Attribuer des rôles et des autorisations pour Microsoft Defender pour point de terminaison déploiement

  • Article

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’étape suivante lors du déploiement de Defender pour point de terminaison consiste à attribuer des rôles et des autorisations pour le déploiement de Defender pour point de terminaison.

Contrôle d'accès basé sur les rôles

Microsoft recommande d’utiliser le concept de privilèges minimum. Defender pour point de terminaison tire parti des rôles intégrés dans Microsoft Entra ID. Microsoft recommande de passer en revue les différents rôles disponibles et de choisir celui qui convient pour répondre à vos besoins pour chaque personnage de cette application. Certains rôles devront peut-être être appliqués temporairement et supprimés une fois le déploiement terminé.


Personas Rôles Microsoft Entra rôle (si nécessaire) Affecter à
Administrateur de sécurité
Analyste de sécurité
Administrateur de point de terminaison
Administrateur d’infrastructure
Propriétaire/Partie prenante de l’entreprise

Microsoft recommande d’utiliser Privileged Identity Management pour gérer vos rôles afin de fournir un audit, un contrôle et une révision d’accès supplémentaires pour les utilisateurs disposant d’autorisations d’annuaire.

Defender pour point de terminaison prend en charge deux façons de gérer les autorisations :

  • Gestion des autorisations de base : définissez les autorisations sur l’accès complet ou en lecture seule. Les utilisateurs disposant des rôles Administrateur général ou Administrateur de la sécurité dans Microsoft Entra ID disposent d’un accès complet. Le rôle Lecteur de sécurité dispose d’un accès en lecture seule et n’accorde pas l’accès à l’affichage de l’inventaire des machines/appareils.

  • Contrôle d’accès en fonction du rôle (RBAC) : définissez des autorisations granulaires en définissant des rôles, en affectant Microsoft Entra groupes d’utilisateurs aux rôles et en accordant aux groupes d’utilisateurs l’accès aux groupes d’appareils. Pour plus d’informations. Consultez Gérer l’accès au portail à l’aide du contrôle d’accès en fonction du rôle.

Microsoft recommande de tirer parti du contrôle d’accès en fonction du rôle pour s’assurer que seuls les utilisateurs disposant d’une justification professionnelle peuvent accéder à Defender pour point de terminaison.

Vous trouverez des détails sur les instructions d’autorisation ici : Create des rôles et attribuer le rôle à un groupe Microsoft Entra.

L’exemple de tableau suivant sert à identifier la structure du centre d’opérations de cyberdéfense dans votre environnement qui vous aidera à déterminer la structure RBAC requise pour votre environnement.

Niveau Description Autorisation requise
Niveau 1 Équipe des opérations de sécurité locale/équipe informatique

Cette équipe trie et examine généralement les alertes contenues dans leur géolocalisation et passe au niveau 2 dans les cas où une correction active est nécessaire.
Niveau 2 Équipe des opérations de sécurité régionales

Cette équipe peut voir tous les appareils de leur région et effectuer des actions de correction.

 Afficher les données
Niveau 3 Équipe des opérations de sécurité globale

Cette équipe est composée d’experts en sécurité et est autorisée à voir et à effectuer toutes les actions à partir du portail.

 Afficher les données

Investigation des alertes Actions de correction actives

Investigation des alertes Actions de correction actives

Gérer les paramètres système du portail

Gérer les paramètres de sécurité

Étape suivante

Après avoir attribué des rôles et des autorisations pour afficher et gérer Defender pour point de terminaison, il est temps de passer à l’étape 3 : Identifier votre architecture et choisir votre méthode de déploiement.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.