Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach
Artykuł
Uwaga
Jeśli korzystasz z programu w wersji zapoznawczej Microsoft Defender XDR, możesz teraz zapoznać się z nowym modelem ujednoliconej kontroli dostępu na podstawie ról (RBAC) Microsoft Defender 365. Aby uzyskać więcej informacji, zobacz Microsoft Defender 365 Ujednolicona kontrola dostępu oparta na rolach (RBAC).
Za pomocą kontroli dostępu opartej na rolach (RBAC) można tworzyć role i grupy w ramach zespołu operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do portalu. Na podstawie utworzonych ról i grup masz szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i robić.
Ważne
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Duże zespoły ds. operacji zabezpieczeń rozproszonych geograficznie zwykle przyjmują model oparty na warstwach w celu przypisywania i autoryzowania dostępu do portali zabezpieczeń. Typowe warstwy obejmują następujące trzy poziomy:
Warstwy
Opis
Warstwa 1
Lokalny zespół ds. operacji zabezpieczeń / zespół IT Ten zespół zwykle klasyfikacji i bada alerty zawarte w ich geolokalizacji i eskaluje do warstwy 2 w przypadkach, gdy jest wymagane aktywne korygowanie.
Warstwa 2
Regionalny zespół ds. operacji zabezpieczeń Ten zespół może wyświetlić wszystkie urządzenia dla swojego regionu i wykonać akcje korygowania.
Warstwa 3
Globalny zespół ds. operacji zabezpieczeń Ten zespół składa się z ekspertów w dziedzinie zabezpieczeń i ma uprawnienia do wyświetlenia i wykonania wszystkich akcji z portalu.
Uwaga
W przypadku zasobów warstwy 0 zapoznaj się z tematem Privileged Identity Management dla administratorów zabezpieczeń, aby zapewnić bardziej szczegółową kontrolę nad Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender XDR.
Funkcja RBAC usługi Defender for Endpoint jest przeznaczona do obsługi wybranego modelu warstwowego lub opartego na rolach i zapewnia szczegółową kontrolę nad rolami, do których mogą uzyskiwać dostęp, oraz akcjami, które mogą wykonywać. Struktura RBAC koncentruje się wokół następujących kontrolek:
Kontrolowanie, kto może podjąć określone działania
Tworzenie ról niestandardowych i kontrolowanie możliwości usługi Defender for Endpoint, do których mogą uzyskiwać dostęp ze szczegółowością.
Kontrolowanie, kto może wyświetlać informacje o określonej grupie lub grupach urządzeń
Utwórz grupy urządzeń według określonych kryteriów, takich jak nazwy, tagi, domeny i inne, a następnie przyznaj im dostęp do roli przy użyciu określonej grupy użytkowników Microsoft Entra.
Uwaga
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Aby zaimplementować dostęp oparty na rolach, należy zdefiniować role administratora, przypisać odpowiednie uprawnienia i przypisać Microsoft Entra grupy użytkowników przypisane do ról.
Przed rozpoczęciem
Przed użyciem kontroli dostępu opartej na rolach ważne jest zrozumienie ról, które mogą udzielać uprawnień, oraz konsekwencji włączenia kontroli dostępu opartej na rolach.
Ostrzeżenie
Przed włączeniem tej funkcji ważne jest, aby mieć odpowiednią rolę, taką jak administrator zabezpieczeń przypisany do Tożsamość Microsoft Entra, oraz aby grupy Microsoft Entra były gotowe do zmniejszenia ryzyka zablokowania portalu.
Po pierwszym zalogowaniu się do portalu Microsoft Defender otrzymasz pełny dostęp lub dostęp tylko do odczytu. Pełne prawa dostępu są przyznawane użytkownikom z rolą administratora zabezpieczeń w Tożsamość Microsoft Entra. Dostęp tylko do odczytu jest przyznawany użytkownikom z rolą Czytelnik zabezpieczeń w Tożsamość Microsoft Entra.
Osoba z rolą administratora globalnego usługi Defender for Endpoint ma nieograniczony dostęp do wszystkich urządzeń, niezależnie od skojarzenia grupy urządzeń i Microsoft Entra przypisań grup użytkowników.
Ostrzeżenie
Początkowo tylko osoby z uprawnieniami administratora globalnego lub administratora zabezpieczeń Microsoft Entra mogą tworzyć i przypisywać role w portalu Microsoft Defender, dlatego przygotowanie odpowiednich grup w Tożsamość Microsoft Entra jest ważne.
Włączenie kontroli dostępu opartej na rolach powoduje, że użytkownicy z uprawnieniami tylko do odczytu (na przykład użytkownicy przypisani do roli czytelnika Microsoft Entra Zabezpieczenia) utracą dostęp do momentu przypisania ich do roli.
Użytkownikom z uprawnieniami administratora jest automatycznie przypisywana domyślna wbudowana rola administratora globalnego usługi Defender for Endpoint z pełnymi uprawnieniami. Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach możesz przypisać dodatkowych użytkowników, którzy nie są Microsoft Entra administratorów globalnych lub administratorów zabezpieczeń, do roli administratora globalnego usługi Defender for Endpoint.
Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach nie można przywrócić początkowych ról, tak jak podczas pierwszego logowania w portalu.