Rôles personnalisés dans le contrôle d’accès en fonction du rôle pour Microsoft 365 Defender

Remarque

Si vous exécutez le programme Microsoft 365 Defender en préversion, vous pouvez maintenant découvrir le nouveau modèle de contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender 365. Pour plus d’informations, consultez contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender 365.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

S’applique à :

  • Microsoft 365 Defender

Remarque

Vous voulez essayer Microsoft 365 Defender ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft 365 Defender.

Il existe deux types de rôles qui peuvent être utilisés pour accéder à Microsoft 365 Defender :

  • Rôles Azure Active Directory (AD) globaux
  • Rôles personnalisés

L’accès à Microsoft 365 Defender peut être géré collectivement à l’aide de rôles globaux dans Azure Active Directory (AAD)

Si vous avez besoin d’une plus grande flexibilité et d’un meilleur contrôle de l’accès à des données de produit spécifiques, Microsoft 365 Defender accès peut également être géré avec la création de rôles personnalisés via chaque portail de sécurité respectif.

Par exemple, un rôle personnalisé créé via Microsoft Defender pour point de terminaison permet d’accéder aux données de produit pertinentes, y compris aux données de point de terminaison dans le portail Microsoft 365 Defender. De même, un rôle personnalisé créé via Microsoft Defender pour Office 365 permet d’accéder aux données de produit pertinentes, y compris aux données de collaboration Email & dans le portail Microsoft 365 Defender.

Les utilisateurs disposant de rôles personnalisés existants peuvent accéder aux données dans le portail Microsoft 365 Defender en fonction de leurs autorisations de charge de travail existantes sans configuration supplémentaire requise.

Créer et gérer des rôles personnalisés

Les rôles et autorisations personnalisés peuvent être créés et gérés individuellement via chacun des portails de sécurité suivants :

Chaque rôle personnalisé créé via un portail individuel permet d’accéder aux données du portail des produits approprié. Par exemple, un rôle personnalisé créé via Microsoft Defender pour point de terminaison autorise uniquement l’accès aux données Defender pour point de terminaison.

Conseil

Les autorisations et les rôles sont également accessibles via le portail Microsoft 365 Defender en sélectionnant Rôles d’autorisations & dans le volet de navigation. L’accès à Microsoft Defender for Cloud Apps est géré via le portail Defender for Cloud Apps et contrôle également l’accès aux Microsoft Defender pour Identity. Voir Microsoft Defender for Cloud Apps

Remarque

Les rôles personnalisés créés dans Microsoft Defender for Cloud Apps ont également accès aux données Microsoft Defender pour Identity. Les utilisateurs disposant de rôles Administrateur de groupe d’utilisateurs ou Administrateur d’application/d’instance Microsoft Defender for Cloud Apps ne peuvent pas accéder aux données Microsoft Defender for Cloud Apps via le portail Microsoft 365 Defender.

Gérer les autorisations et les rôles dans le portail Microsoft 365 Defender

Les autorisations et les rôles peuvent également être gérés dans le portail Microsoft 365 Defender :

  1. Connectez-vous au portail Microsoft 365 Defender à l’adresse security.microsoft.com.
  2. Dans le volet de navigation, sélectionnez Rôles d’autorisations&.
  3. Sous l’en-tête Autorisations , sélectionnez Rôles.

Remarque

Cela s’applique uniquement aux Defender pour Office 365 et Defender pour point de terminaison. L’accès aux autres charges de travail doit être effectué dans les portails appropriés.

Rôles et des autorisations requis

Le tableau suivant décrit les rôles et les autorisations nécessaires pour accéder à chaque expérience unifiée dans chaque charge de travail. Les rôles définis dans le tableau ci-dessous font référence aux rôles personnalisés dans des portails individuels et ne sont pas connectés à des rôles globaux dans Azure AD, même s’ils portent le même nom.

Remarque

La gestion des incidents nécessite des autorisations de gestion pour tous les produits qui font partie de l’incident.

charge de travail Microsoft 365 Defender L’un des rôles suivants est requis pour Defender pour point de terminaison L’un des rôles suivants est requis pour Defender pour Office 365 L’un des rôles suivants est requis pour Defender for Cloud Apps
Affichage des données d’investigation :
  • Page d’alerte
  • File d’attente des alertes
  • Incidents
  • File d’attente des incidents
  • Centre de notifications
Afficher les opérations de sécurité des données
  • Afficher uniquement Gérer les alertes
  • Configuration de l'organisation
  • Journaux d’audit
  • Afficher uniquement les journaux d’audit
  • Lecteur Sécurité
  • Administrateur de la sécurité
  • Afficher uniquement les destinataires
  • Administrateur global
  • Administrateur de la sécurité
  • Administrateur de mise en conformité
  • Opérateur de sécurité
  • Lecteur Sécurité
  • Lecteur général
Affichage des données de chasse Afficher les opérations de sécurité des données
  • Lecteur Sécurité
  • Administrateur de la sécurité
  • Afficher uniquement les destinataires
  • Administrateur global
  • Administrateur de la sécurité
  • Administrateur de mise en conformité
  • Opérateur de sécurité
  • Lecteur Sécurité
  • Lecteur général
Gestion des alertes et des incidents Investigation des alertes
  • Gérer des alertes
  • Administrateur de la sécurité
  • Administrateur global
  • Administrateur de la sécurité
  • Administrateur de mise en conformité
  • Opérateur de sécurité
  • Lecteur Sécurité
Correction du centre de notifications Actions de correction actives – Opérations de sécurité Rechercher et vider
Définition de détections personnalisées Gérer les paramètres de sécurité
  • Gérer des alertes
  • Administrateur de la sécurité
  • Administrateur global
  • Administrateur de la sécurité
  • Administrateur de mise en conformité
  • Opérateur de sécurité
  • Lecteur Sécurité
  • Lecteur général
Analyses de menaces Données d’alertes et d’incidents :
  • Afficher les opérations de sécurité des données
Atténuations de la gestion des vulnérabilités de Defender :
  • Afficher les données - Gestion des menaces et des vulnérabilités
Données d’alertes et d’incidents :
  • Afficher uniquement Gérer les alertes
  • Gérer des alertes
  • Configuration de l'organisation
  • Journaux d’audit
  • Afficher uniquement les journaux d’audit
  • Lecteur Sécurité
  • Administrateur de la sécurité
  • Afficher uniquement les destinataires
Tentatives d’e-mail empêchées :
  • Lecteur Sécurité
  • Administrateur de la sécurité
  • Afficher uniquement les destinataires
Non disponible pour les utilisateurs Defender for Cloud Apps ou MDI

Par exemple, pour afficher les données de chasse à partir de Microsoft Defender pour point de terminaison, les autorisations Afficher les opérations de sécurité des données sont requises.

De même, pour afficher les données de chasse à partir de Microsoft Defender pour Office 365, les utilisateurs ont besoin de l’un des rôles suivants :

  • Afficher les opérations de sécurité des données
  • Lecteur Sécurité
  • Administrateur de la sécurité
  • Afficher uniquement les destinataires