Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Za pomocą kontroli dostępu opartej na rolach (RBAC) można tworzyć role i grupy w zespole operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do portalu. Na podstawie utworzonych ról i grup masz szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i robić.

Duże zespoły ds. operacji zabezpieczeń rozproszonych geograficznie zwykle przyjmują model oparty na warstwach w celu przypisywania i autoryzowania dostępu do portali zabezpieczeń. Typowe warstwy obejmują następujące trzy poziomy:

Warstwy Opis
Warstwa 1 Lokalny zespół ds. operacji zabezpieczeń / zespół IT
Ten zespół zwykle klasyfikacji i bada alerty zawarte w ich geolokalizacji i eskaluje do warstwy 2 w przypadkach, gdy jest wymagane aktywne korygowanie.
Warstwa 2 Regionalny zespół ds. operacji zabezpieczeń
Ten zespół może wyświetlić wszystkie urządzenia dla swojego regionu i wykonać akcje korygowania.
Warstwa 3 Globalny zespół ds. operacji zabezpieczeń
Ten zespół składa się z ekspertów w dziedzinie zabezpieczeń i ma uprawnienia do wyświetlenia i wykonania wszystkich akcji z portalu.

Uwaga

W przypadku zasobów warstwy 0 zapoznaj się z Privileged Identity Management dla administratorów zabezpieczeń, aby zapewnić bardziej szczegółową kontrolę nad Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft 365 Defender.

Funkcja RBAC usługi Defender for Endpoint jest przeznaczona do obsługi wybranego modelu warstwowego lub opartego na rolach i zapewnia szczegółową kontrolę nad rolami, do których mogą uzyskiwać dostęp, oraz akcjami, które mogą wykonywać. Struktura RBAC koncentruje się wokół następujących kontrolek:

  • Kontrolowanie, kto może podjąć określone działania
    • Tworzenie ról niestandardowych i kontrolowanie możliwości usługi Defender for Endpoint, do których mogą uzyskiwać dostęp ze szczegółowością.
  • Kontrolowanie, kto może wyświetlać informacje o określonej grupie lub grupach urządzeń
    • Utwórz grupy urządzeń według określonych kryteriów, takich jak nazwy, tagi, domeny i inne, a następnie przyznaj im dostęp do roli przy użyciu określonej grupy użytkowników usługi Azure Active Directory (Azure AD).

Aby zaimplementować dostęp oparty na rolach, należy zdefiniować role administratora, przypisać odpowiednie uprawnienia i przypisać Azure AD grup użytkowników przypisanych do ról.

Przed rozpoczęciem

Przed użyciem kontroli dostępu opartej na rolach ważne jest zrozumienie ról, które mogą udzielać uprawnień, oraz konsekwencji włączenia kontroli dostępu opartej na rolach.

Ostrzeżenie

Przed włączeniem tej funkcji ważne jest, aby mieć rolę administratora globalnego lub administratora zabezpieczeń w Azure AD i że grupy Azure AD są gotowe do zmniejszenia ryzyka zablokowania portalu.

Po pierwszym zalogowaniu się do portalu Microsoft 365 Defender otrzymasz pełny dostęp lub dostęp tylko do odczytu. Pełne prawa dostępu są przyznawane użytkownikom z rolami administratora zabezpieczeń lub administratora globalnego w Azure AD. Dostęp tylko do odczytu jest przyznawany użytkownikom z rolą Czytelnik zabezpieczeń w Azure AD.

Osoba z rolą administrator globalny usługi Defender for Endpoint ma nieograniczony dostęp do wszystkich urządzeń, niezależnie od skojarzenia grupy urządzeń i Azure AD przypisań grup użytkowników.

Ostrzeżenie

Początkowo tylko osoby z uprawnieniami administratora globalnego Azure AD lub administratora zabezpieczeń będą mogły tworzyć i przypisywać role w portalu Microsoft 365 Defender, dlatego przygotowanie odpowiednich grup w Azure AD jest ważne.

Włączenie kontroli dostępu opartej na rolach spowoduje, że użytkownicy z uprawnieniami tylko do odczytu (na przykład użytkownicy przypisani do roli czytelnika Azure AD Zabezpieczenia) utracą dostęp, dopóki nie zostaną przypisani do roli.

Użytkownikom z uprawnieniami administratora jest automatycznie przypisywana domyślna wbudowana rola administratora globalnego usługi Defender for Endpoint z pełnymi uprawnieniami. Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach można przypisać dodatkowych użytkowników, którzy nie są Azure AD administratorami globalnymi lub administratorami zabezpieczeń, do roli administratora globalnego usługi Defender for Endpoint.

Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach nie można przywrócić początkowych ról, tak jak podczas pierwszego logowania w portalu.