explicitement les permissions Opérations de sécurité \ Données de sécurité \ Données de sécurité de base (lecture) pour les utilisateurs du portail concernés.
Les autorisations requises Defender pour Identity dans Microsoft Defender XDR
Le tableau suivant détaille les autorisations spécifiques requises pour les activités Defender pour Identity dans Microsoft Defender XDR.
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
| Activité | Autorisations les moins nécessaires |
|---|---|
| Defender pour Identity intégré (créer un espace de travail) | Administrateur de la sécurité |
| Configurer les paramètres de Defender pour Identity | L’un des rôles Microsoft Entra suivants : - Administrateur de la sécurité - Opérateur de sécurité Or Les autorisations RBAC unifiées suivantes : - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Afficher les paramètres Defender pour Identity | L’un des rôles Microsoft Entra suivants : - Lecteur général - Lecteur de sécurité Or Les autorisations RBAC unifiées suivantes : - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gérer les alertes et activités de sécurité Defender pour Identity | L’un des rôles Microsoft Entra suivants : - Opérateur de sécurité Or Les autorisations RBAC unifiées suivantes : - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Afficher les évaluations de sécurité Defender pour Identity (désormais partie du degré de sécurisation Microsoft) |
Autorisations d’accès au degré de sécurisation Microsoft And Les autorisations RBAC unifiées suivantes : Security operations/Security data /Security data basics (Read) |
| Afficher la page Ressources / Identités | Autorisations d’accès aux applications Defender pour le cloud Or L’un des rôles Microsoft Entra requis par Microsoft Defender XDR |
| Effectuer des actions de réponse Defender pour Identity | Rôle personnalisé défini avec des autorisations de Réponse (gérer) Or L’un des rôles Microsoft Entra suivants : - Opérateur de sécurité |
Groupes de sécurité Defender pour Identity
Defender pour Identity fournit les groupes de sécurité suivants pour vous aider à gérer l’accès aux ressources Defender pour Identity :
- Administrateurs Azure ATP (nom de l’espace de travail)
- Utilisateurs Azure ATP (nom de l’espace de travail)
- Visiteurs Azure ATP (nom de l’espace de travail)
Le tableau suivant liste les activités disponibles pour chaque groupe de sécurité :
| Activité | Administrateurs Azure ATP (nom de l’espace de travail) | Azure ATP (nom de l’espace de travail) Utilisateurs | Azure ATP (nom de l’espace de travail) Visionneurs |
|---|---|---|---|
| Modifier l’état du problème d’intégrité | Disponible | Non disponible | Non disponible |
| Modifier l’état de l’alerte de sécurité (rouvrir, fermer, exclure, supprimer) | Disponible | Disponible | Non disponible |
| Supprimer un espace de travail | Disponible | Non disponible | Non disponible |
| Télécharger un rapport | Disponible | Disponible | Disponible |
| Connexion | Disponible | Disponible | Disponible |
| Partager/exporter des alertes de sécurité (par e-mail, obtenir un lien, télécharger les détails) | Disponible | Disponible | Disponible |
| Mettre à jour la configuration de Defender pour Identity (mises à jour) | Disponible | Non disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (balises d’entité, y compris les balises sensibles et honeytoken) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (exclusions) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (langue) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (notifications, y compris e-mails et syslog) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (détections des préversions) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (rapports planifiés) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (sources de données, y compris les services d’annuaire, SIEM, VPN, Defender pour point de terminaison) | Disponible | Non disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (gestion des capteurs, y compris téléchargement de logiciels, régénération des clés, configuration, suppression) | Disponible | Non disponible | Non disponible |
| Afficher les profils d’entité et les alertes de sécurité | Disponible | Disponible | Disponible |
Ajouter et supprimer des utilisateurs
Defender pour Identity utilise les groupes de sécurité Microsoft Entra comme base pour les groupes de rôles.
Gérez vos groupes de rôles à partir de la page de gestion des groupes dans le Portail Azure. Seuls les utilisateurs Microsoft Entra peuvent être ajoutés ou supprimés des groupes de sécurité.