Ruoli personalizzati nel controllo di accesso basato sui ruoli per Microsoft 365 DefenderCustom roles in role-based access control for Microsoft 365 Defender

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Esistono due tipi di ruoli che possono essere usati per accedere a Microsoft 365 Defender:There are two types of roles that can be used to access to Microsoft 365 Defender:

  • Ruoli Azure Active Directory globale (AD)Global Azure Active Directory (AD) roles
  • Ruoli personalizzatiCustom roles

L'Microsoft 365 Defender può essere gestito collettivamente usando i ruoli globali in Azure Active Directory (AAD)Access to Microsoft 365 Defender can be managed collectively by using Global roles in Azure Active Directory (AAD)

Se è necessaria una maggiore flessibilità e un maggiore controllo sull'accesso a dati di prodotto specifici, è possibile gestire l'accesso Microsoft 365 Defender anche con la creazione di ruoli personalizzati tramite ogni portale di sicurezza corrispondente.If you need greater flexibility and control over access to specific product data, Microsoft 365 Defender access can also be managed with the creation of Custom roles through each respective security portal.

Ad esempio, un ruolo personalizzato creato tramite Microsoft Defender per Endpoint consentirebbe l'accesso ai dati di prodotto pertinenti, inclusi i dati dell'endpoint all'interno del centro sicurezza Microsoft 365 sicurezza.For example, a Custom role created through Microsoft Defender for Endpoint would allow access to the relevant product data, including Endpoint data within the Microsoft 365 security center. Analogamente, un ruolo personalizzato creato tramite Microsoft Defender per Office 365 consentirebbe l'accesso ai dati di prodotto pertinenti, inclusi i dati di collaborazione di Email & all'interno del centro sicurezza Microsoft 365 sicurezza.Similarly, a Custom role created through Microsoft Defender for Office 365 would allow access to the relevant product data, including Email & collaboration data within the Microsoft 365 security center.

Gli utenti con ruoli personalizzati esistenti possono accedere ai dati nel centro sicurezza Microsoft 365 in base alle autorizzazioni del carico di lavoro esistenti senza alcuna configurazione aggiuntiva necessaria.Users with existing Custom roles may access data in the Microsoft 365 security center according to their existing workload permissions with no additional configuration required.

Creare e gestire ruoli personalizzatiCreate and manage custom roles

I ruoli e le autorizzazioni personalizzati possono essere creati e gestiti singolarmente tramite ognuno dei portali di sicurezza seguenti:Custom roles and permissions can be created and individually managed through each of the following security portals:

Ogni ruolo personalizzato creato tramite un singolo portale consente di accedere ai dati del portale del prodotto pertinente.Each custom role created through an individual portal allows access to the data of the relevant product portal. Ad esempio, un ruolo personalizzato creato tramite Microsoft Defender per Endpoint consentirà solo l'accesso a Defender per i dati dell'endpoint.For example, a custom role created through Microsoft Defender for Endpoint will only allow access to Defender for Endpoint data.

Suggerimento

È inoltre possibile accedere alle autorizzazioni e ai ruoli tramite il Centro sicurezza Microsoft 365 selezionando Autorizzazioni & ruoli dal riquadro di spostamento.Permissions and roles can also be accessed through the Microsoft 365 security center by selecting Permissions & roles from the navigation pane. L'accesso Microsoft Cloud App Security (MCAS) viene gestito tramite il portale MCAS e controlla anche l'accesso a Microsoft Defender for Identity.Access to Microsoft Cloud App Security (MCAS) is managed through the MCAS portal and controls access to Microsoft Defender for Identity as well. Vedere Microsoft Cloud App SecuritySee Microsoft Cloud App Security

Nota

Anche i ruoli personalizzati Microsoft Cloud App Security possono accedere ai dati di Microsoft Defender for Identity.Custom roles created in Microsoft Cloud App Security have access to Microsoft Defender for Identity data as well. Gli utenti con ruoli amministratore gruppo di utenti o amministratore app/istanza Microsoft Cloud App Security non sono in grado di accedere ai dati Microsoft Cloud App Security tramite il Centro sicurezza Microsoft 365 sicurezza.Users with User group admin, or App/instance admin Microsoft Cloud App Security roles are not able to access Microsoft Cloud App Security data through the Microsoft 365 security center.

Gestire autorizzazioni e ruoli nel Centro sicurezza Microsoft 365 sicurezzaManage permissions and roles in the Microsoft 365 security center

Le autorizzazioni e i ruoli possono essere gestiti anche nel Centro sicurezza Microsoft 365 sicurezza:Permissions and roles can also be managed in the Microsoft 365 security center:

  1. Accedi al centro sicurezza Microsoft 365 sicurezza all'security.microsoft.com.Sign in to the Microsoft 365 security center at security.microsoft.com.
  2. Nel riquadro di spostamento selezionare Autorizzazioni & ruoli.In the navigation pane, select Permissions & roles.
  3. Nell'intestazione Autorizzazioni selezionare Ruoli.Under the Permissions header, select Roles.

Nota

Questo vale solo per Defender per Office 365 e Defender per Endpoint.This only applies to Defender for Office 365 and Defender for Endpoint. L'accesso ad altri carichi di lavoro deve essere eseguito nei portali pertinenti.Access for other workloads must be done in their relevant portals.

Ruoli e autorizzazioni necessariRequired roles and permissions

Nella tabella seguente vengono descritti i ruoli e le autorizzazioni necessari per accedere a ogni esperienza unificata in ogni carico di lavoro.The following table outlines the roles and permissions required to access each unified experience in each workload. I ruoli definiti nella tabella seguente fanno riferimento ai ruoli personalizzati nei singoli portali e non sono connessi ai ruoli globali in Azure AD, anche se denominati in modo analogo.Roles defined in the table below refer to custom roles in individual portals and are not connected to global roles in Azure AD, even if similarly named.

Nota

La gestione degli eventi imprevisti richiede autorizzazioni di gestione per tutti i prodotti che fanno parte dell'evento imprevisto.Incident management requires management permissions for all products that are part of the incident.

Uno dei ruoli seguenti è necessario per Microsoft 365 DefenderOne of the following roles are required for Microsoft 365 Defender Uno dei ruoli seguenti è obbligatorio per Defender per EndpointOne of the following roles are required for Defender for Endpoint Uno dei ruoli seguenti è necessario per Defender per Office 365One of the following roles are required for Defender for Office 365 Uno dei ruoli seguenti è necessario per Cloud App SecurityOne of the following roles are required for Cloud App Security
Visualizzazione dei dati dell'indagine:Viewing investigation data:
  • Pagina avvisoAlert page
  • Coda di avvisiAlerts queue
  • Eventi imprevistiIncidents
  • Coda eventi imprevistiIncident queue
  • Centro notificheAction center
Visualizzare le operazioni di sicurezza dei datiView data- security operations
  • Sola visualizzazione Gestisci avvisiView-only Manage alerts
  • Configurazione organizzazioneOrganization configuration
  • Log di controlloAudit logs
  • Log di controllo di sola visualizzazioneView-only audit logs
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Amministratore della sicurezzaSecurity admin
  • Destinatari di sola visualizzazioneView-only recipients
  • Amministratore globaleGlobal admin
  • Amministratore della sicurezzaSecurity admin
  • Amministratore di conformitàCompliance admin
  • Operatore della sicurezzaSecurity operator
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Ruolo con autorizzazioni di lettura globaliGlobal reader
Visualizzazione dei dati di ricercaViewing hunting data Visualizzare le operazioni di sicurezza dei datiView data- security operations
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Amministratore della sicurezzaSecurity admin
  • Destinatari di sola visualizzazioneView-only recipients
  • Amministratore globaleGlobal admin
  • Amministratore della sicurezzaSecurity admin
  • Amministratore di conformitàCompliance admin
  • Operatore della sicurezzaSecurity operator
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Ruolo con autorizzazioni di lettura globaliGlobal reader
Gestione di avvisi ed eventi imprevistiManaging alerts and incidents Analisi degli avvisiAlerts investigation
  • Gestire gli avvisiManage alerts
  • Amministratore della sicurezzaSecurity admin
  • Amministratore globaleGlobal admin
  • Amministratore della sicurezzaSecurity admin
  • Amministratore di conformitàCompliance admin
  • Operatore della sicurezzaSecurity operator
  • Amministratore che legge i dati di sicurezzaSecurity reader
Correzione del centro notificheAction center remediation Azioni di correzione attive - operazioni di sicurezzaActive remediation actions – security operations Ricerca ed eliminazioneSearch and purge
Impostazione di rilevamenti personalizzatiSetting custom detections Gestire le impostazioni di sicurezzaManage security settings
  • Gestire gli avvisiManage alerts
  • Amministratore della sicurezzaSecurity admin
  • Amministratore globaleGlobal admin
  • Amministratore della sicurezzaSecurity admin
  • Amministratore di conformitàCompliance admin
  • Operatore della sicurezzaSecurity operator
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Ruolo con autorizzazioni di lettura globaliGlobal reader
Analisi delle minacceThreat Analytics Dati relativi a avvisi e eventi imprevisti:Alerts and incidents data:
  • Visualizzare le operazioni di sicurezza dei datiView data- security operations
Mitigazioni TVM:TVM mitigations:
  • Visualizzare i dati - Minacce e gestione delle vulnerabilitàView data - Threat and vulnerability management
Dati relativi a avvisi e eventi imprevisti:Alerts and incidents data:
  • Sola visualizzazione Gestisci avvisiView-only Manage alerts
  • Gestire gli avvisiManage alerts
  • Configurazione organizzazioneOrganization configuration
  • Log di controlloAudit logs
  • Log di controllo di sola visualizzazioneView-only audit logs
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Amministratore della sicurezzaSecurity admin
  • Destinatari di sola visualizzazioneView-only recipients
Tentativi di posta elettronica non consentiti:Prevented email attempts:
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Amministratore della sicurezzaSecurity admin
  • Destinatari di sola visualizzazioneView-only recipients
Non disponibile per gli utenti MCAS o MDINot available for MCAS or MDI users

Ad esempio, per visualizzare i dati di ricerca da Microsoft Defender per Endpoint, sono necessarie autorizzazioni per le operazioni di sicurezza dei dati.For example, to view hunting data from Microsoft Defender for Endpoint, View data security operations permissions are required.

Analogamente, per visualizzare i dati di ricerca da Microsoft Defender per Office 365, gli utenti richiedono uno dei ruoli seguenti:Similarly, to view hunting data from Microsoft Defender for Office 365, users would require one of the following roles:

  • Visualizzare le operazioni di sicurezza dei datiView data security operations
  • Amministratore che legge i dati di sicurezzaSecurity reader
  • Amministratore della sicurezzaSecurity admin
  • Destinatari di sola visualizzazioneView-only recipients