ניהול הגישה לפורטל באמצעות בקרת גישה מבוססת תפקידים
הערה
אם אתה מפעיל את תוכנית התצוגה המקדימה של Microsoft 365 Defender כעת תוכל לחוות את מודל בקרת הגישה מבוססת התפקידים (RBAC) החדש של Microsoft Defender 365. לקבלת מידע נוסף, ראה Microsoft Defender גישה מבוססת תפקידים (RBAC) של 365.
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Azure Active Directory
- Office 365
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
באמצעות בקרת גישה מבוססת תפקידים (RBAC), באפשרותך ליצור תפקידים וקבוצות בתוך צוות פעולות האבטחה שלך כדי להעניק גישה מתאימה לפורטל. בהתבסס על התפקידים והקבוצות שאתה יוצר, יש לך שליטה מלאה על הפעולות שמשתמשים בעלי גישה לפורטל יכולים לראות ולבצע.
צוותי פעולות אבטחה גדולים המבוזרות לגיאוגרפיה מאמצים בדרך כלל מודל מבוסס-רמה כדי להקצות ולאשר גישה לפורטלי אבטחה. הרמות הטיפוסיות כוללות את שלוש הרמות הבאות:
| הרמה | תיאור |
|---|---|
| רמה 1 | צוות תפעול אבטחה מקומי / צוות IT צוות זה בדרך כלל קביעת סדר עדיפויות ובודר התראות הכלולות במיקום הגיאוגרפי שלו וסלם רמה 2 במקרים שבהם נדרש תיקון פעיל. |
| רמה 2 | צוות תפעול אבטחה אזורי צוות זה יכול לראות את כל המכשירים עבור האזור שלו ולבצע פעולות תיקון. |
| רמה 3 | צוות כללי של פעולות אבטחה צוות זה מורכב ממומחי אבטחה ומורשים לראות ולבצע את כל הפעולות מהפורטל. |
הערה
עבור נכסי רמה 0, Privileged Identity Management למנהלי אבטחה כדי לספק שליטה פרטנית יותר Microsoft Defender עבור נקודת קצה ו- Microsoft 365 Defender.
Defender for Endpoint RBAC נועד לתמוך במודל בחירתך ברמה או במודל מבוסס התפקידים שלך, ומספק לך שליטה פרטנית על התפקידים שהם יכולים לראות, מכשירים שהם יכולים לגשת אליהם ופעולות שהם יכולים לבצע. מסגרת RBAC ממורכזת סביב הפקדים הבאים:
- קבע מי יכול לבצע פעולה ספציפית
- צור תפקידים מותאמים אישית ושלוט ביכולות של Defender for Endpoint שהם יכולים לגשת אליהם בצפיפות.
- קבע מי יכול לראות מידע אודות קבוצות או קבוצות מכשירים ספציפיות
צור קבוצות מכשירים לפי קריטריונים ספציפיים, כגון שמות, תגיות, תחומים ואחרים, ולאחר מכן הענק להם גישת תפקיד באמצעות קבוצת משתמשים ספציפית של Azure Active Directory (Azure AD).
הערה
יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.
כדי ליישם גישה מבוססת תפקידים, יהיה עליך להגדיר תפקידי מנהל מערכת, להקצות הרשאות תואמות ולהקצות Azure AD משתמשים שהוקצו לתפקידים.
לפני שתתחיל
לפני השימוש ב- RBAC, חשוב שתבין את התפקידים שניתן להעניק להם הרשאות ואת ההשלכות של הפעלת RBAC.
אזהרה
לפני הפעלת התכונה, חשוב שתהיה לך תפקיד מנהל מערכת כללי או תפקיד מנהל אבטחה ב- Azure AD ושקבוצות Azure AD שלך מוכנות להפחית את הסיכון להינעל מחוץ לפורטל.
כאשר אתה נכנס לראשונה לפורטל Microsoft 365 Defender, הוענקה לך גישה מלאה או גישת קריאה בלבד. זכויות גישה מלאה ניתנות למשתמשים בעלי תפקידי מנהל אבטחה או מנהל מערכת כללי Azure AD. גישת קריאה בלבד מוענקת למשתמשים בעלי תפקיד 'קורא אבטחה' Azure AD.
לאדם בעל תפקיד של Defender for Endpoint מנהל מערכת כללי גישה בלתי מוגבלת לכל המכשירים, ללא קשר לשיוך קבוצת המכשירים שלו ולתפקיד Azure AD קבוצות משתמשים.
אזהרה
תחילה, רק משתמשים בעלי זכויות Azure AD כללי או מנהל אבטחה יוכלו ליצור ולהקצות תפקידים בפורטל Microsoft 365 Defender, לכן, חשוב שהקבוצות המתאימות יהיו מוכנות Azure AD הבאות.
הפעלת בקרת גישה מבוססת תפקיד תגרום למשתמשים בעלי הרשאות לקריאה בלבד (לדוגמה, משתמשים שהוקצו לתפקיד קורא האבטחה של Azure AD) יאבדו את הגישה עד שיוקצו לתפקיד.
משתמשים בעלי הרשאות מנהל מערכת מוקצים באופן אוטומטי לתפקיד מנהל המערכת הכללי המוגדר כברירת מחדל ב- Defender for Endpoint עם הרשאות מלאות. לאחר הסכמתך להשתמש ב- RBAC, באפשרותך להקצות משתמשים נוספים שאינם Azure AD כלליים או מנהלי אבטחה לתפקיד מנהל מערכת כללי של Defender for Endpoint.
לאחר הסכמתך להשתמש ב- RBAC, לא תוכל לחזור לתפקידים הראשוניים כפי שנכנסת לראשונה לפורטל.