Usando il controllo degli accessi in base al ruolo, è possibile creare ruoli e gruppi all'interno del team delle operazioni di sicurezza per concedere l'accesso appropriato al portale. In base ai ruoli e ai gruppi creati, si dispone di un controllo granulare sulle operazioni che gli utenti con accesso al portale possono visualizzare e fare.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
I team di operazioni di sicurezza con distribuzione geografica di grandi dimensioni adottano in genere un modello basato su livelli per assegnare e autorizzare l'accesso ai portali di sicurezza. I livelli tipici includono i tre livelli seguenti:
Livello
Descrizione
Livello 1
Team locale delle operazioni di sicurezza/Team IT Questo team in genere analizza e analizza gli avvisi contenuti nella georilevazione e passa al livello 2 nei casi in cui è necessaria una correzione attiva.
Livello 2
Team regionale delle operazioni di sicurezza Questo team può visualizzare tutti i dispositivi per la propria area ed eseguire azioni di correzione.
Livello 3
Team globale delle operazioni di sicurezza Questo team è costituito da esperti di sicurezza e sono autorizzati a visualizzare ed eseguire tutte le azioni dal portale.
Nota
Per gli asset di livello 0, vedere Privileged Identity Management per gli amministratori della sicurezza per fornire un controllo più granulare di Microsoft Defender per endpoint e Microsoft Defender XDR.
Il controllo degli accessi in base al ruolo di Defender per endpoint è progettato per supportare il modello di livello o di ruolo preferito e offre un controllo granulare su quali ruoli possono essere visualizzati, sui dispositivi a cui possono accedere e sulle azioni che possono eseguire. Il framework controllo degli accessi in base al ruolo è incentrato sui controlli seguenti:
Controllare chi può intraprendere un'azione specifica
Creare ruoli personalizzati e controllare le funzionalità di Defender per endpoint a cui possono accedere con granularità.
Controllare chi può visualizzare informazioni su gruppi o gruppi di dispositivi specifici
Creare gruppi di dispositivi in base a criteri specifici, ad esempio nomi, tag, domini e altri, quindi concedere loro l'accesso ai ruoli usando un gruppo di utenti Microsoft Entra specifico.
Nota
La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.
Per implementare l'accesso in base al ruolo, è necessario definire i ruoli di amministratore, assegnare le autorizzazioni corrispondenti e assegnare Microsoft Entra gruppi di utenti assegnati ai ruoli.
Prima di iniziare
Prima di usare il controllo degli accessi in base al ruolo, è importante comprendere i ruoli che possono concedere le autorizzazioni e le conseguenze dell'attivazione del controllo degli accessi in base al ruolo.
Avviso
Prima di abilitare la funzionalità, è importante disporre di un ruolo appropriato, ad esempio Amministratore della sicurezza assegnato in Microsoft Entra ID, e che i gruppi di Microsoft Entra siano pronti per ridurre il rischio di blocco fuori dal portale.
Quando si accede per la prima volta al portale di Microsoft Defender, viene concesso l'accesso completo o di sola lettura. I diritti di accesso completi vengono concessi agli utenti con il ruolo di amministratore della sicurezza in Microsoft Entra ID. L'accesso in sola lettura viene concesso agli utenti con un ruolo lettore di sicurezza in Microsoft Entra ID.
Un utente con un ruolo di amministratore globale di Defender per endpoint ha accesso illimitato a tutti i dispositivi, indipendentemente dall'associazione del gruppo di dispositivi e dalle assegnazioni dei gruppi di utenti Microsoft Entra.
Avviso
Inizialmente, solo quelli con diritti di amministratore globale o amministratore della sicurezza Microsoft Entra possono creare e assegnare ruoli nel portale di Microsoft Defender, pertanto è importante avere i gruppi corretti pronti in Microsoft Entra ID.
L'attivazione del controllo degli accessi in base al ruolo fa sì che gli utenti con autorizzazioni di sola lettura (ad esempio, gli utenti assegnati a Microsoft Entra ruolo lettore di sicurezza) perdano l'accesso fino a quando non vengono assegnati a un ruolo.
Agli utenti con autorizzazioni di amministratore viene assegnato automaticamente il ruolo predefinito di amministratore globale di Defender per endpoint con autorizzazioni complete. Dopo aver acconsentto esplicitamente all'uso del controllo degli accessi in base al ruolo, è possibile assegnare altri utenti che non sono Microsoft Entra amministratori globali o amministratori della sicurezza al ruolo Amministratore globale di Defender per endpoint.
Dopo aver acconsentto esplicitamente all'uso del controllo degli accessi in base al ruolo, non è possibile ripristinare i ruoli iniziali come quando si è connessi per la prima volta al portale.
Di seguito viene descritto come usare il controllo degli accessi in base al ruolo di Azure per gestire efficacemente l'accesso del team alle risorse di Azure.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.