Rollen en machtigingen instellen
Microsoft Defender voor Cloud gebruikt Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor ingebouwde rollen. U kunt deze rollen toewijzen aan gebruikers, groepen en services in Azure om gebruikers toegang te geven tot resources op basis van de toegang die is gedefinieerd in de rol.
Defender voor Cloud evalueert de configuratie van uw resources om beveiligingsproblemen en beveiligingsproblemen te identificeren. In Defender voor Cloud ziet u alleen informatie met betrekking tot een resource wanneer u een van deze rollen voor het abonnement of voor de resourcegroep krijgt waarin de resource zich bevindt: Eigenaar, Inzender of Lezer.
Naast de ingebouwde rollen zijn er twee rollen die specifiek zijn voor Defender voor Cloud:
- Beveiligingslezer: een gebruiker die deel uitmaakt van deze rol heeft alleen-lezentoegang tot Defender voor Cloud. De gebruiker kan aanbevelingen, waarschuwingen, een beveiligingsbeleid en beveiligingsstatussen bekijken, maar geen wijzigingen aanbrengen.
- Beveiliging Beheer: een gebruiker die tot deze rol behoort, heeft dezelfde toegang als de beveiligingslezer en kan ook het beveiligingsbeleid bijwerken en waarschuwingen en aanbevelingen negeren.
We raden u aan de rol toe te wijzen die gebruikers minimaal nodig hebben om hun taken uit te voeren. Wijs bijvoorbeeld gebruikers die alleen informatie hoeven te bekijken over de beveiligingsstatus van resources, maar geen maatregelen hoeven te nemen zoals het toepassen van aanbevelingen of het bewerken van beleid, de rol Lezer toe.
Rollen en toegestane acties
In de volgende tabel worden rollen en toegestane acties in Defender voor Cloud weergegeven.
| Actie | Beveiligingslezer / Lezer |
Beveiligingsbeheerder | Eigenaar van inzender / | Inzender | Eigenaar |
|---|---|---|---|---|---|
| (Niveau van resourcegroep) | (Abonnementsniveau) | (Abonnementsniveau) | |||
| Initiatieven (waaronder) reglementaire nalevingsstandaarden toevoegen/toewijzen | - | ✔ | - | - | ✔ |
| Beveiligingsbeleid bewerken | - | ✔ | - | - | ✔ |
| Microsoft Defender-abonnementen in- of uitschakelen | - | ✔ | - | ✔ | ✔ |
| Waarschuwingen verwijderen | - | ✔ | - | ✔ | ✔ |
| Beveiligingsaanaanveling toepassen voor een resource (en fix gebruiken) | - | - | ✔ | ✔ | ✔ |
| Meldingen en aanbevelingen weergeven | ✔ | ✔ | ✔ | ✔ | ✔ |
| Beveiligingsaanaanveling uitsluiten | - | ✔ | - | - | ✔ |
De specifieke rol die is vereist voor het implementeren van bewakingsonderdelen, is afhankelijk van de extensie die u implementeert. Meer informatie over bewakingsonderdelen.
Rollen die worden gebruikt om agents en extensies automatisch in te richten
Als u de rol Security Beheer wilt toestaan om agents en extensies die worden gebruikt in Defender voor Cloud-plannen automatisch in te richten, gebruikt Defender voor Cloud beleidherstel op een vergelijkbare manier als Azure Policy. Als u herstel wilt gebruiken, moet Defender voor Cloud service-principals maken, ook wel beheerde identiteiten genoemd die rollen toewijzen op abonnementsniveau. De service-principals voor het Defender for Containers-plan zijn bijvoorbeeld:
| Service-principal | Rollen |
|---|---|
| AKS-beveiligingsprofiel inrichten met Defender for Containers | • Inzender voor Kubernetes-extensies •Inzender • Inzender voor Azure Kubernetes Service • Log Analytics-inzender |
| Defender for Containers inrichten met Kubernetes met Arc | • Inzender voor Azure Kubernetes Service • Inzender voor Kubernetes-extensies •Inzender • Log Analytics-inzender |
| Defender for Containers inrichten van Azure Policy voor Kubernetes | • Inzender voor Kubernetes-extensies •Inzender • Inzender voor Azure Kubernetes Service |
| Defender for Containers-inrichtingsbeleidsextensie voor Kubernetes met Arc | • Inzender voor Azure Kubernetes Service • Inzender voor Kubernetes-extensies •Inzender |
Volgende stappen
In dit artikel wordt uitgelegd hoe Defender voor Cloud Azure RBAC gebruikt om machtigingen toe te wijzen aan gebruikers en de toegestane acties voor elke rol te identificeren. Nu u bekend bent met de roltoewijzingen die nodig zijn voor het bewaken van de beveiligingsstatus van uw abonnement, het bewerken van beveiligingsbeleid en het toepassen van aanbevelingen, kunt u het volgende gaan leren: