ניהול הגישה לפורטל באמצעות בקרת גישה מבוססת תפקידים
מאמר
הערה
אם אתה מפעיל את תוכנית התצוגה המקדימה של Microsoft Defender XDR, כעת באפשרותך לחוות את מודל בקרת הגישה מבוססת התפקידים המאוחדת (RBAC) החדש של Microsoft Defender 365. לקבלת מידע נוסף, ראה Microsoft Defender גישה מאוחדת מבוססת תפקידים (RBAC).
באמצעות בקרת גישה מבוססת תפקידים (RBAC), באפשרותך ליצור תפקידים וקבוצות בתוך צוות פעולות האבטחה שלך כדי להעניק גישה מתאימה לפורטל. בהתבסס על התפקידים והקבוצות שאתה יוצר, יש לך שליטה מלאה על הפעולות שמשתמשים בעלי גישה לפורטל יכולים לראות ולבצע.
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
צוותי פעולות אבטחה גדולים המבוזרות לגיאוגרפיה מאמצים בדרך כלל מודל מבוסס-רמה כדי להקצות ולאשר גישה לפורטלי אבטחה. הרמות הטיפוסיות כוללות את שלוש הרמות הבאות:
הרמה
תיאור
רמה 1
צוות תפעול אבטחה מקומי / צוות IT צוות זה בדרך כלל קביעת סדר עדיפויות ובודר התראות הכלולות במיקום הגיאוגרפי שלו וסלם רמה 2 במקרים שבהם נדרש תיקון פעיל.
רמה 2
צוות תפעול אבטחה אזורי צוות זה יכול לראות את כל המכשירים עבור האזור שלו ולבצע פעולות תיקון.
רמה 3
צוות כללי של פעולות אבטחה צוות זה מורכב ממומחי אבטחה ומורשים לראות ולבצע את כל הפעולות מהפורטל.
הערה
עבור נכסי רמה 0, Privileged Identity Management למנהלי אבטחה כדי לספק שליטה פרטנית יותר Microsoft Defender עבור נקודת קצה ו- Microsoft Defender XDR.
Defender for Endpoint RBAC נועד לתמוך במודל בחירתך ברמה או במודל מבוסס התפקידים שלך, ומספק לך שליטה פרטנית על התפקידים שהם יכולים לראות, מכשירים שהם יכולים לגשת אליהם ופעולות שהם יכולים לבצע. מסגרת RBAC ממורכזת סביב הפקדים הבאים:
קבע מי יכול לבצע פעולה ספציפית
צור תפקידים מותאמים אישית ושלוט ביכולות של Defender for Endpoint שהם יכולים לגשת אליהם בצפיפות.
קבע מי יכול לראות מידע אודות קבוצות או קבוצות מכשירים ספציפיות
צור קבוצות מכשירים לפי קריטריונים ספציפיים, כגון שמות, תגיות, תחומים ואחרים, ולאחר מכן הענק להם גישת תפקיד באמצעות קבוצת Microsoft Entra ספציפית.
הערה
יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.
כדי ליישם גישה מבוססת תפקידים, יהיה עליך להגדיר תפקידי מנהל מערכת, להקצות הרשאות תואמות ולהקצות Microsoft Entra משתמשים שהוקצו לתפקידים.
לפני שתתחיל
לפני השימוש ב- RBAC, חשוב שתבין את התפקידים שניתן להעניק להם הרשאות ואת ההשלכות של הפעלת RBAC.
אזהרה
לפני הפעלת התכונה, חשוב שיהיה לך תפקיד מתאים, כגון מנהל אבטחה שהוקצה ב- Microsoft Entra מזהה, ושקבוצות Microsoft Entra שלך מוכנות להפחתת הסיכון להינעל מחוץ לפורטל.
כאשר תיכנס לראשונה לפורטל Microsoft Defender, תקבל גישה מלאה או גישת קריאה בלבד. זכויות גישה מלאה ניתנות למשתמשים בעלי תפקיד מנהל אבטחה Microsoft Entra מזהה. גישת קריאה בלבד מוענקת למשתמשים בעלי תפקיד 'קורא אבטחה' Microsoft Entra מזהה.
לאדם עם תפקיד מנהל כללי של Defender for Endpoint יש גישה בלתי מוגבלת לכל המכשירים, ללא קשר לשיוך קבוצת המכשירים שלו Microsoft Entra קבוצות משתמשים.
אזהרה
תחילה, רק משתמשים בעלי Microsoft Entra כללי או זכויות מנהל אבטחה יכולים ליצור ולהקצות תפקידים בפורטל Microsoft Defender; לכן, חשוב שהקבוצות המתאימות Microsoft Entra מזהה הבאות.
הפעלת בקרת גישה מבוססת תפקידים גורמת למשתמשים בעלי הרשאות לקריאה בלבד (לדוגמה, משתמשים שהוקצו לתפקיד קורא אבטחה של Microsoft Entra) לאבד את הגישה עד שהם מוקצים לתפקיד.
משתמשים בעלי הרשאות מנהל מערכת מוקצים באופן אוטומטי לתפקיד מנהל המערכת הכללי המוגדר כברירת מחדל ב- Defender for Endpoint עם הרשאות מלאות. לאחר הסכמתך להשתמש ב- RBAC, באפשרותך להקצות משתמשים נוספים שאינם מנהלי מערכת Microsoft Entra כלליים או מנהלי אבטחה לתפקיד מנהל כללי של נקודת קצה של Defender for Endpoint.
לאחר הסכמתך להשתמש ב- RBAC, לא תוכל לחזור לתפקידים הראשוניים כפי שנכנסת לראשונה לפורטל.