Dela via


Microsoft Defender za identitet rollgrupper

Microsoft Defender za identitet erbjuder rollbaserad säkerhet för att skydda data enligt organisationens specifika säkerhets- och efterlevnadsbehov. Vi rekommenderar att du använder rollgrupper för att hantera åtkomsten till Defender for Identity, dela upp ansvarsområden i säkerhetsteamet och endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb.

Enhetlig rollbaserad åtkomstkontroll (RBAC)

Användare som redan är globala administratörer eller säkerhetsadministratörer på klientorganisationens Microsoft Entra-ID är också automatiskt Defender för identitetsadministratör. Microsoft Entra Globala administratörer och säkerhetsadministratörer behöver inte extra behörigheter för att få åtkomst till Defender för identitet.

För andra användare aktiverar och använder du rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) för att skapa anpassade roller och för att stödja fler Entra-ID-roller som säkerhetsoperator eller säkerhetsläsare som standard för att hantera åtkomst till Defender for Identity.

När du skapar dina anpassade roller kontrollerar du att du använder de behörigheter som anges i följande tabell:

Åtkomstnivå för Defender för identitet Minsta nödvändiga Microsoft 365-enhetliga RBAC-behörigheter
Administratörer - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Användare - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Tittare - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Mer information finns i Anpassade roller i rollbaserad åtkomstkontroll för Microsoft Defender XDR och Skapa anpassade roller med Microsoft Defender XDR Unified RBAC.

Kommentar

Information som ingår i aktivitetsloggen Defender för Cloud Apps kan fortfarande innehålla Defender for Identity-data. Det här innehållet följer befintliga Behörigheter för Defender för Cloud Apps.

Undantag: Om du har konfigurerat omfångsdistribution för Microsoft Defender za identitet-aviseringar i Microsoft Defender för Cloud Apps-portalen överförs inte dessa behörigheter och du måste uttryckligen bevilja behörigheterna Security operations \ Security data \ Security data basics (read) för relevanta portalanvändare.

Nödvändiga behörigheter För Defender för identitet i Microsoft Defender XDR

I följande tabell beskrivs de specifika behörigheter som krävs för Defender för identitetsaktiviteter i Microsoft Defender XDR.

Viktigt!

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Aktivitet Minst nödvändiga behörigheter
Registrera Defender för identitet (skapa arbetsyta) Säkerhetsadministratör
Konfigurera Inställningar för Defender för identitet En av följande Microsoft Entra-roller:
- Säkerhetsadministratör
- Säkerhetsoperator
eller
Följande enhetliga RBAC-behörigheter:
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Visa Inställningar för Defender för identitet En av följande Microsoft Entra-roller:
- Global läsare
- Säkerhetsläsare
eller
Följande enhetliga RBAC-behörigheter:
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Hantera säkerhetsaviseringar och aktiviteter för Defender for Identity En av följande Microsoft Entra-roller:
- Säkerhetsoperator
eller
Följande enhetliga RBAC-behörigheter:
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Visa Säkerhetsutvärderingar för Defender för identitet
(nu en del av Microsoft Secure Score)
Behörigheter för åtkomst till Microsoft Secure Score
och
Följande enhetliga RBAC-behörigheter: Security operations/Security data /Security data basics (Read)
Visa sidan Tillgångar/identiteter Behörigheter för åtkomst till Defender för Cloud Apps
eller
En av Microsoft Entra-rollerna som krävs av Microsoft Defender XDR
Utföra åtgärder för Defender for Identity-svar En anpassad roll som definierats med behörigheter för Svar (hantera)
eller
En av följande Microsoft Entra-roller:
- Säkerhetsoperator

Säkerhetsgrupper för Defender för identiteter

Defender for Identity tillhandahåller följande säkerhetsgrupper som hjälper dig att hantera åtkomsten till Defender för identitetsresurser:

  • Administratörer för Azure ATP (arbetsytans namn)
  • Azure ATP-användare (arbetsytans namn)
  • Visningsprogram för Azure ATP (arbetsytans namn)

I följande tabell visas de aktiviteter som är tillgängliga för varje säkerhetsgrupp:

Aktivitet Administratörer för Azure ATP (arbetsytans namn) Azure ATP-användare (arbetsytans namn) Visningsprogram för Azure ATP (arbetsytans namn)
Ändra status för hälsoproblem Tillgängligt Inte tillgängligt Inte tillgängligt
Ändra säkerhetsvarningsstatus (öppna, stänga, exkludera, utelämna) Tillgängligt Tillgängligt Inte tillgängligt
Ta bort arbetsyta Tillgängligt Inte tillgängligt Inte tillgängligt
Ladda ned en rapport Tillgängligt Tillgänglig Tillgängligt
Logga in Tillgängligt Tillgänglig Tillgängligt
Dela/exportera säkerhetsaviseringar (via e-post, hämta länk, ladda ned information) Tillgängligt Tillgänglig Tillgängligt
Uppdatera Defender för identitetskonfiguration (uppdateringar) Tillgängligt Inte tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (entitetstaggar, inklusive både känslig och honeytoken) Tillgängligt Tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (undantag) Tillgängligt Tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (språk) Tillgängligt Tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (meddelanden, inklusive både e-post och syslog) Tillgängligt Tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (förhandsgranskningsidentifieringar) Tillgängligt Tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (schemalagda rapporter) Tillgängligt Tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (datakällor, inklusive katalogtjänster, SIEM, VPN, Defender för Endpoint) Tillgängligt Inte tillgängligt Inte tillgängligt
Uppdatera Defender för identitetskonfiguration (sensorhantering, inklusive nedladdning av programvara, återskapa nycklar, konfigurera, ta bort) Tillgängligt Inte tillgängligt Inte tillgängligt
Visa entitetsprofiler och säkerhetsaviseringar Tillgängligt Tillgänglig Tillgängligt

Lägga till och ta bort användare

Defender for Identity använder Microsoft Entra-säkerhetsgrupper som grund för rollgrupper.

Hantera dina rollgrupper från sidan För hantering av grupper på Azure-portalen. Endast Microsoft Entra-användare kan läggas till eller tas bort från säkerhetsgrupper.

Gå vidare