Criar e gerir funções para controlo de acesso baseado em funções

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Criar funções e atribuir a função a um grupo do Microsoft Entra

Importante

A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Os passos seguintes orientam-no sobre como criar funções no portal do Microsoft Defender. Pressupõe que já criou grupos de utilizadores do Microsoft Entra.

1. Inicie sessão no portal do Microsoft Defender com a conta com a função Administrador de Segurança atribuída.

2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

3. Selecione Adicionar função.

4. Introduza o nome da função, a descrição e as permissões que pretende atribuir à função.

5. Selecione Seguinte para atribuir a função a um grupo do Microsoft Entra Security.

6. Utilize o filtro para selecionar o grupo Microsoft Entra ao qual pretende adicionar esta função.

7. Guardar e fechar.

8. Aplique as definições de configuração.

Importante

Depois de criar funções, terá de criar um grupo de dispositivos e fornecer acesso ao grupo de dispositivos ao atribuí-lo a uma função que acabou de criar.

Observação

A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Opções de permissão

• Exibir dados

  • Operações de Segurança – ver todos os dados de operações de segurança no portal
  • Gestão de Vulnerabilidades do Defender – Ver dados da Gestão de Vulnerabilidades do Defender no portal

• Ações de correção ativa

  • Operações de Segurança – Realize ações de resposta, aprove ou dispense ações de remediação pendentes, faça a gestão de listas permitidas/bloqueadas para automatização e indicadores
  • Gestão de Vulnerabilidades do Defender – Processamento de exceções – Criar novas exceções e gerir exceções ativas
  • Gestão de Vulnerabilidades do Defender – Processamento de remediação – Submeter novos pedidos de remediação, criar pedidos de suporte e gerir atividades de remediação existentes
  • Gestão de Vulnerabilidades do Defender – Processamento de aplicações – aplique ações de mitigação imediatas ao bloquear aplicações vulneráveis, como parte da atividade de remediação, gerir as aplicações bloqueadas e executar ações de desbloqueio

• Linhas de base de segurança

  • Gestão de Vulnerabilidades do Defender – Gerir perfis de avaliação de linhas de base de segurança – crie e faça a gestão de perfis para que possa avaliar se os seus dispositivos estão em conformidade com as linhas de base do setor de segurança.

• Investigação de alertas – Gerir alertas, iniciar investigações automatizadas, executar análises, recolher pacotes de investigação, gerir etiquetas de dispositivos e transferir apenas ficheiros executáveis portáteis (PE)

• Gerir definições do sistema de portal – Configurar definições de armazenamento, definições da API intel de SIEM e ameaças (aplica-se globalmente), definições avançadas, carregamentos de ficheiros automatizados, funções e grupos de dispositivos

  Observação

  Esta definição só está disponível na função Administrador do Microsoft Defender para Ponto Final (predefinição).

• Gerir definições de segurança no Centro de Segurança - Configurar definições de supressão de alertas, gerir exclusões de pastas para automatização, integrar e excluir dispositivos, gerir notificações por e-mail, gerir o laboratório de avaliação e gerir listas permitidas/bloqueadas para indicadores

• Capacidades de resposta em direto

  • Comandos básicos :
    • Iniciar uma sessão de resposta em direto
    • Executar comandos de resposta em direto só de leitura no dispositivo remoto (excluindo a cópia e a execução de ficheiros)
    • Transferir um ficheiro do dispositivo remoto através da resposta em direto
  • Comandos avançados :
    • Transferir ficheiros PE e não PE a partir da página de ficheiros
    • Carregar um ficheiro para o dispositivo remoto
    • Ver um script a partir da biblioteca de ficheiros
    • Executar um script no dispositivo remoto a partir da biblioteca de ficheiros

Para obter mais informações sobre os comandos disponíveis, veja Investigar dispositivos com a resposta em direto.

Editar funções

1. Inicie sessão no portal do Microsoft Defender com a conta com a função de Administrador de segurança atribuída.

2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

3. Selecione a função que pretende editar.

4. Clique em Editar.

5. Modifique os detalhes ou os grupos atribuídos à função.

6. Clique em Guardar e fechar.

Eliminar funções

1. Inicie sessão no portal do Microsoft Defender com a conta com a função Administrador de Segurança atribuída.

2. No painel de navegação, selecione Definições>Funçõesde Pontos Finais> (em Permissões).

3. Selecione a função que pretende eliminar.

4. Clique no botão pendente e selecione Eliminar função.

Artigos relacionados

• Atribuir funções do Microsoft Entra aos utilizadores
• Atribuir acesso de utilizador
• Criar e gerenciar grupos de dispositivos

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.