הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
הערה
אם אתה מפעיל את תוכנית התצוגה המקדימה של Microsoft Defender XDR, כעת באפשרותך לחוות את מודל בקרת הגישה מבוססת התפקידים המאוחדת (RBAC) החדש של Microsoft Defender 365. לקבלת מידע נוסף, ראה Microsoft Defender גישה מאוחדת מבוססת תפקידים (RBAC).
חשוב
החל מ- 16 בפברואר 2025, Microsoft Defender עבור נקודת קצה חדשים יוכלו לגשת לבקרת הגישה המאוחדת של Role-Based (URBAC) בלבד. לקוחות קיימים שומרים על התפקידים וההרשאות הנוכחיים שלהם. לקבלת מידע נוסף, ראה בקרת גישה Role-Based (URBAC) של URBAC עבור Microsoft Defender עבור נקודת קצה
באמצעות בקרת גישה מבוססת תפקידים (RBAC), באפשרותך ליצור תפקידים וקבוצות בתוך צוות פעולות האבטחה שלך כדי להעניק גישה מתאימה לפורטל. בהתבסס על התפקידים והקבוצות שאתה יוצר, יש לך שליטה מלאה על הפעולות שמשתמשים בעלי גישה לפורטל יכולים לראות ולבצע.
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
צוותי פעולות אבטחה גדולים המבוזרות לגיאוגרפיה מאמצים בדרך כלל מודל מבוסס-רמה כדי להקצות ולאשר גישה לפורטלי אבטחה. הרמות הטיפוסיות כוללות את שלוש הרמות הבאות:
| הרמה | תיאור |
|---|---|
| רמה 1 |
צוות תפעול אבטחה מקומי / צוות IT צוות זה בדרך כלל קביעת סדר עדיפויות ובודר התראות הכלולות במיקום הגיאוגרפי שלו וסלם רמה 2 במקרים שבהם נדרש תיקון פעיל. |
| רמה 2 |
צוות תפעול אבטחה אזורי צוות זה יכול לראות את כל המכשירים עבור האזור שלו ולבצע פעולות תיקון. |
| רמה 3 |
צוות כללי של פעולות אבטחה צוות זה מורכב ממומחי אבטחה ומורשה לראות ולבצע את כל הפעולות מהפורטל. |
הערה
עבור נכסי רמה 0, Privileged Identity Management למנהלי אבטחה כדי לספק שליטה פרטנית יותר Microsoft Defender עבור נקודת קצה ו- Microsoft Defender XDR.
Defender for Endpoint RBAC נועד לתמוך במודל בחירתך ברמה או במודל מבוסס התפקידים שלך, ומספק לך שליטה פרטנית על התפקידים שהם יכולים לראות, מכשירים שהם יכולים לגשת אליהם ופעולות שהם יכולים לבצע. מסגרת RBAC ממורכזת סביב הפקדים הבאים:
-
קבע מי יכול לבצע פעולה ספציפית
- צור תפקידים מותאמים אישית ושלוט ביכולות של Defender for Endpoint שהם יכולים לגשת אליהם בצפיפות.
-
קבע מי יכול לראות מידע אודות קבוצות או קבוצות מכשירים ספציפיות
צור קבוצות מכשירים לפי קריטריונים ספציפיים, כגון שמות, תגיות, תחומים ואחרים, ולאחר מכן הענק להם גישת תפקיד באמצעות קבוצת Microsoft Entra ספציפית.
הערה
יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.
כדי ליישם גישה מבוססת תפקידים, עליך להגדיר תפקידי מנהל מערכת, להקצות הרשאות תואמות ולהקצות Microsoft Entra משתמשים שהוקצו לתפקידים.
לפני שתתחיל
לפני השימוש ב- RBAC, חשוב שתבין את התפקידים שניתן להעניק להם הרשאות ואת ההשלכות של הפעלת RBAC.
אזהרה
לפני הפעלת התכונה, חשוב שיהיה לך תפקיד מתאים, כגון מנהל אבטחה שהוקצה ב- מזהה Microsoft Entra, ושקבוצות Microsoft Entra שלך מוכנות להפחית את הסיכון להינעל מחוץ לפורטל.
כאשר תיכנס לראשונה לפורטל Microsoft Defender, תקבל גישה מלאה או גישת קריאה בלבד. זכויות גישה מלאה ניתנות למשתמשים בעלי תפקיד מנהל אבטחה מזהה Microsoft Entra. גישת קריאה בלבד מוענקת למשתמשים בעלי תפקיד 'קורא אבטחה' מזהה Microsoft Entra.
לאדם עם תפקיד מנהל כללי של Defender for Endpoint יש גישה בלתי מוגבלת לכל המכשירים, ללא קשר לשיוך קבוצת המכשירים שלו Microsoft Entra קבוצות משתמשים.
אזהרה
תחילה, רק משתמשים בעלי Microsoft Entra כללי או זכויות מנהל אבטחה יכולים ליצור ולהקצות תפקידים בפורטל Microsoft Defender; לכן, חשוב שהקבוצות המתאימות מזהה Microsoft Entra הבאות.
הפעלת בקרת גישה מבוססת תפקידים גורמת למשתמשים בעלי הרשאות לקריאה בלבד (לדוגמה, משתמשים שהוקצו לתפקיד קורא אבטחה של Microsoft Entra) לאבד את הגישה עד שהם מוקצים לתפקיד.
משתמשים בעלי הרשאות מנהל מערכת מוקצים באופן אוטומטי לתפקיד מנהל המערכת הכללי המוגדר כברירת מחדל ב- Defender for Endpoint עם הרשאות מלאות. לאחר הסכמתך להשתמש ב- RBAC, באפשרותך להקצות משתמשים נוספים שאינם Microsoft Entra כלליים או מנהלי אבטחה לתפקיד מנהל כללי של נקודת קצה של Defender for Endpoint.
לאחר הסכמתך להשתמש ב- RBAC, לא תוכל לחזור לתפקידים ההתחלתיים כפי שנכנסת לראשונה לפורטל.