שתף באמצעות

ניהול הגישה לפורטל באמצעות בקרת גישה מבוססת תפקידים

  • מאמר

הערה

אם אתה מפעיל את תוכנית התצוגה המקדימה של Microsoft Defender XDR, כעת באפשרותך לחוות את המודל החדש של בקרת גישה מבוססת תפקידים (RBAC) של Microsoft Defender 365. לקבלת מידע נוסף, ראה בקרת גישה מבוססת תפקידים (RBAC) של Microsoft Defender 365.

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

באמצעות בקרת גישה מבוססת תפקידים (RBAC), באפשרותך ליצור תפקידים וקבוצות בתוך צוות פעולות האבטחה שלך כדי להעניק גישה מתאימה לפורטל. בהתבסס על התפקידים והקבוצות שאתה יוצר, יש לך שליטה מלאה על הפעולות שמשתמשים בעלי גישה לפורטל יכולים לראות ולבצע.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

צוותי פעולות אבטחה גדולים המבוזרות לגיאוגרפיה מאמצים בדרך כלל מודל מבוסס-רמה כדי להקצות ולאשר גישה לפורטלי אבטחה. הרמות הטיפוסיות כוללות את שלוש הרמות הבאות:

הרמה תיאור
רמה 1 צוות תפעול אבטחה מקומי / צוות IT
צוות זה בדרך כלל קביעת סדר עדיפויות ובודר התראות הכלולות במיקום הגיאוגרפי שלו וסלם רמה 2 במקרים שבהם נדרש תיקון פעיל.
רמה 2 צוות תפעול אבטחה אזורי
צוות זה יכול לראות את כל המכשירים עבור האזור שלו ולבצע פעולות תיקון.
רמה 3 צוות כללי של פעולות אבטחה
צוות זה מורכב ממומחי אבטחה ומורשים לראות ולבצע את כל הפעולות מהפורטל.

הערה

עבור נכסי רמה 0, ראה ניהול זהויות הרשאות עבור מנהלי אבטחה כדי לספק שליטה פרטנית יותר ב- Microsoft Defender עבור נקודת קצה וב- Microsoft Defender XDR.

Defender for Endpoint RBAC נועד לתמוך במודל בחירתך ברמה או במודל מבוסס התפקידים שלך, ומספק לך שליטה פרטנית על התפקידים שהם יכולים לראות, מכשירים שהם יכולים לגשת אליהם ופעולות שהם יכולים לבצע. מסגרת RBAC ממורכזת סביב הפקדים הבאים:

  • קבע מי יכול לבצע פעולה ספציפית
    • צור תפקידים מותאמים אישית ושלוט ביכולות של Defender for Endpoint שהם יכולים לגשת אליהם בצפיפות.
  • קבע מי יכול לראות מידע אודות קבוצות או קבוצות מכשירים ספציפיות

    • צור קבוצות מכשירים לפי קריטריונים ספציפיים, כגון שמות, תגיות, תחומים ואחרים, ולאחר מכן הענק להם גישת תפקיד באמצעות קבוצת משתמשים ספציפית של Microsoft Entra.

      הערה

      יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

כדי ליישם גישה מבוססת תפקידים, יהיה עליך להגדיר תפקידי מנהל מערכת, להקצות הרשאות תואמות ולהקצות קבוצות משתמשים של Microsoft Entra שהוקצו לתפקידים.

לפני שתתחיל

לפני השימוש ב- RBAC, חשוב שתבין את התפקידים שניתן להעניק להם הרשאות ואת ההשלכות של הפעלת RBAC.

אזהרה

לפני הפעלת התכונה, חשוב שיהיה לך תפקיד מנהל מערכת כללי או תפקיד מנהל אבטחה במזהה Microsoft Entra, ושקבוצות Microsoft Entra שלך מוכנות להפחית את הסיכון להינעל מחוץ לפורטל.

כאשר תיכנס לראשונה לפורטל Microsoft Defender, תקבל גישה מלאה או גישת קריאה בלבד. זכויות גישה מלאות ניתנות למשתמשים בעלי תפקידי מנהל אבטחה או מנהל מערכת כללי במזהה Microsoft Entra. גישת קריאה בלבד מוענקת למשתמשים בעלי תפקיד 'קורא אבטחה' ב- Microsoft Entra ID.

לאדם עם תפקיד מנהל כללי של Defender for Endpoint יש גישה בלתי מוגבלת לכל המכשירים, ללא קשר לשיוך קבוצת המכשירים שלו ולמטלות קבוצות המשתמשים של Microsoft.

אזהרה

תחילה, רק משתמשים בעלי זכויות מנהל מערכת כללי או מנהל אבטחה של Microsoft יכולים ליצור ולהקצות תפקידים בפורטל Microsoft Defender; לכן, חשוב להוסיף את הקבוצות המתאימות במזהה Entra של Microsoft.

הפעלת בקרת גישה מבוססת תפקידים גורמת למשתמשים בעלי הרשאות קריאה בלבד (לדוגמה, משתמשים שהוקצו לתפקיד קורא האבטחה של Microsoft) לאבד את הגישה עד שהם מוקצים לתפקיד.

משתמשים בעלי הרשאות מנהל מערכת מוקצים באופן אוטומטי לתפקיד מנהל המערכת הכללי המוגדר כברירת מחדל ב- Defender for Endpoint עם הרשאות מלאות. לאחר הסכמתך להשתמש ב- RBAC, באפשרותך להקצות משתמשים נוספים שאינם מנהלי מערכת כלליים של Microsoft או מנהלי אבטחה לתפקיד מנהל כללי של Defender for Endpoint.

לאחר הסכמתך להשתמש ב- RBAC, לא תוכל לחזור לתפקידים הראשוניים כפי שנכנסת לראשונה לפורטל.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.