Gerir o acesso ao portal com o controlo de acesso baseado em funções

Nota

Se estiver a executar o programa de pré-visualização Microsoft Defender XDR, agora pode experimentar o novo modelo de controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender 365. Para obter mais informações, veja Microsoft Defender controlo de acesso baseado em funções (RBAC) unificado 365.

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Com o controlo de acesso baseado em funções (RBAC), pode criar funções e grupos na sua equipa de operações de segurança para conceder acesso adequado ao portal. Com base nas funções e grupos que criar, tem um controlo detalhado sobre o que os utilizadores com acesso ao portal podem ver e fazer.

Normalmente, as grandes equipas de operações de segurança distribuídas geograficamente adotam um modelo baseado em camadas para atribuir e autorizar o acesso a portais de segurança. As camadas típicas incluem os três níveis seguintes:

Camada Descrição
Camada 1 Equipa de operações de segurança local/equipa de TI
Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa.
Camada 2 Equipa de operações de segurança regional
Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação.
Camada 3 Equipa global de operações de segurança
Esta equipa é constituída por especialistas em segurança e está autorizada a ver e efetuar todas as ações a partir do portal.

Nota

Para recursos da Camada 0, veja Privileged Identity Management para os administradores de segurança fornecerem um controlo mais granular de Microsoft Defender para Endpoint e Microsoft Defender XDR.

O RBAC do Defender para Ponto Final foi concebido para suportar o seu modelo de escalão ou baseado em funções e dá-lhe controlo granular sobre as funções que podem ver, os dispositivos a que podem aceder e as ações que podem efetuar. A arquitetura RBAC está centrada nos seguintes controlos:

  • Controlar quem pode tomar medidas específicas
    • Crie funções personalizadas e controle as capacidades do Defender para Endpoint às quais pode aceder com granularidade.
  • Controlar quem pode ver informações sobre grupos ou grupos de dispositivos específicos
    • Crie grupos de dispositivos através de critérios específicos, tais como nomes, etiquetas, domínios e outros, e conceda-lhes acesso de função através de uma Microsoft Entra grupo de utilizadores específico.

      Nota

      A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Para implementar o acesso baseado em funções, terá de definir funções de administrador, atribuir permissões correspondentes e atribuir Microsoft Entra grupos de utilizadores atribuídos às funções.

Antes de começar

Antes de utilizar o RBAC, é importante que compreenda as funções que podem conceder permissões e as consequências de ativar o RBAC.

Aviso

Antes de ativar a funcionalidade, é importante que tenha uma função de Administrador Global ou Administrador de Segurança no Microsoft Entra ID e que tenha os seus grupos de Microsoft Entra prontos para reduzir o risco de serem bloqueados fora do portal.

Quando inicia sessão pela primeira vez no portal Microsoft Defender, é-lhe concedido acesso total ou acesso só de leitura. Os direitos de acesso total são concedidos aos utilizadores com funções de Administrador de Segurança ou Administrador Global no Microsoft Entra ID. O acesso só de leitura é concedido aos utilizadores com uma função de Leitor de Segurança no Microsoft Entra ID.

Alguém com uma função de Administrador global do Defender para Endpoint tem acesso sem restrições a todos os dispositivos, independentemente da associação do grupo de dispositivos e das atribuições Microsoft Entra grupos de utilizadores.

Aviso

Inicialmente, apenas as pessoas com Microsoft Entra direitos de Administrador Global ou Administrador de Segurança poderão criar e atribuir funções no portal do Microsoft Defender, pelo que é importante ter os grupos certos prontos no Microsoft Entra ID.

Ativar o controlo de acesso baseado em funções fará com que os utilizadores com permissões só de leitura (por exemplo, utilizadores atribuídos a Microsoft Entra Função de leitor de segurança) percam o acesso até serem atribuídos a uma função.

É automaticamente atribuída aos utilizadores com permissões de administrador a função de administrador global predefinida do Defender para Endpoint com permissões completas. Depois de optar ativamente por utilizar o RBAC, pode atribuir utilizadores adicionais que não sejam Microsoft Entra Administradores Globais ou de Segurança à função de administrador global do Defender para Endpoint.

Depois de optar ativamente por utilizar o RBAC, não pode reverter para as funções iniciais como quando iniciou sessão no portal pela primeira vez.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.