Partager via


Groupes de rôles de Microsoft Defender pour Identity

Microsoft Defender pour Identity offre une sécurité basée sur les rôles pour protéger les données en fonction des besoins spécifiques de votre organisation en matière de sécurité et de conformité. Nous vous recommandons d’utiliser des groupes de rôles pour gérer l’accès à Defender pour Identity, de répartir les responsabilités au sein de votre équipe de sécurité et d’accorder uniquement le droit d’accès dont les utilisateurs ont besoin pour effectuer leurs tâches.

Contrôle d’accès en fonction du rôle (RBAC) unifié

Les utilisateurs qui sont déjà administrateurs généraux ou administrateurs de sécurité sur Microsoft Entra ID de votre locataire sont également automatiquement administrateurs Defender pour Identity. Les administrateurs généraux et de sécurité Microsoft Entra n’ont pas besoin d’autorisations supplémentaires pour accéder à Defender pour Identity.

Pour les autres utilisateurs, activez et utilisez le contrôle d'accès basé sur les rôles (RBAC) de Microsoft 365 pour créer des rôles personnalisés et prendre en charge davantage de rôles d'Entra ID, tels que l'opérateur de sécurité ou le lecteur de sécurité par défaut, afin de gérer l'accès à Defender pour Identity.

Lorsque vous créez vos rôles personnalisés, veillez à appliquer les autorisations répertoriées dans le tableau suivant :

Niveau d’accès à Defender pour Identity Autorisations RBAC unifiées Microsoft 365 minimales requises
Administrateurs - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Utilisateurs - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Utilisateurs - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Pour plus d’informations, consultez Rôles personnalisés dans le contrôle d’accès en fonction du rôle pour Microsoft Defender XDR et Créer des rôles personnalisés avec le RBAC unifié de Microsoft Defender XDR.

Remarque

Les informations incluses dans le journal d’activité de Defender for Cloud Apps peuvent toujours contenir des données Defender for Identity. Ce contenu respecte les autorisations Defender for Cloud Apps existantes.

Exception : Si vous avez configuré le déploiement Scoped pour les alertes Microsoft Defender pour Identity dans le portail Microsoft Defender pour Cloud Apps, ces permissions ne sont pas reportées. Vous devrez accorder explicitement les permissions Opérations de sécurité \ Données de sécurité \ Données de sécurité de base (lecture) pour les utilisateurs du portail concernés.

Les autorisations requises Defender pour Identity dans Microsoft Defender XDR

Le tableau suivant détaille les autorisations spécifiques requises pour les activités Defender pour Identity dans Microsoft Defender XDR.

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Activité Autorisations les moins nécessaires
Defender pour Identity intégré (créer un espace de travail) Administrateur de la sécurité
Configurer les paramètres de Defender pour Identity L’un des rôles Microsoft Entra suivants :
- Administrateur de la sécurité
- Opérateur de sécurité
Or
Les autorisations RBAC unifiées suivantes :
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Afficher les paramètres Defender pour Identity L’un des rôles Microsoft Entra suivants :
- Lecteur général
- Lecteur de sécurité
Or
Les autorisations RBAC unifiées suivantes :
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Gérer les alertes et activités de sécurité Defender pour Identity L’un des rôles Microsoft Entra suivants :
- Opérateur de sécurité
Or
Les autorisations RBAC unifiées suivantes :
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Afficher les évaluations de sécurité Defender pour Identity
(désormais partie du degré de sécurisation Microsoft)
Autorisations d’accès au degré de sécurisation Microsoft
And
Les autorisations RBAC unifiées suivantes : Security operations/Security data /Security data basics (Read)
Afficher la page Ressources / Identités Autorisations d’accès aux applications Defender pour le cloud
Or
L’un des rôles Microsoft Entra requis par Microsoft Defender XDR
Effectuer des actions de réponse Defender pour Identity Rôle personnalisé défini avec des autorisations de Réponse (gérer)
Or
L’un des rôles Microsoft Entra suivants :
- Opérateur de sécurité

Groupes de sécurité Defender pour Identity

Defender pour Identity fournit les groupes de sécurité suivants pour vous aider à gérer l’accès aux ressources Defender pour Identity :

  • Administrateurs Azure ATP (nom de l’espace de travail)
  • Utilisateurs Azure ATP (nom de l’espace de travail)
  • Visiteurs Azure ATP (nom de l’espace de travail)

Le tableau suivant liste les activités disponibles pour chaque groupe de sécurité :

Activité Administrateurs Azure ATP (nom de l’espace de travail) Azure ATP (nom de l’espace de travail) Utilisateurs Azure ATP (nom de l’espace de travail) Visionneurs
Modifier l’état du problème d’intégrité Disponible Non disponible Non disponible
Modifier l’état de l’alerte de sécurité (rouvrir, fermer, exclure, supprimer) Disponible Disponible Non disponible
Supprimer un espace de travail Disponible Non disponible Non disponible
Télécharger un rapport Disponible Disponible Disponible
Connexion Disponible Disponible Disponible
Partager/exporter des alertes de sécurité (par e-mail, obtenir un lien, télécharger les détails) Disponible Disponible Disponible
Mettre à jour la configuration de Defender pour Identity (mises à jour) Disponible Non disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (balises d’entité, y compris les balises sensibles et honeytoken) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (exclusions) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (langue) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (notifications, y compris e-mails et syslog) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (détections des préversions) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (rapports planifiés) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (sources de données, y compris les services d’annuaire, SIEM, VPN, Defender pour point de terminaison) Disponible Non disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (gestion des capteurs, y compris téléchargement de logiciels, régénération des clés, configuration, suppression) Disponible Non disponible Non disponible
Afficher les profils d’entité et les alertes de sécurité Disponible Disponible Disponible

Ajouter et supprimer des utilisateurs

Defender pour Identity utilise les groupes de sécurité Microsoft Entra comme base pour les groupes de rôles.

Gérez vos groupes de rôles à partir de la page de gestion des groupes dans le Portail Azure. Seuls les utilisateurs Microsoft Entra peuvent être ajoutés ou supprimés des groupes de sécurité.

Étape suivante