Administración del acceso al portal mediante el control de acceso basado en rol
Nota:
Si ejecuta el programa de Microsoft Defender XDR versión preliminar, ahora puede experimentar el nuevo modelo de control de acceso basado en rol (RBAC) unificado Microsoft Defender 365. Para obtener más información, consulte Microsoft Defender control de acceso basado en rol unificado (RBAC) 365.
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Entra ID
- Office 365
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Con el control de acceso basado en rol (RBAC), puede crear roles y grupos dentro del equipo de operaciones de seguridad para conceder el acceso adecuado al portal. En función de los roles y grupos que cree, tiene un control específico sobre lo que los usuarios con acceso al portal pueden ver y hacer.
Los equipos de operaciones de seguridad distribuidas geográficamente de gran tamaño suelen adoptar un modelo basado en niveles para asignar y autorizar el acceso a los portales de seguridad. Los niveles típicos incluyen los tres niveles siguientes:
| Nivel | Descripción |
|---|---|
| Nivel 1 | Equipo de operaciones de seguridad local/equipo de TI Este equipo suele evaluar e investigar las alertas contenidas en su geolocalización y se escala al nivel 2 en los casos en los que se requiere una corrección activa. |
| Nivel 2 | Equipo de operaciones de seguridad regional Este equipo puede ver todos los dispositivos de su región y realizar acciones de corrección. |
| Nivel 3 | Equipo de operaciones de seguridad global Este equipo está formado por expertos en seguridad y está autorizado para ver y realizar todas las acciones desde el portal. |
Nota:
En el caso de los recursos de nivel 0, consulte Privileged Identity Management para que los administradores de seguridad proporcionen un control más pormenorizado de Microsoft Defender para punto de conexión y Microsoft Defender XDR.
RBAC de Defender para punto de conexión está diseñado para admitir el modelo de nivel o basado en rol que prefiera y proporciona un control pormenorizado sobre qué roles pueden ver, los dispositivos a los que pueden acceder y las acciones que pueden realizar. El marco de RBAC se centra en los siguientes controles:
- Controlar quién puede realizar una acción específica
- Cree roles personalizados y controle a qué funcionalidades de Defender para punto de conexión pueden acceder con granularidad.
- Controlar quién puede ver información sobre grupos o grupos de dispositivos específicos
Cree grupos de dispositivos por criterios específicos, como nombres, etiquetas, dominios y otros, y, a continuación, concédales acceso de rol mediante un grupo de usuarios Microsoft Entra específico.
Nota:
La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.
Para implementar el acceso basado en rol, deberá definir roles de administrador, asignar los permisos correspondientes y asignar Microsoft Entra grupos de usuarios asignados a los roles.
Antes de empezar
Antes de usar RBAC, es importante que comprenda los roles que pueden conceder permisos y las consecuencias de activar RBAC.
Advertencia
Antes de habilitar la característica, es importante que tenga un rol de administrador global o administrador de seguridad en Microsoft Entra ID y que tenga los grupos de Microsoft Entra listos para reducir el riesgo de que se bloquee el portal.
La primera vez que inicie sesión en el portal de Microsoft Defender, se le concederá acceso completo o acceso de solo lectura. Los derechos de acceso total se conceden a los usuarios con roles de administrador de seguridad o administrador global en Microsoft Entra ID. El acceso de solo lectura se concede a los usuarios con un rol lector de seguridad en Microsoft Entra ID.
Alguien con un rol de Administrador global de Defender para punto de conexión tiene acceso sin restricciones a todos los dispositivos, independientemente de su asociación de grupos de dispositivos y de las asignaciones de grupos de usuarios Microsoft Entra.
Advertencia
Inicialmente, solo los que tengan derechos de administrador global o administrador de seguridad de Microsoft Entra podrán crear y asignar roles en el portal de Microsoft Defender, por lo que es importante tener los grupos adecuados listos en Microsoft Entra ID.
Al activar el control de acceso basado en rol, los usuarios con permisos de solo lectura (por ejemplo, los usuarios asignados a Microsoft Entra rol lector de seguridad) perderán el acceso hasta que se asignen a un rol.
A los usuarios con permisos de administrador se les asigna automáticamente el rol de administrador global integrado predeterminado de Defender para punto de conexión con permisos completos. Después de participar en el uso de RBAC, puede asignar usuarios adicionales que no sean Microsoft Entra administradores globales o de seguridad al rol de administrador global de Defender para punto de conexión.
Después de participar en el uso de RBAC, no puede revertir a los roles iniciales como cuando inició sesión por primera vez en el portal.
Tema relacionado
- Roles de RBAC
- Creación y administración de grupos de dispositivos en Microsoft Defender para punto de conexión
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de