Поделиться через

Пользовательские роли в управлении доступом на основе ролей для XDR в Microsoft Defender

  • Статья

Примечание.

Пользователи XDR в Microsoft Defender теперь могут воспользоваться преимуществами централизованного решения управления разрешениями для управления доступом пользователей и разрешениями в различных решениях майкрософт по обеспечению безопасности. Дополнительные сведения о едином управлении доступом на основе ролей (RBAC) в Microsoft Defender XDR.

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Область применения:

  • Microsoft Defender XDR

Существует два типа ролей, которые можно использовать для доступа к XDR в Microsoft Defender:

  • Глобальные роли Microsoft Entra
  • Пользовательские роли

Доступом к XDR в Microsoft Defender можно управлять совместно с помощью глобальных ролей в Идентификаторе Microsoft Entra

Если вам нужна большая гибкость и контроль над доступом к данным о конкретных продуктах, доступом XDR в Microsoft Defender также можно управлять с помощью создания пользовательских ролей через каждый соответствующий портал безопасности.

Например, пользовательская роль, созданная с помощью Microsoft Defender для конечной точки, позволит получить доступ к соответствующим данным о продукте, включая данные конечной точки на портале Microsoft Defender. Аналогичным образом настраиваемая роль, созданная с помощью Microsoft Defender для Office 365, позволит получить доступ к соответствующим данным о продукте, включая электронную почту & данных о совместной работе на портале Microsoft Defender.

Пользователи с существующими настраиваемыми ролями могут получать доступ к данным на портале Microsoft Defender в соответствии с существующими разрешениями рабочей нагрузки без дополнительной настройки.

Создание пользовательских ролей и управление ими

Пользовательские роли и разрешения можно создавать и управлять ими по отдельности с помощью каждого из следующих порталов безопасности:

Каждая пользовательская роль, созданная с помощью отдельного портала, обеспечивает доступ к данным соответствующего портала продукта. Например, пользовательская роль, созданная с помощью Microsoft Defender для конечной точки, разрешает доступ только к данным Defender для конечной точки.

Совет

Доступ к разрешениям и ролям также можно получить на портале Microsoft Defender, выбрав Разрешения & роли в области навигации. Доступ к Microsoft Defender for Cloud Apps управляется через портал Defender для облачных приложений, а также управляет доступом к Microsoft Defender для удостоверений. См . статью Microsoft Defender для облачных приложений.

Примечание.

Пользовательские роли, созданные в Microsoft Defender for Cloud Apps, также имеют доступ к данным Microsoft Defender для удостоверений. Пользователи с ролями администратора группы пользователей или администратора приложений или экземпляров Microsoft Defender для облачных приложений не могут получить доступ к данным Microsoft Defender для облачных приложений через портал Microsoft Defender.

Управление разрешениями и ролями на портале Microsoft Defender

Разрешениями и ролями также можно управлять на портале Microsoft Defender:

  1. Войдите на портал Microsoft Defender по security.microsoft.com.
  2. В области навигации выберите Разрешения и роли.
  3. В заголовке Разрешения выберите Роли.

Примечание.

Это относится только к Defender для Office 365 и Defender для конечной точки. Доступ для других рабочих нагрузок должен осуществляться на соответствующих порталах.

Обязательные роли и разрешения

В следующей таблице описаны роли и разрешения, необходимые для доступа к каждому единому интерфейсу в каждой рабочей нагрузке. Роли, определенные в приведенной ниже таблице, относятся к пользовательским ролям на отдельных порталах и не связаны с глобальными ролями в Идентификаторе Microsoft Entra, даже если они имеют аналогичное имя.

Примечание.

Для управления инцидентами необходимы разрешения на управление всеми продуктами, связанными с инцидентом.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Рабочая нагрузка XDR в Microsoft Defender Для Defender для конечной точки требуется одна из следующих ролей. Для Defender для Office 365 требуется одна из следующих ролей. Для Defender for Cloud Apps требуется одна из следующих ролей.
Просмотр данных исследования:
  • Страница оповещений
  • Очередь оповещений
  • Инциденты
  • Очередь инцидентов
  • Центр уведомлений
 Просмотр операций безопасности данных
  • Управление оповещениями только для просмотра
  • Конфигурация организации
  • Журналы аудита
  • Просмотр журналов аудита только для просмотра
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра
  • Глобальный администратор
  • Администратор безопасности
  • Администратор соответствия требованиям
  • Оператор безопасности
  • Читатель сведений о безопасности
  • Глобальный читатель
Просмотр данных охоты, сохранение, редактирование и удаление запросов и функций охоты Просмотр операций безопасности данных
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра
  • Глобальный администратор
  • Администратор безопасности
  • Администратор соответствия требованиям
  • Оператор безопасности
  • Читатель сведений о безопасности
  • Глобальный читатель
Управление оповещениями и инцидентами Исследование оповещений
  • Управление оповещениями
  • Администратор безопасности
  • Глобальный администратор
  • Администратор безопасности
  • Администратор соответствия требованиям
  • Оператор безопасности
  • Читатель сведений о безопасности
Исправление центра уведомлений Активные действия по исправлению — операции безопасности Поиск и очистка
Настройка пользовательских обнаружений Управление параметрами безопасности
  • Управление оповещениями
  • Администратор безопасности
  • Глобальный администратор
  • Администратор безопасности
  • Администратор соответствия требованиям
  • Оператор безопасности
  • Читатель сведений о безопасности
  • Глобальный читатель
Аналитика угроз Данные оповещений и инцидентов:
  • Просмотр операций безопасности данных
Средства управления уязвимостями Defender:
  • Просмотр данных — управление угрозами и уязвимостями
 Данные оповещений и инцидентов:
  • Управление оповещениями только для просмотра
  • Управление оповещениями
  • Конфигурация организации
  • Журналы аудита
  • Просмотр журналов аудита только для просмотра
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра
Предотвратить попытки по электронной почте:
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра
 Недоступно для пользователей Defender для облачных приложений или MDI

Например, для просмотра данных охоты из Microsoft Defender для конечной точки требуются разрешения на просмотр операций безопасности данных.

Аналогичным образом, чтобы просмотреть данные охоты из Microsoft Defender для Office 365, пользователям потребуется одна из следующих ролей:

  • Просмотр операций безопасности данных
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.