Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Créer des rôles et attribuer le rôle à un groupe Microsoft Entra
Importante
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Les étapes suivantes vous guident sur la création de rôles dans le portail Microsoft Defender. Il suppose que vous avez déjà créé des groupes d’utilisateurs Microsoft Entra.
Connectez-vous au portail Microsoft Defender à l’aide du compte avec le rôle Administrateur de la sécurité attribué.
Dans le volet de navigation, sélectionnez Paramètres Rôles>de points> de terminaison (sous Autorisations).
Sélectionnez Ajouter un rôle.
Entrez le nom du rôle, la description et les autorisations que vous souhaitez attribuer au rôle.
Sélectionnez Suivant pour attribuer le rôle à un groupe de sécurité Microsoft Entra.
Utilisez le filtre pour sélectionner le groupe Microsoft Entra auquel vous souhaitez ajouter ce rôle.
Enregistrez et fermez.
Appliquez les paramètres de configuration.
Importante
Après avoir créé des rôles, vous devez créer un groupe d’appareils et fournir l’accès au groupe d’appareils en l’affectant à un rôle que vous venez de créer.
Remarque
La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.
Options d’autorisation
Afficher les données
- Opérations de sécurité : afficher toutes les données des opérations de sécurité dans le portail
- Gestion des vulnérabilités Defender - Afficher les données de gestion des vulnérabilités Defender dans le portail
Actions de correction actives
- Opérations de sécurité - Effectuer des actions de réponse, approuver ou ignorer les actions de correction en attente, gérer les listes autorisées/bloquées pour l’automatisation et les indicateurs
- Gestion des vulnérabilités Defender - Gestion des exceptions - Créer des exceptions et gérer les exceptions actives
- Gestion des vulnérabilités Defender - Gestion des corrections - Envoyer de nouvelles demandes de correction, créer des tickets et gérer les activités de correction existantes
- Gestion des vulnérabilités Defender - Gestion des applications - Appliquer des actions d’atténuation immédiates en bloquant les applications vulnérables, dans le cadre de l’activité de correction, gérer les applications bloquées et effectuer des actions de déblocage
Bases de référence de sécurité
- Gestion des vulnérabilités Defender – Gérer les profils d’évaluation des bases de référence de sécurité : créez et gérez des profils afin de pouvoir évaluer si vos appareils sont conformes aux bases de référence du secteur de la sécurité.
Investigation des alertes : gérer les alertes, lancer des investigations automatisées, exécuter des analyses, collecter des packages d’investigation, gérer les étiquettes d’appareil et télécharger uniquement des fichiers exécutables portables (PE)
Gérer les paramètres système du portail - Configurer les paramètres de stockage, siem et paramètres d’API Intel des menaces (s’applique globalement), paramètres avancés, chargements de fichiers automatisés, rôles et groupes d’appareils
Remarque
Ce paramètre est disponible uniquement dans le rôle Administrateur microsoft Defender pour point de terminaison (par défaut).
Gérer les paramètres de sécurité dans Security Center - Configurer les paramètres de suppression des alertes, gérer les exclusions de dossiers pour l’automatisation, intégrer et désactiver les appareils, gérer les notifications par e-mail, gérer le laboratoire d’évaluation et gérer les listes autorisées/bloquées pour les indicateurs
Fonctionnalités de réponse en direct
-
Commandes de base :
- Démarrer une session de réponse dynamique
- Exécuter des commandes de réponse dynamique en lecture seule sur un appareil distant (à l’exception de la copie et de l’exécution de fichiers)
- Télécharger un fichier à partir de l’appareil distant via une réponse en direct
-
Commandes avancées :
- Télécharger des fichiers PE et non-PE à partir de la page de fichiers
- Charger un fichier sur l’appareil distant
- Afficher un script à partir de la bibliothèque de fichiers
- Exécuter un script sur l’appareil distant à partir de la bibliothèque de fichiers
-
Commandes de base :
Pour plus d’informations sur les commandes disponibles, consultez Examiner les appareils à l’aide de la réponse en direct.
Modifier les rôles
Connectez-vous au portail Microsoft Defender à l’aide du compte avec le rôle Administrateur de la sécurité attribué.
Dans le volet de navigation, sélectionnez Paramètres Rôles>de points> de terminaison (sous Autorisations).
Sélectionnez le rôle que vous souhaitez modifier.
Cliquez sur Modifier.
Modifiez les détails ou les groupes affectés au rôle.
Cliquez sur Enregistrer et fermer.
Supprimer des rôles
Connectez-vous au portail Microsoft Defender à l’aide du compte avec le rôle Administrateur de la sécurité attribué.
Dans le volet de navigation, sélectionnez Paramètres Rôles>de points> de terminaison (sous Autorisations).
Sélectionnez le rôle que vous souhaitez supprimer.
Cliquez sur le bouton déroulant et sélectionnez Supprimer le rôle.
Articles connexes
- Attribuer des rôles Microsoft Entra aux utilisateurs
- Attribuer l’accès utilisateur
- Créer et gérer des groupes d’appareils
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.