Управление доступом на портале с помощью управления доступом на основе ролей
Примечание.
Если вы используете программу предварительной версии Microsoft Defender XDR, вы можете использовать новую модель Microsoft Defender 365 Unified role-based access control (RBAC). Дополнительные сведения см. в статье Microsoft Defender 365 Unified role-based access control (RBAC).
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Entra ID
- Office 365
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
С помощью управления доступом на основе ролей (RBAC) можно создавать роли и группы в команде по операциям безопасности, чтобы предоставить соответствующий доступ к порталу. В зависимости от создаваемых ролей и групп вы можете точно контролировать, что пользователи с доступом к порталу могут видеть и делать.
Крупные группы геораспределенной безопасности обычно используют модель на основе уровней для назначения и авторизации доступа к порталам безопасности. Типичные уровни включают следующие три уровня:
| Уровень | Описание |
|---|---|
| Уровень 1 | Местная группа обеспечения безопасности / ИТ-группа Эта команда обычно изучает и изучает оповещения, содержащиеся в их географическом расположении, и передает на уровень 2 в случаях, когда требуется активное исправление. |
| Уровень 2 | Региональная группа обеспечения безопасности Эта команда может просмотреть все устройства для своего региона и выполнить действия по исправлению. |
| Уровень 3 | Глобальная группа обеспечения безопасности Эта команда состоит из экспертов по безопасности и имеет право просматривать и выполнять все действия на портале. |
Примечание.
Сведения о ресурсах уровня 0 см. в статье управление привилегированными пользователями для администраторов безопасности, чтобы обеспечить более детальный контроль над Microsoft Defender для конечной точки и Microsoft Defender XDR.
RBAC defender для конечной точки предназначен для поддержки выбранной модели на основе уровней или ролей и предоставляет детальный контроль над ролями, устройствами, к которые они могут получить доступ, и действиями, которые они могут выполнять. Платформа RBAC сосредоточена вокруг следующих элементов управления:
- Контроль того, кто может выполнять определенные действия
- Создание пользовательских ролей и управление возможностями Defender для конечной точки, к которым они могут получить доступ с детализацией.
- Управление тем, кто может просматривать сведения в определенной группе устройств или группах
Создайте группы устройств по определенным критериям, таким как имена, теги, домены и другие, а затем предоставьте им доступ к роли с помощью определенной Microsoft Entra группы пользователей.
Примечание.
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
Чтобы реализовать доступ на основе ролей, необходимо определить роли администратора, назначить соответствующие разрешения и назначить Microsoft Entra группам пользователей, назначенным ролям.
Подготовка к работе
Перед использованием RBAC важно понимать роли, которые могут предоставлять разрешения, и последствия включения RBAC.
Предупреждение
Прежде чем включить эту функцию, важно, чтобы у вас была роль глобального администратора или администратора безопасности в Microsoft Entra ID и у вас есть группы Microsoft Entra, готовые снизить риск блокировки портала.
При первом входе на портал Microsoft Defender вы получите полный доступ или доступ только для чтения. Полные права доступа предоставляются пользователям с ролями администратора безопасности или глобального администратора в Microsoft Entra ID. Доступ только для чтения предоставляется пользователям с ролью читателя безопасности в Microsoft Entra ID.
Пользователь с ролью Defender для конечной точки глобальный администратор имеет неограниченный доступ ко всем устройствам, независимо от связи с группами устройств и назначений групп пользователей Microsoft Entra.
Предупреждение
Изначально создавать и назначать роли на портале Microsoft Defender смогут только пользователи с правами Microsoft Entra глобального администратора или администратора безопасности, поэтому важно подготовить нужные группы в Microsoft Entra ID.
Включение управления доступом на основе ролей приведет к тому, что пользователи с разрешениями только для чтения (например, пользователи, назначенные Microsoft Entra роль читателя безопасности), потеряют доступ до тех пор, пока им не будет назначена роль.
Пользователям с разрешениями администратора автоматически назначается встроенная по умолчанию роль глобального администратора Defender для конечной точки с полными разрешениями. После согласия на использование RBAC вы можете назначить дополнительных пользователей, не Microsoft Entra глобальных администраторов или администраторов безопасности, роли глобального администратора Defender для конечной точки.
После согласия на использование RBAC вы не сможете отменить изменения к начальным ролям, как при первом входе на портал.
Еще по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по