أدوار المستخدمين والأذونات
يستخدم Microsoft Defender for Cloud التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) لتوفير أدوار مضمنة. يمكنك تعيين هذه الأدوار للمستخدمين والمجموعات والخدمات في Azure لمنح المستخدمين حق الوصول إلى الموارد وفقا للوصول المحدد في الدور.
Defender for Cloud يقيم تكوين مواردك لتحديد مشكلات الأمان ونقاط الضعف. في Defender for Cloud، لا ترى سوى المعلومات المتعلقة بمورد عند تعيين أحد هذه الأدوار للاشتراك أو لمجموعة الموارد التي يوجد فيها المورد: المالك أو المساهم أو القارئ.
بالإضافة إلى الأدوار المضمنة، هناك دوران محددان لـ Defender for Cloud:
- قارئ الأمان: المستخدم الذي ينتمي إلى هذا الدور لديه حق الوصول للقراءة فقط إلى Defender for Cloud. يمكن للمستخدم عرض التوصيات والتنبيهات ونهج الأمان وحالات الأمان، ولكن لا يمكنه إجراء تغييرات.
- مسؤول الأمان: المستخدم الذي ينتمي إلى هذا الدور لديه نفس الوصول مثل قارئ الأمان ويمكنه أيضا تحديث نهج الأمان، ورفض التنبيهات والتوصيات.
نوصي بتعيين أقل دور مسموح به للمستخدمين لإكمال مهامهم. على سبيل المثال، يجب تعيين دور القارئ للمستخدمين الذين يحتاجون فقط إلى عرض معلومات حول حالة صحة أمان الموارد وعدم السماح لهم باتخاذ أي إجراء، مثل تطبيق التوصيات أو سياسات التحرير.
الأدوار والإجراءات المسموح بها
يعرض الجدول التالي الأدوار والإجراءات المسموح بها في Defender for Cloud.
| الإجراء | قارئ معلومات الأمان / القارئ |
مسؤول الأمان | مالك / مساهم | المساهم | المالك |
|---|---|---|---|---|---|
| (مستوى مجموعة الموارد) | ( مستوى الاشتراك) | ( مستوى الاشتراك) | |||
| مبادرات الإضافة/التعيين (تشمل) معايير التوافق التنظيمي) | - | ✔ | - | - | ✔ |
| تحرير سياسة الأمان | - | ✔ | - | - | ✔ |
| تمكين / تعطيل خطط Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| تجاهل التنبيهات | - | ✔ | - | ✔ | ✔ |
| تطبيق توصيات الأمـان لمورد (واستخدام إصلاح) |
- | - | ✔ | ✔ | ✔ |
| عرض التنبيهات والتوصيات | ✔ | ✔ | ✔ | ✔ | ✔ |
| إعفاء توصيات الأمان | - | ✔ | - | - | ✔ |
| تكوين إشعارات البريد الإلكتروني | - | ✔ | ✔ | ✔ | ✔ |
يعتمد الدور المحدد المطلوب لنشر مكونات المراقبة على الملحق الذي تقوم بنشره. تعرف على المزيد حول مكونات المراقبة.
الأدوار المستخدمة لتوفير العوامل والملحقات تلقائيا
للسماح لدور مسؤول الأمان بتوفير العوامل والملحقات المستخدمة في خطط Defender for Cloud تلقائيا، يستخدم Defender for Cloud معالجة النهج بطريقة مشابهة لنهج Azure. لاستخدام المعالجة، يحتاج Defender for Cloud إلى إنشاء كيانات الخدمة، وتسمى أيضا الهويات المدارة التي تعين الأدوار على مستوى الاشتراك. على سبيل المثال، كيانات الخدمة لخطة Defender for Containers هي:
| كيان الخدمة | الأدوار |
|---|---|
| Defender for Containers توفير ملف تعريف أمان AKS | • مساهم ملحق Kubernetes •المساهم • مساهم خدمة Azure Kubernetes • المساهم في تحليلات السجل |
| Defender for Containers تزويد Kubernetes الممكن بواسطة Arc | • مساهم خدمة Azure Kubernetes • مساهم ملحق Kubernetes •المساهم • المساهم في تحليلات السجل |
| Defender for Containers توفير نهج Azure ل Kubernetes | • مساهم ملحق Kubernetes •المساهم • مساهم خدمة Azure Kubernetes |
| ملحق نهج توفير Defender for Containers ل Kubernetes الممكن بواسطة Arc | • مساهم خدمة Azure Kubernetes • مساهم ملحق Kubernetes •المساهم |
الخطوات التالية
تشرح هذه المقالة كيف يستخدم Defender for Cloud Azure RBAC لتعيين الأذونات للمستخدمين وتحديد الإجراءات المسموح بها لكل دور. والآن، وبعد أن أصبحت على دراية بتعينات الأدوار اللازمة لمراقبة حالة الأمان في اشتراكك وتحرير سياسات الأمان وتطبيق التوصيات، تعلم كيف: