Microsoft Defender for Identity 역할 그룹
Microsoft Defender for Identity 역할 기반 보안을 제공하여 조직의 특정 보안 및 규정 준수 요구 사항에 따라 데이터를 보호합니다. Defender for Identity는 관리자, 사용자 및 뷰어의 세 가지 개별 역할을 지원합니다.
참고
이 문서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법을 위한 단계를 제공하며, GDPR에 따른 의무를 지원하는 데 사용될 수 있습니다. GDPR에 대한 일반적인 정보를 찾는 경우 Service Trust Portal의 GDPR 섹션을 참조하세요.
역할 그룹은 Defender for Identity에 대한 액세스 관리를 사용하도록 설정합니다. 역할 그룹을 사용하면 보안 팀 내에서 업무를 분리하고 사용자가 작업을 수행하는 데 필요한 액세스 권한 양만 부여할 수 있습니다. 이 문서에서는 액세스 관리, Defender for Identity 역할 권한 부여에 대해 설명하고 Defender for Identity에서 역할 그룹을 시작하고 실행하는 데 도움이 됩니다.
참고
테넌트의 Azure Active Directory에 있는 모든 전역 관리자 또는 보안 관리자는 자동으로 Defender for Identity 관리자입니다.
RBAC(통합 역할 기반 액세스 제어)
이제 Defender for Identity의 Azure AD 그룹을 사용하는 대신 Microsoft 365 포털에서 보다 세부적인 역할 기반 액세스 제어를 사용하도록 설정할 수 있습니다. 자세한 내용은 Microsoft 365 Defender 대한 역할 기반 액세스 제어의 사용자 지정 역할을 참조하세요.
참고
사용하도록 설정되면 기존 Defender for Identity 역할을 새 형식으로 마이그레이션할 수 있습니다. 그러나 새 역할을 변경하거나 추가하는 경우 클래식 Defender for Identity 환경에 액세스하려면 역할 테이블에 대한 이러한 사용 권한과 일치해야 합니다.
| 동등한 Defender for Identity 역할 | 필요한 최소 Microsoft 365 통합 RBAC 권한 |
|---|---|
| MDI 관리 | 권한 부여 및 설정/보안 설정/읽기 권한 부여 및 설정/보안 설정/모든 권한 권한 부여 및 설정/시스템 설정/읽기 권한 부여 및 설정/시스템 설정/모든 권한 보안 작업/보안 데이터/경고(관리) 보안 작업/보안 데이터 /보안 데이터 기본 사항(읽기) 권한 부여 및 설정/권한 부여/모든 권한 권한 부여 및 설정/권한 부여/읽기 |
| MDI 사용자 | 보안 작업/보안 데이터 /보안 데이터 기본 사항(읽기) 권한 부여 및 설정/시스템 설정/읽기 권한 부여 및 설정/보안 설정/읽기 보안 작업/보안 데이터/경고(관리) microsoft.xdr/configuration/security/manage |
| MDI 뷰어 | 보안 작업/보안 데이터 /보안 데이터 기본 사항(읽기) 권한 부여 및 설정/시스템 설정/읽기 권한 부여 및 설정/보안 설정/읽기 |
참고
Defender for Cloud Apps 활동 로그에 포함된 정보에는 기존 Defender for Cloud Apps 권한을 준수하는 Defender for Identity 데이터가 계속 포함될 수 있습니다.
Microsoft 365 Defender 환경에 필요한 권한
Microsoft 365 Defender 의 Defender for Identity 환경에 액세스하려면 다음 권한이 필요합니다.
| Microsoft 365 Defender 작업 | 필요한 사용 권한 |
|---|---|
| MDI 작업 영역 만들기 | 다음 Azure AD 역할 중 하나의 멤버입니다. |
| MDI 설정 | 다음 Azure AD 역할 중 하나의 멤버입니다. Or 통합 RBAC 권한: |
| MDI 보안 경고 및 활동 | Microsoft 365 Defender 필요한 Azure AD 역할 중 하나의 멤버 Or 통합 RBAC 권한: |
| MDI 보안 평가 (현재 Microsoft 보안 점수의 일부임) |
Microsoft 보안 점수에 액세스할 수 있는 권한 And 통합 RBAC 권한: |
| 자산/ID 페이지 | Defender for Cloud Apps에 액세스할 수 있는 권한 or Microsoft 365 Defender 필요한 Azure AD 역할 중 하나의 멤버 |
Defender for Identity 보안 그룹 유형
Defender for Identity는 Azure ATP (작업 영역 이름) 관리자, Azure ATP (작업 영역 이름) 사용자 및 Azure ATP (작업 영역 이름) 뷰어의 세 가지 보안 그룹을 제공합니다. 다음 표에서는 각 역할에 사용할 수 있는 Defender for Identity의 액세스 유형에 대해 설명합니다. 할당하는 역할에 따라 다음과 같이 해당 사용자가 다양한 화면 및 옵션을 사용할 수 없습니다.
| 활동 | Azure ATP (작업 영역 이름) 관리자 | Azure ATP (작업 영역 이름) 사용자 | Azure ATP (작업 영역 이름) 뷰어 |
|---|---|---|---|
| 상태 경고의 상태 변경 | 사용 가능 | 사용할 수 없음 | 사용할 수 없음 |
| 보안 경고의 상태 변경(다시 열기, 닫기, 제외, 표시 안 함) | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| 작업 영역 삭제 | 사용 가능 | 사용할 수 없음 | 사용할 수 없음 |
| 보고서 다운로드 | 사용 가능 | 사용 가능 | 사용 가능 |
| 로그인 | 사용 가능 | 사용 가능 | 사용 가능 |
| 보안 경고 공유/내보내기(메일을 통해, 링크 가져오기, 다운로드 정보) | 사용 가능 | 사용 가능 | 사용 가능 |
| Defender for Identity 구성 업데이트 - 업데이트 | 사용 가능 | 사용할 수 없음 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 엔터티 태그(중요한 태그 및 honeytoken) | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 제외 | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 언어 | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 알림(이메일 및 syslog) | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 미리 보기 검색 | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 예약된 보고서 | 사용 가능 | 사용 가능 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 데이터 원본(디렉터리 서비스, SIEM, VPN, 엔드포인트용 Defender) | 사용 가능 | 사용할 수 없음 | 사용할 수 없음 |
| Defender for Identity 구성 업데이트 - 센서(다운로드, 키 다시 생성, 구성, 삭제) | 사용 가능 | 사용할 수 없음 | 사용할 수 없음 |
| 엔터티 프로필 및 보안 경고 보기 | 사용 가능 | 사용 가능 | 사용 가능 |
사용자 추가 및 제거
Defender for Identity는 역할 그룹의 기준으로 Azure AD 보안 그룹을 사용합니다. 역할 그룹은 그룹 관리 페이지에서 관리할 수 있습니다. Azure AD 사용자만 보안 그룹에서 추가하거나 제거할 수 있습니다.