Поделиться через


Управление доступом на портале с помощью управления доступом на основе ролей

Примечание.

Если вы используете программу предварительной версии Microsoft Defender XDR, вы можете использовать новую модель Microsoft Defender 365 Unified role-based access control (RBAC). Дополнительные сведения см. в статье Microsoft Defender 365 Unified role-based access control (RBAC).

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

С помощью управления доступом на основе ролей (RBAC) можно создавать роли и группы в команде по операциям безопасности, чтобы предоставить соответствующий доступ к порталу. В зависимости от создаваемых ролей и групп вы можете точно контролировать, что пользователи с доступом к порталу могут видеть и делать.

Крупные группы геораспределенной безопасности обычно используют модель на основе уровней для назначения и авторизации доступа к порталам безопасности. Типичные уровни включают следующие три уровня:

Уровень Описание
Уровень 1 Местная группа обеспечения безопасности / ИТ-группа
Эта команда обычно изучает и изучает оповещения, содержащиеся в их географическом расположении, и передает на уровень 2 в случаях, когда требуется активное исправление.
Уровень 2 Региональная группа обеспечения безопасности
Эта команда может просмотреть все устройства для своего региона и выполнить действия по исправлению.
Уровень 3 Глобальная группа обеспечения безопасности
Эта команда состоит из экспертов по безопасности и имеет право просматривать и выполнять все действия на портале.

Примечание.

Сведения о ресурсах уровня 0 см. в статье управление привилегированными пользователями для администраторов безопасности, чтобы обеспечить более детальный контроль над Microsoft Defender для конечной точки и Microsoft Defender XDR.

RBAC defender для конечной точки предназначен для поддержки выбранной модели на основе уровней или ролей и предоставляет детальный контроль над ролями, устройствами, к которые они могут получить доступ, и действиями, которые они могут выполнять. Платформа RBAC сосредоточена вокруг следующих элементов управления:

  • Контроль того, кто может выполнять определенные действия
    • Create пользовательские роли и контролировать возможности Defender для конечной точки, к которым они могут получить доступ с детализацией.
  • Управление тем, кто может просматривать сведения в определенной группе устройств или группах
    • Create группы устройств по определенным критериям, таким как имена, теги, домены и т. д., а затем предоставьте им доступ к роли с помощью определенной Microsoft Entra группы пользователей.

      Примечание.

      Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Чтобы реализовать доступ на основе ролей, необходимо определить роли администратора, назначить соответствующие разрешения и назначить Microsoft Entra группам пользователей, назначенным ролям.

Перед началом работы

Перед использованием RBAC важно понимать роли, которые могут предоставлять разрешения, и последствия включения RBAC.

Предупреждение

Прежде чем включить эту функцию, важно, чтобы у вас была роль глобального администратора или администратора безопасности в Microsoft Entra ID и у вас есть группы Microsoft Entra, готовые снизить риск блокировки портала.

При первом входе на портал Microsoft Defender вы получите полный доступ или доступ только для чтения. Полные права доступа предоставляются пользователям с ролями администратора безопасности или глобального администратора в Microsoft Entra ID. Доступ только для чтения предоставляется пользователям с ролью читателя безопасности в Microsoft Entra ID.

Пользователь с ролью Defender для конечной точки глобальный администратор имеет неограниченный доступ ко всем устройствам, независимо от связи с группами устройств и назначений групп пользователей Microsoft Entra.

Предупреждение

Изначально создавать и назначать роли на портале Microsoft Defender смогут только пользователи с правами Microsoft Entra глобального администратора или администратора безопасности, поэтому важно подготовить нужные группы в Microsoft Entra ID.

Включение управления доступом на основе ролей приведет к тому, что пользователи с разрешениями только для чтения (например, пользователи, назначенные Microsoft Entra роль читателя безопасности), потеряют доступ до тех пор, пока им не будет назначена роль.

Пользователям с разрешениями администратора автоматически назначается встроенная по умолчанию роль глобального администратора Defender для конечной точки с полными разрешениями. После согласия на использование RBAC вы можете назначить дополнительных пользователей, не Microsoft Entra глобальных администраторов или администраторов безопасности, роли глобального администратора Defender для конечной точки.

После согласия на использование RBAC вы не сможете отменить изменения к начальным ролям, как при первом входе на портал.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.