Tworzenie ról i zarządzanie nimi na potrzeby kontroli dostępu opartej na rolach

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Tworzenie ról i przypisywanie roli do grupy Microsoft Entra

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

W poniższych krokach przedstawiono sposób tworzenia ról w portalu usługi Microsoft Defender. Przyjęto założenie, że utworzono już grupy użytkowników usługi Microsoft Entra.

1. Zaloguj się do portalu usługi Microsoft Defender przy użyciu konta z przypisaną rolą administratora zabezpieczeń.

2. W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).

3. Wybierz pozycję Dodaj rolę.

4. Wprowadź nazwę roli, opis i uprawnienia, które chcesz przypisać do roli.

5. Wybierz pozycję Dalej , aby przypisać rolę do grupy zabezpieczeń Microsoft Entra.

6. Użyj filtru, aby wybrać grupę Microsoft Entra, do którą chcesz dodać tę rolę.

7. Zapisz i zamknij.

8. Zastosuj ustawienia konfiguracji.

Ważna

Po utworzeniu ról należy utworzyć grupę urządzeń i zapewnić dostęp do grupy urządzeń, przypisując ją do właśnie utworzonej roli.

Uwaga

Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Opcje uprawnień

• Wyświetlanie danych

  • Operacje zabezpieczeń — wyświetlanie wszystkich danych operacji zabezpieczeń w portalu
  • Zarządzanie lukami w zabezpieczeniach usługi Defender — wyświetlanie danych zarządzania lukami w zabezpieczeniach usługi Defender w portalu

• Aktywne akcje korygowania

  • Operacje zabezpieczeń — wykonywanie akcji reagowania, zatwierdzanie lub odrzucanie oczekujących akcji korygowania, zarządzanie listami dozwolonymi/zablokowanymi na potrzeby automatyzacji i wskaźników
  • Zarządzanie lukami w zabezpieczeniach usługi Defender — obsługa wyjątków — tworzenie nowych wyjątków i zarządzanie aktywnymi wyjątkami
  • Zarządzanie lukami w zabezpieczeniach usługi Defender — Obsługa korygowania — przesyłanie nowych żądań korygowania, tworzenie biletów i zarządzanie istniejącymi działaniami korygowania
  • Zarządzanie lukami w zabezpieczeniach w usłudze Defender — obsługa aplikacji — stosowanie natychmiastowych akcji ograniczania ryzyka przez blokowanie aplikacji narażonych na zagrożenia w ramach działania korygowania oraz zarządzanie zablokowanymi aplikacjami i wykonywanie akcji odblokowywania

• Punkty odniesienia zabezpieczeń

  • Defender Vulnerability Management — zarządzanie profilami oceny punktów odniesienia zabezpieczeń — tworzenie profilów i zarządzanie nimi, dzięki czemu można ocenić, czy urządzenia są zgodne z punktami odniesienia branży zabezpieczeń.

• Badanie alertów — zarządzanie alertami, inicjowanie zautomatyzowanych badań, uruchamianie skanów, zbieranie pakietów badania, zarządzanie tagami urządzeń i pobieranie tylko przenośnych plików wykonywalnych (PE)

• Zarządzanie ustawieniami systemu portalu — konfigurowanie ustawień magazynu, ustawień interfejsu SIEM i interfejsu API intel zagrożeń (dotyczy globalnie), ustawień zaawansowanych, automatycznego przekazywania plików, ról i grup urządzeń

  Uwaga

  To ustawienie jest dostępne tylko w roli administratora punktu końcowego w usłudze Microsoft Defender (domyślnie).

• Zarządzanie ustawieniami zabezpieczeń w usłudze Security Center — konfigurowanie ustawień pomijania alertów, zarządzanie wykluczeniami folderów dla automatyzacji, dołączanie i odłączanie urządzeń, zarządzanie powiadomieniami e-mail, zarządzanie laboratorium ewaluacji i zarządzanie listami dozwolonych/zablokowanych dla wskaźników

• Możliwości odpowiedzi na żywo

  • Podstawowe polecenia:
    • Rozpoczynanie sesji odpowiedzi na żywo
    • Wykonywanie poleceń odpowiedzi na żywo tylko do odczytu na urządzeniu zdalnym (z wyłączeniem kopiowania i wykonywania plików)
    • Pobieranie pliku z urządzenia zdalnego za pośrednictwem odpowiedzi na żywo
  • Polecenia zaawansowane :
    • Pobieranie plików PE i innych niż PE ze strony pliku
    • Przekazywanie pliku na urządzenie zdalne
    • Wyświetlanie skryptu z biblioteki plików
    • Wykonywanie skryptu na urządzeniu zdalnym z biblioteki plików

Aby uzyskać więcej informacji na temat dostępnych poleceń, zobacz Badanie urządzeń przy użyciu odpowiedzi na żywo.

Edytowanie ról

1. Zaloguj się do portalu usługi Microsoft Defender przy użyciu konta z przypisaną rolą administratora zabezpieczeń.

2. W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).

3. Wybierz rolę, którą chcesz edytować.

4. Kliknij pozycję Edytuj.

5. Zmodyfikuj szczegóły lub grupy przypisane do roli.

6. Kliknij przycisk Zapisz i zamknij.

Usuwanie ról

1. Zaloguj się do portalu usługi Microsoft Defender przy użyciu konta z przypisaną rolą administratora zabezpieczeń.

2. W okienku nawigacji wybierz pozycję Ustawienia>Rolepunktów końcowych> (w obszarze Uprawnienia).

3. Wybierz rolę, którą chcesz usunąć.

4. Kliknij przycisk listy rozwijanej i wybierz pozycję Usuń rolę.

Artykuły pokrewne

• Przypisywanie ról usługi Microsoft Entra do użytkowników
• Przypisywanie dostępu użytkownika
• Twórz grupy urządzeń i zarządzaj nimi

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.