Grupy ról usługi Microsoft Defender for Identity
Usługa Microsoft Defender for Identity oferuje zabezpieczenia oparte na rolach, aby chronić dane zgodnie z określonymi potrzebami organizacji w zakresie zabezpieczeń i zgodności. Zalecamy używanie grup ról do zarządzania dostępem do usługi Defender for Identity, segregowania obowiązków między zespołem ds. zabezpieczeń i udzielania tylko ilości dostępu potrzebnego użytkownikom do wykonywania swoich zadań.
Ujednolicona kontrola dostępu oparta na rolach (RBAC)
Użytkownicy, którzy są już administratorami globalnymi lub administratorami zabezpieczeń w identyfikatorze Firmy Microsoft w dzierżawie, są również automatycznie administratorem usługi Defender for Identity. Administratorzy globalni i administratorzy zabezpieczeń firmy Microsoft nie potrzebują dodatkowych uprawnień dostępu do usługi Defender for Identity.
Dla innych użytkowników włącz i użyj kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365, aby utworzyć role niestandardowe i obsługiwać więcej ról identyfikatora Entra, takich jak Operator zabezpieczeń lub Czytelnik zabezpieczeń domyślnie, aby zarządzać dostępem do usługi Defender for Identity.
Podczas tworzenia ról niestandardowych upewnij się, że zastosowano uprawnienia wymienione w poniższej tabeli:
| Poziom dostępu usługi Defender for Identity | Minimalne wymagane uprawnienia ujednoliconej kontroli dostępu opartej na rolach platformy Microsoft 365 |
|---|---|
| Administratorzy | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Użytkownicy | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Widzów | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Aby uzyskać więcej informacji, zobacz Role niestandardowe w kontroli dostępu opartej na rolach dla usługi Microsoft Defender XDR i Tworzenie ról niestandardowych za pomocą usługi Microsoft Defender XDR Unified RBAC.
Uwaga
Informacje zawarte w dzienniku aktywności usługi Defender dla Chmury Apps mogą nadal zawierać dane usługi Defender for Identity. Ta zawartość jest zgodna z istniejącymi uprawnieniami Defender dla Chmury Apps.
Wyjątek: Jeśli skonfigurowano wdrożenie w zakresie dla alertów usługi Microsoft Defender for Identity w portalu Microsoft Defender dla Chmury Apps, te uprawnienia nie są przenoszone i musisz jawnie przyznać uprawnienia Operacje zabezpieczeń \ Dane zabezpieczeń \ Podstawy danych zabezpieczeń (odczyt) dla odpowiednich użytkowników portalu.
Wymagane uprawnienia usługi Defender for Identity w usłudze Microsoft Defender XDR
W poniższej tabeli przedstawiono konkretne uprawnienia wymagane do działania usługi Defender for Identity w usłudze Microsoft Defender XDR.
Ważne
Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
| Działanie | Najmniej wymagane uprawnienia |
|---|---|
| Dołączanie usługi Defender for Identity (tworzenie obszaru roboczego) | Administrator zabezpieczeń |
| Konfigurowanie ustawień usługi Defender for Identity | Jedną z następujących ról firmy Microsoft Entra: - Administrator zabezpieczeń - Operator zabezpieczeń Or Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Wyświetlanie ustawień usługi Defender for Identity | Jedną z następujących ról firmy Microsoft Entra: - Czytelnik globalny - Czytelnik zabezpieczeń Or Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Zarządzanie alertami i działaniami zabezpieczeń usługi Defender for Identity | Jedną z następujących ról firmy Microsoft Entra: - Operator zabezpieczeń Or Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Wyświetlanie ocen zabezpieczeń usługi Defender for Identity (teraz część wskaźnika bezpieczeństwa firmy Microsoft) |
Uprawnienia dostępu do wskaźnika bezpieczeństwa firmy Microsoft And Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: Security operations/Security data /Security data basics (Read) |
| Wyświetlanie strony Zasoby/tożsamości | Uprawnienia dostępu do aplikacji Defender dla Chmury Or Jedna z ról firmy Microsoft wymagana przez usługę Microsoft Defender XDR |
| Wykonywanie akcji odpowiedzi usługi Defender for Identity | Rola niestandardowa zdefiniowana z uprawnieniami odpowiedzi (zarządzanie) Or Jedną z następujących ról firmy Microsoft Entra: - Operator zabezpieczeń |
Grupy zabezpieczeń usługi Defender for Identity
Usługa Defender for Identity udostępnia następujące grupy zabezpieczeń ułatwiające zarządzanie dostępem do zasobów usługi Defender for Identity:
- Administratorzy usługi Azure ATP (nazwa obszaru roboczego)
- Użytkownicy usługi Azure ATP (nazwa obszaru roboczego)
- Osoby przeglądające usługi Azure ATP (nazwa obszaru roboczego)
W poniższej tabeli wymieniono działania dostępne dla każdej grupy zabezpieczeń:
| Działanie | Administratorzy usługi Azure ATP (nazwa obszaru roboczego) | Użytkownicy usługi Azure ATP (nazwa obszaru roboczego) | Osoby przeglądające usługi Azure ATP (nazwa obszaru roboczego) |
|---|---|---|---|
| Zmienianie stanu problemu z kondycją | Dostępna | Niedostępny | Niedostępny |
| Zmienianie stanu alertu zabezpieczeń (ponowne otwieranie, zamykanie, wykluczanie, pomijanie) | Dostępna | Dostępna | Niedostępny |
| Usuwanie obszaru roboczego | Dostępna | Niedostępny | Niedostępny |
| Pobieranie raportu | Dostępna | Dostępna | Dostępna |
| Logowanie | Dostępna | Dostępna | Dostępna |
| Udostępnianie/eksportowanie alertów zabezpieczeń (za pośrednictwem poczty e-mail, uzyskiwania linku, szczegółów pobierania) | Dostępna | Dostępna | Dostępna |
| Aktualizacja konfiguracji usługi Defender for Identity (aktualizacje) | Dostępna | Niedostępny | Niedostępny |
| Aktualizacja konfiguracji usługi Defender for Identity (tagi jednostek, w tym poufne i wystawione jako przynęta) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (wykluczenia) | Dostępna | Dostępna | Niedostępny |
| Aktualizacja konfiguracji usługi Defender for Identity (język) | Dostępna | Dostępna | Niedostępny |
| Aktualizacja konfiguracji usługi Defender for Identity (powiadomienia, w tym poczta e-mail i dziennik systemowy) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (wykrywanie wersji zapoznawczej) | Dostępna | Dostępna | Niedostępny |
| Aktualizacja konfiguracji usługi Defender for Identity (zaplanowane raporty) | Dostępna | Dostępna | Niedostępny |
| Aktualizacja konfiguracji usługi Defender for Identity (źródeł danych, w tym usług katalogowych, SIEM, VPN, Defender for Endpoint) | Dostępna | Niedostępny | Niedostępny |
| Aktualizacja konfiguracji usługi Defender for Identity (zarządzanie czujnikami, w tym pobieranie oprogramowania, ponowne generowanie kluczy, konfigurowanie, usuwanie) | Dostępna | Niedostępny | Niedostępny |
| Wyświetlanie profilów jednostek i alertów zabezpieczeń | Dostępna | Dostępna | Dostępna |
Dodawanie i usuwanie użytkowników
Usługa Defender for Identity używa grup zabezpieczeń entra firmy Microsoft jako podstawy dla grup ról.
Zarządzanie grupami ról na stronie zarządzania grupami w witrynie Azure Portal. Z grup zabezpieczeń można dodawać lub usuwać tylko użytkowników firmy Microsoft Entra.