Compartilhar via

Funções personalizadas no controlo de acesso baseado em funções para o Microsoft Defender XDR

  • Artigo

Observação

Os utilizadores do Microsoft Defender XDR podem agora tirar partido de uma solução de gestão de permissões centralizada para controlar o acesso dos utilizadores e as permissões em diferentes soluções de segurança da Microsoft. Saiba mais sobre o controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender XDR.

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Aplica-se a:

  • Microsoft Defender XDR

Existem dois tipos de funções que podem ser utilizadas para aceder ao Microsoft Defender XDR:

  • Funções globais do Microsoft Entra
  • Funções personalizadas

O acesso ao Microsoft Defender XDR pode ser gerido coletivamente através de Funções globais no Microsoft Entra ID

Se precisar de maior flexibilidade e controlo sobre o acesso a dados de produtos específicos, o acesso ao Microsoft Defender XDR também pode ser gerido com a criação de Funções personalizadas através de cada portal de segurança.

Por exemplo, uma função Personalizada criada através do Microsoft Defender para Endpoint permitiria o acesso aos dados de produto relevantes, incluindo dados do Ponto Final no portal do Microsoft Defender. Da mesma forma, uma função Personalizada criada através do Microsoft Defender para Office 365 permitiria o acesso aos dados de produto relevantes, incluindo e-mail & dados de colaboração no portal do Microsoft Defender.

Os utilizadores com funções Personalizadas existentes podem aceder aos dados no portal do Microsoft Defender de acordo com as permissões de carga de trabalho existentes sem ser necessária qualquer configuração adicional.

Criar e gerir funções personalizadas

As funções e permissões personalizadas podem ser criadas e geridas individualmente através de cada um dos seguintes portais de segurança:

Cada função personalizada criada através de um portal individual permite o acesso aos dados do portal de produto relevante. Por exemplo, uma função personalizada criada através do Microsoft Defender para Endpoint só permitirá o acesso aos dados do Defender para Endpoint.

Dica

As permissões e funções também podem ser acedidas através do portal do Microsoft Defender ao selecionar Permissões & funções no painel de navegação. O acesso ao Microsoft Defender para Aplicações na Cloud é gerido através do portal do Defender para Cloud Apps e também controla o acesso ao Microsoft Defender para Identidade. Veja Microsoft Defender para Aplicações na Cloud

Observação

As funções personalizadas criadas no Microsoft Defender para Cloud Apps também têm acesso aos dados do Microsoft Defender para Identidade. Os utilizadores com funções de Administrador do grupo de utilizadores ou Administrador de aplicações/instâncias do Microsoft Defender para Cloud Apps não conseguem aceder aos dados do Microsoft Defender para Cloud Apps através do portal do Microsoft Defender.

Gerir permissões e funções no portal do Microsoft Defender

As permissões e funções também podem ser geridas no portal do Microsoft Defender:

  1. Inicie sessão no portal do Microsoft Defender em security.microsoft.com.
  2. No painel de navegação, selecione Permissões & funções.
  3. No cabeçalho Permissões , selecione Funções.

Observação

Isto aplica-se apenas ao Defender para Office 365 e ao Defender para Endpoint. O acesso a outras cargas de trabalho tem de ser feito nos respetivos portais relevantes.

Funções e permissões necessárias

A tabela seguinte descreve as funções e as permissões necessárias para aceder a cada experiência unificada em cada carga de trabalho. As funções definidas na tabela abaixo referem-se a funções personalizadas em portais individuais e não estão ligadas a funções globais no Microsoft Entra ID, mesmo que com um nome semelhante.

Observação

O gerenciamento de incidentes requer permissões de gerenciamento para todos os produtos que fazem parte do incidente.

Importante

A Microsoft recomenda que utilize funções com menos permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Carga de trabalho XDR do Microsoft Defender É necessária uma das seguintes funções para o Defender para Endpoint É necessária uma das seguintes funções para o Defender para Office 365 É necessária uma das seguintes funções para o Defender para Aplicações na Cloud
Ver dados de investigação:
  • Página de alerta
  • Fila de alertas
  • Incidentes
  • Fila de incidentes
  • Central de Ações
 Ver dados - operações de segurança
  • Ver apenas Gerir alertas
  • Configuração da organização
  • Logs de auditoria
  • Ver registos de auditoria apenas
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
  • Administrador global
  • Administrador de segurança
  • Administrador de conformidade
  • Operador de segurança
  • Leitor de segurança
  • Leitor global
Ver dados de investigação, guardar, editar e eliminar consultas e funções de investigação Ver dados - operações de segurança
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
  • Administrador global
  • Administrador de segurança
  • Administrador de conformidade
  • Operador de segurança
  • Leitor de segurança
  • Leitor global
Gerir alertas e incidentes Investigação de alertas
  • Gerenciar alertas
  • Administrador de segurança
  • Administrador global
  • Administrador de segurança
  • Administrador de conformidade
  • Operador de segurança
  • Leitor de segurança
Remediação do centro de ação Ações de remediação ativas – operações de segurança Procurar e remover
Definir deteções personalizadas Gerenciar configurações de segurança
  • Gerenciar alertas
  • Administrador de segurança
  • Administrador global
  • Administrador de segurança
  • Administrador de conformidade
  • Operador de segurança
  • Leitor de segurança
  • Leitor global
Análise de Ameaças Dados de alertas e incidentes:
  • Ver dados - operações de segurança
Mitigações da Gestão de Vulnerabilidades do Defender:
  • Ver dados – Gestão de ameaças e vulnerabilidades
 Dados de alertas e incidentes:
  • Ver apenas Gerir alertas
  • Gerenciar alertas
  • Configuração da organização
  • Logs de auditoria
  • Ver registos de auditoria apenas
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
Tentativas de e-mail impedidas:
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
 Não disponível para utilizadores do Defender para Cloud Apps ou MDI

Por exemplo, para ver dados de investigação do Microsoft Defender para Endpoint, são necessárias permissões para Ver operações de segurança de dados.

Da mesma forma, para ver dados de investigação do Microsoft Defender para Office 365, os utilizadores necessitariam de uma das seguintes funções:

  • Ver operações de segurança de dados
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.