Usare ruoli e autorizzazioni
Microsoft Defender per il Cloud usa il controllo degli accessi in base al ruolo di Azure per fornire ruoli predefiniti. È possibile assegnare questi ruoli a utenti, gruppi e servizi in Azure per concedere agli utenti l'accesso alle risorse in base all'accesso definito nel ruolo.
Defender per il Cloud consente di valutare la configurazione delle risorse per identificare problemi di sicurezza e vulnerabilità. In Defender per il Cloud gli utenti possono visualizzare solo informazioni relative a una risorsa quando viene assegnato uno di questi ruoli per la sottoscrizione o per il gruppo di risorse in cui si trova la risorsa: Proprietario, Collaboratore o Lettore.
Oltre ai ruoli predefiniti, esistono due ruoli specifici di Defender per il Cloud:
- Ruolo con autorizzazioni di lettura per la sicurezza: un utente che appartiene a questo ruolo ha accesso in sola lettura a Defender per il Cloud. L'utente può visualizzare raccomandazioni, avvisi, criteri di sicurezza e stati di sicurezza, ma non può apportare modifiche.
- Amministratore della sicurezza: un utente che appartiene a questo ruolo ha lo stesso accesso del Ruolo con autorizzazioni di lettura per la sicurezza e può anche aggiornare i criteri di sicurezza e rimuovere gli avvisi e le raccomandazioni.
È consigliabile assegnare il ruolo con il minor numero di autorizzazioni che permetta agli utenti di completare le attività. Assegnare ad esempio il ruolo di lettore agli utenti che devono visualizzare solo le informazioni sull'integrità della sicurezza di una risorsa, ma non eseguono alcuna azione, come l'applicazione di consigli e la modifica di criteri.
Ruoli e azioni consentite
La tabella seguente contiene i ruoli e le azioni consentite in Defender per il Cloud.
| Azione | Ruolo con autorizzazioni di lettura per la sicurezza / Lettore |
Amministrazione della protezione | Collaboratore / Proprietario | Collaboratore | Proprietario |
|---|---|---|---|---|---|
| (Livello di gruppo di risorse) | (A livello di sottoscrizione) | (A livello di sottoscrizione) | |||
| Aggiungere/assegnare iniziative, inclusi gli standard di conformità alle normative | - | ✔ | - | - | ✔ |
| Modificare i criteri di sicurezza | - | ✔ | - | - | ✔ |
| Abilitare/disabilitare i piani di Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorare gli avvisi | - | ✔ | - | ✔ | ✔ |
| Applicare i suggerimenti per la sicurezza per una risorsa (e usare Correzione) |
- | - | ✔ | ✔ | ✔ |
| Visualizzare gli avvisi e le raccomandazioni | ✔ | ✔ | ✔ | ✔ | ✔ |
| Esentare le raccomandazioni sulla sicurezza | - | ✔ | - | - | ✔ |
| Configurare le notifiche di posta elettronica | - | ✔ | ✔ | ✔ | ✔ |
Nota
Anche se i tre ruoli indicati sono sufficienti per abilitare e disabilitare i piani di Defender, per abilitare tutte le funzionalità di un piano è necessario il ruolo Proprietario.
Il ruolo specifico necessario per distribuire i componenti di monitoraggio dipende dall'estensione che si sta distribuendo. Altre informazioni sui componenti di monitoraggio .
Ruoli usati per effettuare automaticamente il provisioning di agenti ed estensioni
Per consentire al ruolo amministratore della sicurezza di effettuare automaticamente il provisioning di agenti ed estensioni usati nei piani di Defender per il Cloud, Defender per il Cloud usa la correzione dei criteri in modo analogo a Criteri di Azure. Per usare la correzione, Defender per il Cloud deve creare entità servizio, dette anche identità gestite che assegnano ruoli a livello di sottoscrizione. Ad esempio, le entità servizio per il piano Defender per contenitori sono:
| Entità servizio | Ruoli |
|---|---|
| Profilo di sicurezza del servizio Azure Kubernetes per il provisioning di Defender per contenitori | • Collaboratore estensione Kubernetes • Collaboratore • Collaboratore del servizio Azure Kubernetes • Collaboratore di Log Analytics |
| Provisioning di Kubernetes con abilitazione di Defender per contenitori | • Collaboratore del servizio Azure Kubernetes • Collaboratore estensione Kubernetes • Collaboratore • Collaboratore di Log Analytics |
| Criteri di Azure per Kubernetes per il provisioning di Defender per contenitori | • Collaboratore estensione Kubernetes • Collaboratore • Collaboratore del servizio Azure Kubernetes |
| Estensione dei criteri di provisioning di Defender per Kubernetes con abilitazione Arc | • Collaboratore del servizio Azure Kubernetes • Collaboratore estensione Kubernetes • Collaboratore |
Passaggi successivi
In questo articolo è stato illustrato come Defender per il Cloud usa il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni agli utenti e sono state identificate le azioni consentite per ogni ruolo. Ora che è stata acquisita familiarità con le assegnazioni di ruolo necessari per monitorare lo stato di sicurezza della sottoscrizione, modificare i criteri di sicurezza e applicare i consigli, si apprenderà come eseguire queste operazioni:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per