Создание пользовательских ролей с помощью Microsoft Defender XDR unified RBAC

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Microsoft Defender для удостоверений
• Microsoft Defender для Office 365 P2
• Управление уязвимостями в Microsoft Defender
• Microsoft Defender для облака

Создание настраиваемой роли

Ниже приведены инструкции по созданию пользовательских ролей в Microsoft Defender XDR unified RBAC.

Важно!

Для выполнения этой задачи необходимо быть глобальным администратором или администратором безопасности в Microsoft Entra ID или иметь все разрешения на авторизацию, назначенные в Microsoft Defender XDR unified RBAC. Дополнительные сведения о разрешениях см. в разделе Предварительные требования к разрешениям. Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

1. Войдите на портал Microsoft Defender.

2. В области навигации перейдите в раздел Разрешения системы>.

3. Выберите Роли в разделе Microsoft Defender XDR, чтобы открыть страницу Разрешения и роли.

4. Выберите Создать настраиваемую роль.

5. Введите имя и описание роли.

6. Нажмите кнопку Далее , чтобы выбрать разрешения, которые нужно назначить. Разрешения организованы в трех различных категориях:

   

7. Выберите категорию разрешений (например, Операции безопасности) и просмотрите доступные разрешения. Вы можете назначить следующие уровни разрешений:

   • Выберите все разрешения только для чтения. Пользователям назначаются все разрешения только для чтения в этой категории.
   • Выберите все разрешения на чтение и управление. Пользователям назначаются все разрешения в этой категории (разрешения на чтение и управление ими).
   • Выбор пользовательских разрешений — пользователям назначены выбранные пользовательские разрешения.

   

   Дополнительные сведения о пользовательских разрешениях RBAC см. в разделе Сведения о пользовательских разрешениях RBAC.

   Примечание.

   Если назначены все разрешения только для чтения или все разрешения на чтение и управление ими, все новые разрешения, добавленные в эту категорию в будущем, автоматически назначаются под этой ролью.

   Если вы назначили пользовательские разрешения и в эту категорию добавлены новые разрешения, при необходимости вам потребуется повторно назначить роли с новыми разрешениями.

8. Выбрав разрешения, нажмите кнопку Применить , а затем нажмите кнопку Далее , чтобы назначить пользователей и источники данных.

9. Выберите Добавить назначения и добавьте имя назначения.

10. В разделе Источники данных выберите, будут ли назначенные пользователи иметь выбранные разрешения для всех доступных продуктов или только для определенных источников данных.

    

    Если пользователь выбирает все разрешения только для чтения для одного источника данных, например Microsoft Defender для конечной точки, он не сможет читать оповещения для Microsoft Defender для Office 365 или Microsoft Defender для удостоверений.

    Примечание.

    При выборе параметра Включить будущие источники данных автоматически все поддерживаемые источники данных в Microsoft Defender XDR Unified RBAC и все будущие добавленные источники данных автоматически назначаются этому назначению.

11. В разделе Назначенные пользователи и группы выберите Microsoft Entra групп безопасности или отдельных пользователей, которым нужно назначить роль, и нажмите кнопку Добавить.

    Примечание.

    В Microsoft Defender XDR unified RBAC можно создать столько назначений, сколько требуется для одной роли с теми же разрешениями. Например, вы можете получить назначение в роли, которая имеет доступ ко всем источникам данных, а затем отдельное назначение для команды, которая нуждается только в доступе к оповещениям конечной точки из источника данных Defender для конечной точки. Это позволяет поддерживать минимальное количество ролей.

12. Нажмите кнопку Далее , чтобы просмотреть и завершить создание роли, а затем нажмите кнопку Отправить.

Создание роли для доступа к ролям и разрешениям и управления ими

Чтобы получить доступ к ролям и разрешениям и управлять ими, не будучи глобальным администратором или администратором безопасности в Microsoft Entra ID, необходимо создать роль с разрешениями авторизации. Чтобы создать эту роль, выполните следующее:

1. Войдите на портал Microsoft Defender с правами глобального администратора или администратора безопасности.

2. В области навигации выберите Разрешения.

3. Выберите Роли в разделе Microsoft Defender XDR.

4. Выберите Создать настраиваемую роль.

5. Введите имя и описание роли.

6. Нажмите кнопку Далее и выберите параметр Авторизация и параметры .

7. Во всплывающем окне Авторизация и категория параметров выберите Выбрать пользовательские разрешения и в разделе Авторизация выберите один из следующих вариантов:

   • Выберите все разрешения. Пользователи могут создавать роли и разрешения и управлять ими.
   • Только для чтения. Используется для доступа к ролям и разрешениям и их просмотр в режиме только для чтения.

   

8. Нажмите кнопку Применить , а затем — Далее , чтобы назначить пользователей и источники данных.

9. Выберите Добавить назначения и введите имя назначения.

10. Чтобы выбрать источники данных , пользователи, которым назначено разрешение авторизации, будут иметь доступ к:

    • Выберите Выбрать все источники данных , чтобы предоставить пользователям разрешения на создание новых ролей и управление ролями для всех источников данных.
    • Выберите Выбрать определенные источники данных , чтобы предоставить пользователям разрешения на создание новых ролей и управление ролями для определенного источника данных. Например, выберите Microsoft Defender для конечной точки в раскрывающемся списке, чтобы предоставить пользователям разрешение на авторизацию только для Microsoft Defender для конечной точки источника данных.

11. В разделе Назначенные пользователи и группы выберите Microsoft Entra групп безопасности или отдельных пользователей, которым нужно назначить роль, и нажмите кнопку Добавить.

12. Нажмите кнопку Далее , чтобы просмотреть и завершить создание роли, а затем нажмите кнопку Отправить.

Примечание.

Чтобы портал безопасности Microsoft Defender XDR начал применять разрешения и назначения, настроенные в новых или импортированных ролях, необходимо активировать новую модель Microsoft Defender XDR унифицированной модели RBAC. Дополнительные сведения см. в разделе Активация Microsoft Defender XDR unified RBAC.

Дальнейшие действия

• Импорт существующих ролей RBAC
• Активация унифицированного управления доступом на основе ролей в Microsoft Defender XDR

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.