Gérer l’accès au portail à l’aide du contrôle d’accès basé sur un rôleManage portal access using role-based access control

S’applique à :Applies to:

  • Azure Active DirectoryAzure Active Directory
  • Office 365Office 365

Vous souhaitez faire l’expérience de Defender for Endpoint ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

À l’aide du contrôle d’accès basé sur un rôle (RBAC), vous pouvez créer des rôles et des groupes au sein de votre équipe des opérations de sécurité pour accorder un accès approprié au portail.Using role-based access control (RBAC), you can create roles and groups within your security operations team to grant appropriate access to the portal. En fonction des rôles et des groupes que vous créez, vous avez un contrôle fin sur ce que les utilisateurs ayant accès au portail peuvent voir et faire.Based on the roles and groups you create, you have fine-grained control over what users with access to the portal can see and do.

Les grandes équipes d’opérations de sécurité distribuées géographiquement adoptent généralement un modèle basé sur un niveau pour attribuer et autoriser l’accès aux portails de sécurité.Large geo-distributed security operations teams typically adopt a tier-based model to assign and authorize access to security portals. Les niveaux classiques incluent les trois niveaux suivants :Typical tiers include the following three levels:

NiveauTier DescriptionDescription
Niveau 1Tier 1 Équipe locale des opérations de sécurité/équipe informatiqueLocal security operations team / IT team
Cette équipe trie et examine généralement les alertes contenues dans leur géolocalisation et atteint le niveau 2 dans les cas où une correction active est nécessaire.This team usually triages and investigates alerts contained within their geolocation and escalates to Tier 2 in cases where an active remediation is required.
Niveau 2Tier 2 Équipe des opérations de sécurité régionaleRegional security operations team
Cette équipe peut voir tous les appareils de leur région et effectuer des actions de correction.This team can see all the devices for their region and perform remediation actions.
Niveau 3Tier 3 Équipe des opérations de sécurité globaleGlobal security operations team
Cette équipe est constituée d’experts en sécurité et est autorisée à voir et à effectuer toutes les actions à partir du portail.This team consists of security experts and are authorized to see and perform all actions from the portal.

Defender for Endpoint RBAC est conçu pour prendre en charge votre modèle de choix basé sur des rôles ou des niveaux et vous donne un contrôle granulaire sur les rôles qu’ils peuvent voir, les appareils accessibles et les actions qu’ils peuvent prendre.Defender for Endpoint RBAC is designed to support your tier- or role-based model of choice and gives you granular control over what roles can see, devices they can access, and actions they can take. L’infrastructure RBAC est centrée autour des contrôles suivants :The RBAC framework is centered around the following controls:

  • Contrôler les personnes qui peuvent prendre des mesures spécifiquesControl who can take specific action

    • Créez des rôles personnalisés et contrôlez les fonctionnalités de Defender for Endpoint accessibles avec granularité.Create custom roles and control what Defender for Endpoint capabilities they can access with granularity.
  • Contrôler qui peut voir les informations sur un ou plusieurs groupes d’appareils spécifiquesControl who can see information on specific device group or groups

    • Créez des groupes d’appareils en fonction de critères spécifiques tels que des noms, des balises, des domaines et d’autres, puis accordez-leur l’accès au rôle à l’aide d’un groupe d’utilisateurs Azure Active Directory (Azure AD) spécifique.Create device groups by specific criteria such as names, tags, domains, and others, then grant role access to them using a specific Azure Active Directory (Azure AD) user group.

Pour implémenter l’accès basé sur les rôles, vous devez définir des rôles d’administrateur, attribuer des autorisations correspondantes et affecter des groupes d’utilisateurs Azure AD affectés aux rôles.To implement role-based access, you'll need to define admin roles, assign corresponding permissions, and assign Azure AD user groups assigned to the roles.

Avant de commencerBefore you begin

Avant d’utiliser le RBAC, il est important de comprendre les rôles qui peuvent accorder des autorisations et les conséquences de l’utilisation du RBAC.Before using RBAC, it's important that you understand the roles that can grant permissions and the consequences of turning on RBAC.

Avertissement

Avant d’activer la fonctionnalité, il est important que vous disposez d’un rôle d’administrateur général ou d’administrateur de la sécurité dans Azure AD et que vos groupes Azure AD sont prêts à réduire le risque d’être verrouillé du portail.Before enabling the feature, it's important that you have a Global Administrator role or Security Administrator role in Azure AD and that you have your Azure AD groups ready to reduce the risk of being locked out of the portal.

Lorsque vous vous connectez pour la première fois au Centre de sécurité Microsoft Defender, l’accès complet ou l’accès en lecture seule vous est accordé.When you first log in to Microsoft Defender Security Center, you're granted either full access or read only access. Les droits d’accès total sont accordés aux utilisateurs ayant des rôles Administrateur de sécurité ou Administrateur général dans Azure AD.Full access rights are granted to users with Security Administrator or Global Administrator roles in Azure AD. L’accès en lecture seule est accordé aux utilisateurs ayant un rôle de lecteur de sécurité dans Azure AD.Read only access is granted to users with a Security Reader role in Azure AD.

Une personne ayant un rôle d’administrateur général Defender pour point de terminaison dispose d’un accès illimité à tous les appareils, quelle que soit l’association de leur groupe d’appareils et les affectations des groupes d’utilisateurs Azure AD.Someone with a Defender for Endpoint Global administrator role has unrestricted access to all devices, regardless of their device group association and the Azure AD user groups assignments

Avertissement

Initialement, seules les personnes ayant des droits d’administrateur général Azure AD ou d’administrateur de la sécurité pourront créer et attribuer des rôles dans le Centre de sécurité Microsoft Defender. Par conséquent, il est important que les groupes soient prêts dans Azure AD.Initially, only those with Azure AD Global Administrator or Security Administrator rights will be able to create and assign roles in Microsoft Defender Security Center, therefore, having the right groups ready in Azure AD is important.

L’turning on role-based access control will cause users with read-only permissions (for example, users assigned to Azure AD Security reader role) to lose access until they are assigned to a role.Turning on role-based access control will cause users with read-only permissions (for example, users assigned to Azure AD Security reader role) to lose access until they are assigned to a role.

Le rôle d’administrateur général Defender for Endpoint intégré par défaut est automatiquement attribué aux utilisateurs ayant des autorisations d’administrateur avec des autorisations complètes.Users with admin permissions are automatically assigned the default built-in Defender for Endpoint global administrator role with full permissions. Après avoir choisi d’utiliser le contrôle d’accès en fonction du rôle, vous pouvez affecter d’autres utilisateurs qui ne sont pas des administrateurs globaux ou de sécurité Azure AD au rôle d’administrateur général Defender for Endpoint.After opting in to use RBAC, you can assign additional users that are not Azure AD Global or Security Administrators to the Defender for Endpoint global administrator role.

Après avoir choisi d’utiliser le RBAC, vous ne pouvez pas revenir aux rôles initiaux comme lorsque vous vous êtes connecté au portail pour la première fois.After opting in to use RBAC, you cannot revert to the initial roles as when you first logged into the portal.