Gerir o acesso ao portal com o controlo de acesso baseado em funções
Nota
Se estiver a executar o programa de pré-visualização do Microsoft Defender XDR, agora pode experimentar o novo modelo de controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender 365. Para obter mais informações, veja Controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender 365.
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Entra ID
- Office 365
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Com o controlo de acesso baseado em funções (RBAC), pode criar funções e grupos na sua equipa de operações de segurança para conceder acesso adequado ao portal. Com base nas funções e grupos que criar, tem um controlo detalhado sobre o que os utilizadores com acesso ao portal podem ver e fazer.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Normalmente, as grandes equipas de operações de segurança distribuídas geograficamente adotam um modelo baseado em camadas para atribuir e autorizar o acesso a portais de segurança. As camadas típicas incluem os três níveis seguintes:
Camada | Descrição |
---|---|
Camada 1 |
Equipa de operações de segurança local/equipa de TI Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa. |
Camada 2 |
Equipa de operações de segurança regional Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação. |
Camada 3 |
Equipa global de operações de segurança Esta equipa é constituída por especialistas em segurança e está autorizada a ver e efetuar todas as ações a partir do portal. |
Nota
Para recursos da Camada 0, consulte Privileged Identity Management para administradores de segurança para fornecer um controlo mais granular do Microsoft Defender para Endpoint e do Microsoft Defender XDR.
O RBAC do Defender para Ponto Final foi concebido para suportar o seu modelo de escalão ou baseado em funções e dá-lhe controlo granular sobre as funções que podem ver, os dispositivos a que podem aceder e as ações que podem efetuar. A arquitetura RBAC está centrada nos seguintes controlos:
-
Controlar quem pode tomar medidas específicas
- Crie funções personalizadas e controle as capacidades do Defender para Endpoint às quais pode aceder com granularidade.
-
Controlar quem pode ver informações sobre grupos ou grupos de dispositivos específicos
Crie grupos de dispositivos através de critérios específicos, tais como nomes, etiquetas, domínios e outros, e conceda-lhes acesso de função através de um grupo de utilizadores específico do Microsoft Entra.
Nota
A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.
Para implementar o acesso baseado em funções, terá de definir funções de administrador, atribuir permissões correspondentes e atribuir grupos de utilizadores do Microsoft Entra atribuídos às funções.
Before you begin
Antes de utilizar o RBAC, é importante que compreenda as funções que podem conceder permissões e as consequências de ativar o RBAC.
Aviso
Antes de ativar a funcionalidade, é importante que tenha uma função de Administrador Global ou Administrador de Segurança no Microsoft Entra ID e que tenha os seus grupos do Microsoft Entra prontos para reduzir o risco de ser bloqueado fora do portal.
Quando inicia sessão pela primeira vez no portal do Microsoft Defender, é-lhe concedido acesso total ou acesso só de leitura. Os direitos de acesso total são concedidos aos utilizadores com funções de Administrador de Segurança ou Administrador Global no Microsoft Entra ID. O acesso só de leitura é concedido aos utilizadores com uma função de Leitor de Segurança no Microsoft Entra ID.
Alguém com uma função de Administrador Global do Defender para Endpoint tem acesso sem restrições a todos os dispositivos, independentemente da associação do grupo de dispositivos e das atribuições de grupos de utilizadores do Microsoft Entra.
Aviso
Inicialmente, apenas as pessoas com direitos de Administrador Global ou Administrador de Segurança do Microsoft Entra podem criar e atribuir funções no portal do Microsoft Defender; Por conseguinte, é importante ter os grupos certos prontos no Microsoft Entra ID.
Ativar o controlo de acesso baseado em funções faz com que os utilizadores com permissões só de leitura (por exemplo, utilizadores atribuídos à função de leitor do Microsoft Entra Security) percam o acesso até serem atribuídos a uma função.
Os utilizadores com permissões de administrador são automaticamente atribuídos à função predefinida de Administrador Global do Defender para Ponto Final com permissões completas. Depois de optar ativamente por utilizar o RBAC, pode atribuir utilizadores adicionais que não sejam Administradores Globais do Microsoft Entra ou Administradores de Segurança à função Administrador Global do Defender para Ponto Final.
Depois de optar ativamente por utilizar o RBAC, não pode reverter para as funções iniciais como quando iniciou sessão no portal pela primeira vez.
Tópico relacionado
Sugestão
Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.