Ange roller och behörigheter
Microsoft Defender för molnet använder Rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tillhandahålla inbyggda roller. Du kan tilldela dessa roller till användare, grupper och tjänster i Azure för att ge användarna åtkomst till resurser enligt den åtkomst som definieras i rollen.
Defender för molnet utvärderar konfigurationen av dina resurser för att identifiera säkerhetsproblem och sårbarheter. I Defender för molnet ser du bara information som är relaterad till en resurs när du har tilldelats någon av dessa roller för prenumerationen eller för resursgruppen som resursen finns i: Ägare, Deltagare eller Läsare.
Förutom de inbyggda rollerna finns det två roller som är specifika för Defender för molnet:
- Säkerhetsläsare: En användare som tillhör den här rollen har skrivskyddad åtkomst till Defender för molnet. Användaren kan visa rekommendationer, aviseringar, en säkerhetsprincip och säkerhetstillstånd, men kan inte göra ändringar.
- Säkerhetsadministratör: En användare som tillhör den här rollen har samma åtkomst som säkerhetsläsaren och kan även uppdatera säkerhetsprincipen och avvisa aviseringar och rekommendationer.
Vi rekommenderar att du ger användarna den roll som precis ger dem den behörighet de behöver för att kunna utföra sina arbetsuppgifter. Du kan till exempel tilldela rollen Läsare till användare som bara behöver visa information om säkerhetshälsan för en resurs men inte vidta åtgärder, till exempel att tillämpa rekommendationer eller redigera principer.
Roller och tillåtna åtgärder
I följande tabell visas roller och tillåtna åtgärder i Defender för molnet.
| Åtgärd | Säkerhetsläsare / Läsare |
Säkerhetsadministratör | Deltagarägare / | Deltagare | Ägare |
|---|---|---|---|---|---|
| (Resursgruppsnivå) | (Prenumerationsnivå) | (Prenumerationsnivå) | |||
| Lägga till/tilldela initiativ (inklusive) standarder för regelefterlevnad) | - | ✔ | - | - | ✔ |
| Redigera säkerhetsprincip | - | ✔ | - | - | ✔ |
| Aktivera/inaktivera Microsoft Defender-planer | - | ✔ | - | ✔ | ✔ |
| Stäng aviseringar | - | ✔ | - | ✔ | ✔ |
| Tillämpa säkerhetsrekommendationer för en resurs (och använd Korrigering) | - | - | ✔ | ✔ | ✔ |
| Visa aviseringar och rekommendationer | ✔ | ✔ | ✔ | ✔ | ✔ |
| Undantagna säkerhetsrekommendationer | - | ✔ | - | - | ✔ |
Vilken roll som krävs för att distribuera övervakningskomponenter beror på vilket tillägg du distribuerar. Läs mer om övervakningskomponenter.
Roller som används för att automatiskt etablera agenter och tillägg
Om du vill tillåta att rollen Säkerhetsadministratör automatiskt etablerar agenter och tillägg som används i Defender för molnet planer använder Defender för molnet principreparation på ett liknande sätt som Azure Policy. Om du vill använda reparation måste Defender för molnet skapa tjänstens huvudnamn, även kallade hanterade identiteter som tilldelar roller på prenumerationsnivå. Tjänstens huvudnamn för Defender for Containers-planen är till exempel:
| Tjänstens huvudnamn | Roller |
|---|---|
| Defender för containrar etablerar AKS-säkerhetsprofil | • Kubernetes-tilläggsdeltagare •Bidragsgivare • Azure Kubernetes Service-deltagare • Log Analytics-deltagare |
| Etablering av Arc-aktiverade Kubernetes i Defender för containrar | • Azure Kubernetes Service-deltagare • Kubernetes-tilläggsdeltagare •Bidragsgivare • Log Analytics-deltagare |
| Etablering av Azure Policy för Kubernetes i Defender för containrar | • Kubernetes-tilläggsdeltagare •Bidragsgivare • Azure Kubernetes Service-deltagare |
| Etableringsprinciptillägg för Defender för containrar för Arc-aktiverade Kubernetes | • Azure Kubernetes Service-deltagare • Kubernetes-tilläggsdeltagare •Bidragsgivare |
Nästa steg
I den här artikeln beskrivs hur Defender för molnet använder Azure RBAC för att tilldela behörigheter till användare och identifiera tillåtna åtgärder för varje roll. Nu när du är bekant med de rolltilldelningar som krävs för att övervaka säkerhetstillståndet för din prenumeration, redigera säkerhetsprinciper och tillämpa rekommendationer kan du lära dig hur du: