Udostępnij za pośrednictwem

Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach

  • Artykuł

Uwaga

Jeśli korzystasz z programu microsoft Defender XDR w wersji zapoznawczej, możesz teraz zapoznać się z nowym modelem ujednoliconej kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Defender 365. Aby uzyskać więcej informacji, zobacz Microsoft Defender 365 Unified role-based access control (RBAC) (Ujednolicona kontrola dostępu oparta na rolach) w usłudze Microsoft Defender 365.

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Za pomocą kontroli dostępu opartej na rolach (RBAC) można tworzyć role i grupy w ramach zespołu operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do portalu. Na podstawie utworzonych ról i grup masz szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i robić.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Duże zespoły ds. operacji zabezpieczeń rozproszonych geograficznie zwykle przyjmują model oparty na warstwach w celu przypisywania i autoryzowania dostępu do portali zabezpieczeń. Typowe warstwy obejmują następujące trzy poziomy:

Warstwy Opis
Warstwa 1 Lokalny zespół ds. operacji zabezpieczeń / zespół IT
Ten zespół zwykle klasyfikacji i bada alerty zawarte w ich geolokalizacji i eskaluje do warstwy 2 w przypadkach, gdy jest wymagane aktywne korygowanie.
Warstwa 2 Regionalny zespół ds. operacji zabezpieczeń
Ten zespół może wyświetlić wszystkie urządzenia dla swojego regionu i wykonać akcje korygowania.
Warstwa 3 Globalny zespół ds. operacji zabezpieczeń
Ten zespół składa się z ekspertów w dziedzinie zabezpieczeń i ma uprawnienia do wyświetlenia i wykonania wszystkich akcji z portalu.

Uwaga

W przypadku zasobów warstwy 0 zapoznaj się z artykułem Privileged Identity Management for security admins to provide more granular control of Microsoft Defender for Endpoint and Microsoft Defender XDR (Zarządzanie tożsamościami uprzywilejowanymi dla administratorów zabezpieczeń), aby zapewnić bardziej szczegółową kontrolę nad usługą Microsoft Defender for Endpoint i usługą Microsoft Defender XDR.

Funkcja RBAC usługi Defender for Endpoint jest przeznaczona do obsługi wybranego modelu warstwowego lub opartego na rolach i zapewnia szczegółową kontrolę nad rolami, do których mogą uzyskiwać dostęp, oraz akcjami, które mogą wykonywać. Struktura RBAC koncentruje się wokół następujących kontrolek:

  • Kontrolowanie, kto może podjąć określone działania
    • Tworzenie ról niestandardowych i kontrolowanie możliwości usługi Defender for Endpoint, do których mogą uzyskiwać dostęp ze szczegółowością.
  • Kontrolowanie, kto może wyświetlać informacje o określonej grupie lub grupach urządzeń

    • Utwórz grupy urządzeń według określonych kryteriów, takich jak nazwy, tagi, domeny i inne, a następnie przyznaj im dostęp do roli przy użyciu określonej grupy użytkowników Microsoft Entra.

      Uwaga

      Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Aby zaimplementować dostęp oparty na rolach, należy zdefiniować role administratora, przypisać odpowiednie uprawnienia i przypisać grupy użytkowników usługi Microsoft Entra przypisane do ról.

Przed rozpoczęciem

Przed użyciem kontroli dostępu opartej na rolach ważne jest zrozumienie ról, które mogą udzielać uprawnień, oraz konsekwencji włączenia kontroli dostępu opartej na rolach.

Ostrzeżenie

Przed włączeniem tej funkcji ważne jest, aby mieć rolę administratora globalnego lub administratora zabezpieczeń w identyfikatorze Microsoft Entra ID i że grupy Microsoft Entra są gotowe do zmniejszenia ryzyka zablokowania portalu.

Po pierwszym zalogowaniu się do portalu usługi Microsoft Defender otrzymasz pełny dostęp lub dostęp tylko do odczytu. Pełne prawa dostępu są przyznawane użytkownikom z rolami administratora zabezpieczeń lub administratora globalnego w usłudze Microsoft Entra ID. Dostęp tylko do odczytu jest udzielany użytkownikom z rolą Czytelnik zabezpieczeń w identyfikatorze Microsoft Entra.

Osoba z rolą administratora globalnego usługi Defender for Endpoint ma nieograniczony dostęp do wszystkich urządzeń, niezależnie od skojarzenia grupy urządzeń i przypisań grup użytkowników usługi Microsoft Entra.

Ostrzeżenie

Początkowo tylko osoby z uprawnieniami administratora globalnego lub administratora zabezpieczeń firmy Microsoft Entra mogą tworzyć i przypisywać role w portalu usługi Microsoft Defender; W związku z tym posiadanie odpowiednich grup gotowych w identyfikatorze Microsoft Entra jest ważne.

Włączenie kontroli dostępu opartej na rolach powoduje, że użytkownicy z uprawnieniami tylko do odczytu (na przykład użytkownicy przypisani do roli czytelnika usługi Microsoft Entra Security) tracą dostęp, dopóki nie zostaną przypisani do roli.

Użytkownikom z uprawnieniami administratora jest automatycznie przypisywana domyślna wbudowana rola administratora globalnego usługi Defender for Endpoint z pełnymi uprawnieniami. Po wybraniu kontroli dostępu opartej na rolach możesz przypisać dodatkowych użytkowników, którzy nie są administratorami globalnymi ani administratorami zabezpieczeń usługi Microsoft Entra, do roli administratora globalnego usługi Defender for Endpoint.

Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach nie można przywrócić początkowych ról, tak jak podczas pierwszego logowania w portalu.

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.