Behandle portaltilgang ved hjelp av rollebasert tilgangskontroll
Artikkel
Obs!
Hvis du kjører Microsoft Defender XDR forhåndsversjonsprogram, kan du nå oppleve den nye modellen Microsoft Defender 365 Unified role-based access control (RBAC). Hvis du vil ha mer informasjon, kan du se Microsoft Defender 365 Unified role-based access control (RBAC).
Ved hjelp av rollebasert tilgangskontroll (RBAC) kan du opprette roller og grupper i sikkerhetsoperasjonsteamet for å gi riktig tilgang til portalen. Basert på rollene og gruppene du oppretter, har du finjustert kontroll over hva brukere med tilgang til portalen kan se og gjøre.
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Store geo-distribuerte sikkerhetsoperasjonsteam tar vanligvis i bruk en lagbasert modell for å tilordne og godkjenne tilgang til sikkerhetsportaler. Vanlige nivåer inkluderer følgende tre nivåer:
Tier
Beskrivelse
Nivå 1
Team for lokale sikkerhetsoperasjoner / IT-team Dette teamet triages vanligvis og undersøker varsler i geolokasjonen og eskalerer til nivå 2 i tilfeller der en aktiv utbedring er nødvendig.
Nivå 2
Team for regionale sikkerhetsoperasjoner Dette teamet kan se alle enhetene for området og utføre utbedringshandlinger.
Nivå 3
Team for globale sikkerhetsoperasjoner Dette teamet består av sikkerhetseksperter og er autorisert til å se og utføre alle handlinger fra portalen.
Obs!
For aktiva på nivå 0 kan du se Privileged Identity Management for sikkerhetsadministratorer for å gi mer detaljert kontroll over Microsoft Defender for endepunkt og Microsoft Defender XDR.
Defender for Endpoint RBAC er utformet for å støtte din nivå- eller rollebaserte modell av valget og gir deg detaljert kontroll over hvilke roller som kan se, enheter de kan få tilgang til, og handlinger de kan utføre. RBAC-rammeverket er sentrert rundt følgende kontroller:
Kontrollere hvem som kan utføre bestemte handlinger
Opprett egendefinerte roller og kontroller hvilke Defender for endepunkt-funksjoner de har tilgang til med detaljnivå.
Kontrollere hvem som kan se informasjon om bestemte enhetsgrupper eller grupper
Opprett enhetsgrupper etter bestemte kriterier, for eksempel navn, merker, domener og andre, og gi rolletilgang til dem ved hjelp av en bestemt Microsoft Entra brukergruppe.
Obs!
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
Hvis du vil implementere rollebasert tilgang, må du definere administratorroller, tilordne tilsvarende tillatelser og tilordne Microsoft Entra brukergrupper tilordnet rollene.
Før du starter
Før du bruker RBAC, er det viktig at du forstår rollene som kan gi tillatelser og konsekvensene av å slå på RBAC.
Advarsel
Før du aktiverer funksjonen, er det viktig at du har en passende rolle, for eksempel sikkerhetsadministrator som er logget på Microsoft Entra ID, og at du har Microsoft Entra grupper klare til å redusere risikoen for å bli låst ute fra portalen.
Når du logger deg på Microsoft Defender portal for første gang, får du enten full tilgang eller skrivebeskyttet tilgang. Full tilgangsrettigheter gis til brukere med rollen sikkerhetsadministrator i Microsoft Entra ID. Skrivebeskyttet tilgang gis til brukere med en sikkerhetsleserrolle i Microsoft Entra ID.
Noen med en global administratorrolle i Defender for Endpoint har ubegrenset tilgang til alle enheter, uavhengig av enhetsgruppetilknytningen og Microsoft Entra brukergruppetildelinger.
Advarsel
I utgangspunktet kan bare de med Microsoft Entra globale administrator- eller sikkerhetsadministratorrettigheter opprette og tilordne roller i Microsoft Defender-portalen. Derfor er det viktig å ha de riktige gruppene klare i Microsoft Entra ID.
Hvis du aktiverer rollebasert tilgangskontroll, mister brukere med skrivebeskyttede tillatelser (for eksempel brukere som er tilordnet til Microsoft Entra sikkerhetsleserrolle) tilgang til de er tilordnet en rolle.
Brukere med administratortillatelser tilordnes automatisk den standard innebygde rollen som global administrator for Defender for Endpoint med alle tillatelser. Når du har valgt å bruke RBAC, kan du tilordne flere brukere som ikke er Microsoft Entra globale administratorer eller sikkerhetsadministratorer, til rollen Som global administrator for Defender for Endpoint.
Når du har valgt å bruke RBAC, kan du ikke gå tilbake til de opprinnelige rollene som når du først logget på portalen.