Gestire l'accesso al portale usando il controllo degli accessi in base al ruolo
Nota
Se si esegue il programma di anteprima Microsoft Defender XDR, è ora possibile provare il nuovo modello di controllo degli accessi in base al ruolo unificato Microsoft Defender 365. Per altre informazioni, vedere Microsoft Defender 365 Unified role-based access control (RBAC) (Controllo degli accessi in base al ruolo unificato).
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Entra ID
- Office 365
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Usando il controllo degli accessi in base al ruolo, è possibile creare ruoli e gruppi all'interno del team delle operazioni di sicurezza per concedere l'accesso appropriato al portale. In base ai ruoli e ai gruppi creati, si dispone di un controllo granulare sulle operazioni che gli utenti con accesso al portale possono visualizzare e fare.
I team di operazioni di sicurezza con distribuzione geografica di grandi dimensioni adottano in genere un modello basato su livelli per assegnare e autorizzare l'accesso ai portali di sicurezza. I livelli tipici includono i tre livelli seguenti:
| Livello | Descrizione |
|---|---|
| Livello 1 | Team locale delle operazioni di sicurezza/Team IT Questo team in genere analizza e analizza gli avvisi contenuti nella georilevazione e passa al livello 2 nei casi in cui è necessaria una correzione attiva. |
| Livello 2 | Team regionale delle operazioni di sicurezza Questo team può visualizzare tutti i dispositivi per la propria area ed eseguire azioni di correzione. |
| Livello 3 | Team globale delle operazioni di sicurezza Questo team è costituito da esperti di sicurezza e sono autorizzati a visualizzare ed eseguire tutte le azioni dal portale. |
Nota
Per gli asset di livello 0, vedere Privileged Identity Management per gli amministratori della sicurezza per fornire un controllo più granulare di Microsoft Defender per endpoint e Microsoft Defender XDR.
Il controllo degli accessi in base al ruolo di Defender per endpoint è progettato per supportare il modello di livello o di ruolo preferito e offre un controllo granulare su quali ruoli possono essere visualizzati, sui dispositivi a cui possono accedere e sulle azioni che possono eseguire. Il framework controllo degli accessi in base al ruolo è incentrato sui controlli seguenti:
- Controllare chi può intraprendere un'azione specifica
- Create ruoli personalizzati e controllare le funzionalità di Defender per endpoint a cui possono accedere con granularità.
- Controllare chi può visualizzare informazioni su gruppi o gruppi di dispositivi specifici
Create gruppi di dispositivi in base a criteri specifici, ad esempio nomi, tag, domini e altri, concedere loro l'accesso ai ruoli usando un gruppo di utenti Microsoft Entra specifico.
Nota
La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.
Per implementare l'accesso in base al ruolo, è necessario definire i ruoli di amministratore, assegnare le autorizzazioni corrispondenti e assegnare Microsoft Entra gruppi di utenti assegnati ai ruoli.
Prima di iniziare
Prima di usare il controllo degli accessi in base al ruolo, è importante comprendere i ruoli che possono concedere le autorizzazioni e le conseguenze dell'attivazione del controllo degli accessi in base al ruolo.
Avviso
Prima di abilitare la funzionalità, è importante disporre di un ruolo di amministratore globale o di amministratore della sicurezza in Microsoft Entra ID e che i gruppi di Microsoft Entra siano pronti per ridurre il rischio di blocco dal portale.
Quando si accede per la prima volta al portale di Microsoft Defender, viene concesso l'accesso completo o di sola lettura. I diritti di accesso completi vengono concessi agli utenti con ruoli Amministratore della sicurezza o Amministratore globale in Microsoft Entra ID. L'accesso in sola lettura viene concesso agli utenti con un ruolo lettore di sicurezza in Microsoft Entra ID.
Un utente con un ruolo defender per endpoint amministratore globale ha accesso illimitato a tutti i dispositivi, indipendentemente dall'associazione del gruppo di dispositivi e dalle assegnazioni dei gruppi di utenti Microsoft Entra.
Avviso
Inizialmente, solo quelli con diritti di amministratore globale o amministratore della sicurezza Microsoft Entra potranno creare e assegnare ruoli nel portale di Microsoft Defender, pertanto è importante avere i gruppi corretti pronti in Microsoft Entra ID.
Se si attiva il controllo degli accessi in base al ruolo, gli utenti con autorizzazioni di sola lettura ,ad esempio gli utenti assegnati a Microsoft Entra ruolo lettore di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo.
Agli utenti con autorizzazioni di amministratore viene assegnato automaticamente il ruolo di amministratore globale predefinito di Defender per endpoint con autorizzazioni complete. Dopo aver acconsentto esplicitamente all'uso del controllo degli accessi in base al ruolo, è possibile assegnare altri utenti che non sono Microsoft Entra amministratori globali o di sicurezza al ruolo di amministratore globale di Defender per endpoint.
Dopo aver acconsentto esplicitamente all'uso del controllo degli accessi in base al ruolo, non è possibile ripristinare i ruoli iniziali come quando si è connessi per la prima volta al portale.
Argomento correlato
- Ruoli controllo degli accessi in base al ruolo
- Create e gestire i gruppi di dispositivi in Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per