Verwalten des Portalzugriffs mithilfe der rollenbasierten Zugriffssteuerung

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie Rollen und Gruppen in Ihrem Sicherheitsteam erstellen, um den entsprechenden Zugriff auf das Portal zu gewähren. Basierend auf den Rollen und Gruppen, die Sie erstellen, haben Sie eine differenzierte Kontrolle darüber, was Benutzer mit Zugriff auf das Portal sehen und tun können.

Große Geo-verteilte Sicherheitsteams verwenden in der Regel ein ebenenbasiertes Modell, um den Zugriff auf Sicherheitsportale zuzuweisen und zu autorisieren. Typische Ebenen umfassen die folgenden drei Ebenen:

Tier Beschreibung
Ebene 1 Lokales Sicherheitsbetriebsteam/IT-Team
Dieses Team triaget und untersucht in der Regel Warnungen, die in seiner Geolocation enthalten sind, und eskaliert zu Ebene 2 in Fällen, in denen eine aktive Korrektur erforderlich ist.
Ebene 2 Regionales Sicherheitsbetriebsteam
Dieses Team kann alle Geräte für seine Region sehen und Korrekturmaßnahmen ausführen.
Ebene 3 Globales Sicherheitsbetriebsteam
Dieses Team besteht aus Sicherheitsexperten und ist berechtigt, alle Aktionen über das Portal anzuzeigen und auszuführen.

Hinweis

Informationen zu Ressourcen der Ebene 0 finden Sie unter Privileged Identity Management für Sicherheitsadministratoren, um eine präzisere Kontrolle über Microsoft Defender für Endpunkt und Microsoft 365 Defender bereitzustellen.

Defender für Endpunkt-RBAC wurde entwickelt, um Ihr ebenen- oder rollenbasiertes Modell ihrer Wahl zu unterstützen, und bietet Ihnen eine präzise Kontrolle darüber, welche Rollen angezeigt werden, auf welche Geräte sie zugreifen können und welche Aktionen sie ausführen können. Das RBAC-Framework ist auf die folgenden Steuerelemente zentriert:

  • Steuern, wer bestimmte Maßnahmen ergreifen kann
    • Erstellen Sie benutzerdefinierte Rollen, und steuern Sie, auf welche Defender für Endpunkt-Funktionen sie mit Granularität zugreifen können.
  • Steuern, wer Informationen zu bestimmten Gerätegruppen oder Gruppen anzeigen kann
    • Erstellen Sie Gerätegruppen anhand bestimmter Kriterien wie Namen, Tags, Domänen und anderen, und gewähren Sie ihnen dann mithilfe einer bestimmten Azure Active Directory (Azure AD)-Benutzergruppe Rollenzugriff.

Um den rollenbasierten Zugriff zu implementieren, müssen Sie Administratorrollen definieren, entsprechende Berechtigungen zuweisen und Azure AD Benutzergruppen zuweisen, die den Rollen zugewiesen sind.

Bevor Sie beginnen:

Bevor Sie RBAC verwenden, ist es wichtig, dass Sie die Rollen verstehen, die Berechtigungen erteilen können, und die Folgen des Aktivierens von RBAC.

Warnung

Bevor Sie das Feature aktivieren, ist es wichtig, dass Sie über eine rolle als globaler Administrator oder Sicherheitsadministrator in Azure AD verfügen und dass Ihre Azure AD-Gruppen bereit sind, um das Risiko zu verringern, dass das Portal gesperrt wird.

Wenn Sie sich zum ersten Mal beim Microsoft 365 Defender Portal anmelden, wird Ihnen entweder Vollzugriff oder schreibgeschützter Zugriff gewährt. Vollzugriffsrechte werden Benutzern mit Sicherheitsadministrator- oder globalen Administratorrollen in Azure AD gewährt. Schreibgeschützter Zugriff wird Benutzern mit der Rolle "Sicherheitsleseberechtigter" in Azure AD gewährt.

Eine Person mit einer globalen Administratorrolle für Defender für Endpunkt hat uneingeschränkten Zugriff auf alle Geräte, unabhängig von ihrer Gerätegruppenzuordnung und den Azure AD Benutzergruppenzuweisungen.

Warnung

Zunächst können nur Personen mit Azure AD Berechtigungen für globalen Administrator oder Sicherheitsadministrator Rollen im Microsoft 365 Defender Portal erstellen und zuweisen. Daher ist es wichtig, die richtigen Gruppen in Azure AD bereit zu haben.

Das Aktivieren der rollenbasierten Zugriffssteuerung führt dazu, dass Benutzer mit schreibgeschützten Berechtigungen (z. B. Benutzer, die Azure AD Sicherheitsleserolle zugewiesen sind) den Zugriff verlieren, bis sie einer Rolle zugewiesen sind.

Benutzern mit Administratorberechtigungen wird automatisch die standardmäßig integrierte globale Administratorrolle von Defender für Endpunkt mit vollständigen Berechtigungen zugewiesen. Nachdem Sie sich für die Verwendung von RBAC entschieden haben, können Sie der globalen Administratorrolle "Defender für Endpunkt" weitere Benutzer zuweisen, die nicht Azure AD globalen Oder Sicherheitsadministratoren sind.

Nachdem Sie sich für die Verwendung von RBAC entschieden haben, können Sie nicht wie bei der ersten Anmeldung beim Portal zu den ursprünglichen Rollen wechseln.