Skupiny rolí v programu Microsoft Defender for Identity
Microsoft Defender for Identity nabízí zabezpečení na základě rolí, které chrání data podle konkrétních potřeb zabezpečení a dodržování předpisů vaší organizace. Doporučujeme používat skupiny rolí ke správě přístupu k Defenderu for Identity, oddělení odpovědností napříč týmem zabezpečení a udělení pouze množství přístupu, které uživatelé potřebují k práci.
Jednotné řízení přístupu na základě role (RBAC)
Uživatelé, kteří už jsou globálními Správa istrátory nebo Správa istrátory v ID Microsoft Entra vašeho tenanta, jsou také automaticky defenderem pro správce identity. Globální a bezpečnostní Správa istrátory Microsoft Entra nepotřebují další oprávnění pro přístup k Defenderu for Identity.
Pro ostatní uživatele použijte řízení přístupu na základě role (RBAC) Microsoftu 365 k vytvoření vlastních rolí a správě přístupu k Defenderu for Identity.
Při vytváření vlastních rolí se ujistěte, že používáte oprávnění uvedená v následující tabulce:
| Úroveň přístupu k Defenderu for Identity | Minimální požadovaná sjednocená oprávnění RBAC v Microsoftu 365 |
|---|---|
| Správa istrátory | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Uživatelé | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Diváci | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Další informace najdete v tématu Vlastní role v řízení přístupu na základě role pro XDR v programu Microsoft Defender a vytváření vlastních rolí pomocí sjednoceného řízení přístupu na základě role v programu Microsoft Defender XDR.
Poznámka:
Informace zahrnuté v protokolu aktivit Defender for Cloud Apps můžou stále obsahovat data Defenderu for Identity. Tento obsah dodržuje stávající oprávnění Defenderu for Cloud Apps.
Výjimka: Pokud jste na portálu Microsoft Defender for Cloud Apps nakonfigurovali nasazení s vymezeným oborem pro výstrahy Identity v programu Microsoft Defender for Cloud Apps, nebudou se tato oprávnění přenášet a budete muset explicitně udělit oprávnění Security Operations \ Security data \ Security data basics (read) pro příslušné uživatele portálu.
Požadovaná oprávnění Defender for Identity v XDR v programu Microsoft Defender
Následující tabulka podrobně popisuje konkrétní oprávnění požadovaná pro aktivity Defenderu for Identity v XDR v programu Microsoft Defender.
| Aktivita | Požadována oprávnění |
|---|---|
| Onboarding Defenderu for Identity (vytvoření pracovního prostoru) | Jedna z následujících rolí Microsoft Entra: - Globální správce - Správce zabezpečení |
| Konfigurace nastavení defenderu pro identitu | Jedna z následujících rolí Microsoft Entra: - Globální správce - Správce zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Zobrazení nastavení defenderu pro identitu | Jedna z následujících rolí Microsoft Entra: - Globální čtenář - Čtenář zabezpečení Nebo Následující sjednocená oprávnění RBAC: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Správa výstrah zabezpečení a aktivit služby Defender for Identity | Jedna z rolí Microsoft Entra vyžadovaných XDR v programu Microsoft Defender Nebo Následující sjednocená oprávnění RBAC: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Zobrazení posouzení zabezpečení služby Defender for Identity (nyní součástí služby Microsoft Secure Score) |
Oprávnění pro přístup ke službě Microsoft Secure Score And Následující sjednocená oprávnění RBAC: Security operations/Security data /Security data basics (Read) |
| Zobrazení stránky Prostředky / Identity | Oprávnění pro přístup k Defenderu for Cloud Apps Nebo Jedna z rolí Microsoft Entra vyžadovaných XDR v programu Microsoft Defender |
| Provedení akcí odpovědi defenderu for Identity | Vlastní role definovaná s oprávněními pro odpověď (správa) Nebo Jedna z rolí Microsoft Entra vyžadovaných XDR v programu Microsoft Defender |
Skupiny zabezpečení Defenderu for Identity
Defender for Identity poskytuje následující skupiny zabezpečení, které pomáhají spravovat přístup k prostředkům Defenderu for Identity:
- Správa istrátory Azure ATP (název pracovního prostoru)
- Uživatelé Azure ATP (název pracovního prostoru)
- Prohlížeče Azure ATP (název pracovního prostoru)
V následující tabulce jsou uvedené aktivity, které jsou k dispozici pro každou skupinu zabezpečení:
| Aktivita | Správa istrátory Azure ATP (název pracovního prostoru) | Uživatelé Azure ATP (název pracovního prostoru) | Prohlížeče Azure ATP (název pracovního prostoru) |
|---|---|---|---|
| Změna stavu problému | dostupný | Není k dispozici | Není k dispozici |
| Změna stavu výstrah zabezpečení (opětovné otevření, zavření, vyloučení, potlačení) | dostupný | dostupný | Není k dispozici |
| Odstranění pracovního prostoru | dostupný | Není k dispozici | Není k dispozici |
| Stažení sestavy | dostupný | Dostupná | dostupný |
| Přihlášení | dostupný | Dostupná | dostupný |
| Sdílení/export výstrah zabezpečení (e-mailem, získání odkazu, podrobnosti o stažení) | dostupný | Dostupná | dostupný |
| Aktualizace konfigurace Defenderu for Identity (aktualizace) | dostupný | Není k dispozici | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (značky entit, včetně citlivých i honeytokenů) | dostupný | dostupný | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (vyloučení) | dostupný | dostupný | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (jazyk) | dostupný | dostupný | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (oznámení, včetně e-mailu i syslogu) | dostupný | dostupný | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (detekce ve verzi Preview) | dostupný | dostupný | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (naplánované sestavy) | dostupný | dostupný | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (zdroje dat, včetně adresářových služeb, SIEM, VPN, Defenderu pro koncový bod) | dostupný | Není k dispozici | Není k dispozici |
| Aktualizace konfigurace Defenderu for Identity (správa senzorů, včetně stahování softwaru, opětovného vygenerování klíčů, konfigurace, odstranění) | dostupný | Není k dispozici | Není k dispozici |
| Zobrazení profilů entit a výstrah zabezpečení | dostupný | Dostupná | dostupný |
Přidání a odebrání uživatelů
Defender for Identity používá skupiny zabezpečení Microsoft Entra jako základ pro skupiny rolí.
Spravujte skupiny rolí ze stránky správa skupin na webu Azure Portal. Skupiny zabezpečení můžou přidávat nebo odebírat jenom uživatelé Microsoft Entra.
Další krok
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro