Creare e gestire ruoli per il controllo degli accessi in base al ruolo
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
La procedura seguente illustra come creare ruoli nel portale di Microsoft Defender. Si presuppone che siano già stati creati gruppi di utenti di Microsoft Entra.
Accedere al portale di Microsoft Defender usando l'account con il ruolo Amministratore della sicurezza assegnato.
Nel riquadro di spostamento selezionare Impostazioni>Ruoliendpoint> (in Autorizzazioni).
Selezionare Aggiungi ruolo.
Immettere il nome del ruolo, la descrizione e le autorizzazioni da assegnare al ruolo.
Selezionare Avanti per assegnare il ruolo a un gruppo di sicurezza Microsoft Entra.
Usare il filtro per selezionare il gruppo Microsoft Entra a cui si vuole aggiungere il ruolo.
Salvare e chiudere.
Applicare le impostazioni di configurazione.
Importante
Dopo aver creato i ruoli, sarà necessario creare un gruppo di dispositivi e fornire l'accesso al gruppo di dispositivi assegnandolo a un ruolo appena creato.
Nota
La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.
Visualizza dati
- Operazioni di sicurezza : visualizzare tutti i dati delle operazioni di sicurezza nel portale
- Gestione delle vulnerabilità di Defender - Visualizzare i dati di Gestione vulnerabilità di Defender nel portale
Azioni di correzione attive
- Operazioni di sicurezza : eseguire azioni di risposta, approvare o ignorare le azioni correttive in sospeso, gestire gli elenchi consentiti/bloccati per l'automazione e gli indicatori
- Gestione delle vulnerabilità di Defender - Gestione delle eccezioni - Creare nuove eccezioni e gestire le eccezioni attive
- Gestione delle vulnerabilità di Defender - Gestione delle correzioni - Inviare nuove richieste di correzione, creare ticket e gestire le attività di correzione esistenti
- Gestione delle vulnerabilità di Defender - Gestione delle applicazioni - Applicare azioni immediate di mitigazione bloccando le applicazioni vulnerabili, come parte dell'attività di correzione e gestire le app bloccate ed eseguire azioni di sblocco
Baseline di sicurezza
- Gestione delle vulnerabilità di Defender - Gestire i profili di valutazione delle baseline di sicurezza : creare e gestire i profili in modo da poter valutare se i dispositivi sono conformi alle baseline del settore della sicurezza.
Analisi degli avvisi : gestire gli avvisi, avviare indagini automatizzate, eseguire analisi, raccogliere pacchetti di indagine, gestire i tag del dispositivo e scaricare solo file eseguibili portabili (PE)
Gestire le impostazioni del sistema del portale - Configurare le impostazioni di archiviazione, SIEM e le impostazioni dell'API intel per le minacce (si applica a livello globale), impostazioni avanzate, caricamenti automatizzati di file, ruoli e gruppi di dispositivi
Nota
Questa impostazione è disponibile solo nel ruolo Amministratore di Microsoft Defender per endpoint (impostazione predefinita).
Gestire le impostazioni di sicurezza nel Centro sicurezza - Configurare le impostazioni di eliminazione degli avvisi, gestire le esclusioni di cartelle per i dispositivi di automazione, onboarding e offboard, gestire le notifiche tramite posta elettronica, gestire il lab di valutazione e gestire gli elenchi consentiti/bloccati per gli indicatori
Funzionalità di risposta dinamica
-
Comandi di base :
- Avviare una sessione di risposta dinamica
- Eseguire comandi live-response di sola lettura nel dispositivo remoto (escluse la copia e l'esecuzione dei file)
- Scaricare un file dal dispositivo remoto tramite risposta in tempo reale
-
Comandi avanzati :
- Scaricare file PE e non PE dalla pagina del file
- Caricare un file nel dispositivo remoto
- Visualizzare uno script dalla libreria di file
- Eseguire uno script nel dispositivo remoto dalla libreria di file
-
Comandi di base :
Per altre informazioni sui comandi disponibili, vedere Analizzare i dispositivi usando la risposta in tempo reale.
Accedere al portale di Microsoft Defender usando l'account con il ruolo di amministratore della sicurezza assegnato.
Nel riquadro di spostamento selezionare Impostazioni>Ruoliendpoint> (in Autorizzazioni).
Selezionare il ruolo da modificare.
Fare clic su Modifica.
Modificare i dettagli o i gruppi assegnati al ruolo.
Fare clic su Salva e chiudi.
Accedere al portale di Microsoft Defender usando l'account con il ruolo Amministratore della sicurezza assegnato.
Nel riquadro di spostamento selezionare Impostazioni>Ruoliendpoint> (in Autorizzazioni).
Selezionare il ruolo da eliminare.
Fare clic sul pulsante a discesa e selezionare Elimina ruolo.
- Assegnare ruoli di Microsoft Entra agli utenti
- Assegnare l'accesso utente
- Creazione e gestione di gruppi di dispositivi
Suggerimento
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.