Administrar el acceso al portal mediante el control de acceso basado en rolesManage portal access using role-based access control

Se aplica a:Applies to:

  • Azure Active DirectoryAzure Active Directory
  • Office 365Office 365

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

Con el control de acceso basado en roles (RBAC), puede crear roles y grupos dentro del equipo de operaciones de seguridad para conceder el acceso adecuado al portal.Using role-based access control (RBAC), you can create roles and groups within your security operations team to grant appropriate access to the portal. En función de los roles y grupos que cree, tiene un control preciso sobre lo que los usuarios con acceso al portal pueden ver y hacer.Based on the roles and groups you create, you have fine-grained control over what users with access to the portal can see and do.

Los grandes equipos de operaciones de seguridad distribuidas geográficamente suelen adoptar un modelo basado en niveles para asignar y autorizar el acceso a portales de seguridad.Large geo-distributed security operations teams typically adopt a tier-based model to assign and authorize access to security portals. Los niveles típicos incluyen los tres niveles siguientes:Typical tiers include the following three levels:

NivelTier DescripciónDescription
Nivel 1Tier 1 Equipo de operaciones de seguridad local / equipo de TILocal security operations team / IT team
Este equipo normalmente realiza una triage e investiga las alertas contenidas en su geolocalización y escala al nivel 2 en los casos en los que se requiere una corrección activa.This team usually triages and investigates alerts contained within their geolocation and escalates to Tier 2 in cases where an active remediation is required.
Nivel 2Tier 2 Equipo de operaciones de seguridad regionalRegional security operations team
Este equipo puede ver todos los dispositivos de su región y realizar acciones de corrección.This team can see all the devices for their region and perform remediation actions.
Nivel 3Tier 3 Equipo de operaciones de seguridad globalGlobal security operations team
Este equipo está formado por expertos en seguridad y están autorizados a ver y realizar todas las acciones desde el portal.This team consists of security experts and are authorized to see and perform all actions from the portal.

Defender for Endpoint RBAC está diseñado para admitir el modelo de opciones basado en roles o niveles y le proporciona un control detallado sobre qué roles pueden ver, los dispositivos a los que pueden acceder y las acciones que pueden realizar.Defender for Endpoint RBAC is designed to support your tier- or role-based model of choice and gives you granular control over what roles can see, devices they can access, and actions they can take. El marco RBAC se centra en los siguientes controles:The RBAC framework is centered around the following controls:

  • Controlar quién puede realizar una acción específicaControl who can take specific action

    • Crea roles personalizados y controla a qué capacidades de Defender for Endpoint pueden acceder con granularidad.Create custom roles and control what Defender for Endpoint capabilities they can access with granularity.
  • Controlar quién puede ver información sobre grupos o grupos de dispositivos específicosControl who can see information on specific device group or groups

    • Cree grupos de dispositivos por criterios específicos, como nombres, etiquetas, dominios y otros, y, a continuación, conceda acceso a los roles mediante un grupo de usuarios específico de Azure Active Directory (Azure AD).Create device groups by specific criteria such as names, tags, domains, and others, then grant role access to them using a specific Azure Active Directory (Azure AD) user group.

Para implementar el acceso basado en roles, deberá definir roles de administrador, asignar los permisos correspondientes y asignar grupos de usuarios de Azure AD asignados a los roles.To implement role-based access, you'll need to define admin roles, assign corresponding permissions, and assign Azure AD user groups assigned to the roles.

Antes de empezarBefore you begin

Antes de usar RBAC, es importante que comprenda los roles que pueden conceder permisos y las consecuencias de activar RBAC.Before using RBAC, it's important that you understand the roles that can grant permissions and the consequences of turning on RBAC.

Advertencia

Antes de habilitar la característica, es importante que tenga un rol de administrador global o de administrador de seguridad en Azure AD y que tenga los grupos de Azure AD listos para reducir el riesgo de que se bloquee el portal.Before enabling the feature, it's important that you have a Global Administrator role or Security Administrator role in Azure AD and that you have your Azure AD groups ready to reduce the risk of being locked out of the portal.

Al iniciar sesión por primera vez en el Centro de seguridad de Microsoft Defender, se le concede acceso completo o acceso de solo lectura.When you first log in to Microsoft Defender Security Center, you're granted either full access or read only access. Los derechos de acceso completo se conceden a los usuarios con roles de administrador de seguridad o administrador global en Azure AD.Full access rights are granted to users with Security Administrator or Global Administrator roles in Azure AD. El acceso de solo lectura se concede a los usuarios con un rol lector de seguridad en Azure AD.Read only access is granted to users with a Security Reader role in Azure AD.

Alguien con un rol de administrador global de Defender for Endpoint tiene acceso sin restricciones a todos los dispositivos, independientemente de su asociación de grupo de dispositivos y las asignaciones de grupos de usuarios de Azure ADSomeone with a Defender for Endpoint Global administrator role has unrestricted access to all devices, regardless of their device group association and the Azure AD user groups assignments

Advertencia

Inicialmente, solo aquellos con derechos de administrador global de Azure AD o administrador de seguridad podrán crear y asignar roles en el Centro de seguridad de Microsoft Defender, por lo que es importante tener los grupos adecuados listos en Azure AD.Initially, only those with Azure AD Global Administrator or Security Administrator rights will be able to create and assign roles in Microsoft Defender Security Center, therefore, having the right groups ready in Azure AD is important.

Al activar el control de acceso basado en roles, los usuarios con permisos de solo lectura (por ejemplo, los usuarios asignados al rol de lector de seguridad de Azure AD) perderán el acceso hasta que se les asigne un rol.Turning on role-based access control will cause users with read-only permissions (for example, users assigned to Azure AD Security reader role) to lose access until they are assigned to a role.

A los usuarios con permisos de administrador se les asigna automáticamente el rol de administrador global de Defender for Endpoint integrado predeterminado con permisos completos.Users with admin permissions are automatically assigned the default built-in Defender for Endpoint global administrator role with full permissions. Después de participar en el uso de RBAC, puede asignar usuarios adicionales que no sean administradores globales o de seguridad de Azure AD al rol de administrador global de Defender for Endpoint.After opting in to use RBAC, you can assign additional users that are not Azure AD Global or Security Administrators to the Defender for Endpoint global administrator role.

Después de participar en el uso de RBAC, no puede volver a los roles iniciales como cuando inició sesión por primera vez en el portal.After opting in to use RBAC, you cannot revert to the initial roles as when you first logged into the portal.