Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach
Uwaga
Jeśli korzystasz z programu w wersji zapoznawczej Microsoft Defender XDR, możesz teraz zapoznać się z nowym modelem ujednoliconej kontroli dostępu na podstawie ról (RBAC) Microsoft Defender 365. Aby uzyskać więcej informacji, zobacz Microsoft Defender 365 Ujednolicona kontrola dostępu oparta na rolach (RBAC).
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Entra ID
- Usługa Office 365
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Za pomocą kontroli dostępu opartej na rolach (RBAC) można tworzyć role i grupy w ramach zespołu operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do portalu. Na podstawie utworzonych ról i grup masz szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i robić.
Duże zespoły ds. operacji zabezpieczeń rozproszonych geograficznie zwykle przyjmują model oparty na warstwach w celu przypisywania i autoryzowania dostępu do portali zabezpieczeń. Typowe warstwy obejmują następujące trzy poziomy:
| Warstwy | Opis |
|---|---|
| Warstwa 1 | Lokalny zespół ds. operacji zabezpieczeń / zespół IT Ten zespół zwykle klasyfikacji i bada alerty zawarte w ich geolokalizacji i eskaluje do warstwy 2 w przypadkach, gdy jest wymagane aktywne korygowanie. |
| Warstwa 2 | Regionalny zespół ds. operacji zabezpieczeń Ten zespół może wyświetlić wszystkie urządzenia dla swojego regionu i wykonać akcje korygowania. |
| Warstwa 3 | Globalny zespół ds. operacji zabezpieczeń Ten zespół składa się z ekspertów w dziedzinie zabezpieczeń i ma uprawnienia do wyświetlenia i wykonania wszystkich akcji z portalu. |
Uwaga
W przypadku zasobów warstwy 0 zapoznaj się z tematem Privileged Identity Management dla administratorów zabezpieczeń, aby zapewnić bardziej szczegółową kontrolę nad Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender XDR.
Funkcja RBAC usługi Defender for Endpoint jest przeznaczona do obsługi wybranego modelu warstwowego lub opartego na rolach i zapewnia szczegółową kontrolę nad rolami, do których mogą uzyskiwać dostęp, oraz akcjami, które mogą wykonywać. Struktura RBAC koncentruje się wokół następujących kontrolek:
- Kontrolowanie, kto może podjąć określone działania
- Tworzenie ról niestandardowych i kontrolowanie możliwości usługi Defender for Endpoint, do których mogą uzyskiwać dostęp ze szczegółowością.
- Kontrolowanie, kto może wyświetlać informacje o określonej grupie lub grupach urządzeń
Utwórz grupy urządzeń według określonych kryteriów, takich jak nazwy, tagi, domeny i inne, a następnie przyznaj im dostęp do roli przy użyciu określonej grupy użytkowników Microsoft Entra.
Uwaga
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Aby zaimplementować dostęp oparty na rolach, należy zdefiniować role administratora, przypisać odpowiednie uprawnienia i przypisać Microsoft Entra grupy użytkowników przypisane do ról.
Przed rozpoczęciem
Przed użyciem kontroli dostępu opartej na rolach ważne jest zrozumienie ról, które mogą udzielać uprawnień, oraz konsekwencji włączenia kontroli dostępu opartej na rolach.
Ostrzeżenie
Przed włączeniem tej funkcji ważne jest, aby mieć rolę administratora globalnego lub administratora zabezpieczeń w Tożsamość Microsoft Entra i że masz grupy Microsoft Entra gotowe do zmniejszenia ryzyka zablokowania portalu.
Po pierwszym zalogowaniu się do portalu Microsoft Defender otrzymasz pełny dostęp lub dostęp tylko do odczytu. Pełne prawa dostępu są przyznawane użytkownikom z rolami administratora zabezpieczeń lub administratora globalnego w Tożsamość Microsoft Entra. Dostęp tylko do odczytu jest przyznawany użytkownikom z rolą Czytelnik zabezpieczeń w Tożsamość Microsoft Entra.
Osoba z rolą administrator globalny usługi Defender for Endpoint ma nieograniczony dostęp do wszystkich urządzeń, niezależnie od skojarzenia grupy urządzeń i Microsoft Entra przypisań grup użytkowników.
Ostrzeżenie
Początkowo tylko osoby z uprawnieniami administratora globalnego lub administratora zabezpieczeń Microsoft Entra będą mogły tworzyć i przypisywać role w portalu Microsoft Defender, dlatego przygotowanie odpowiednich grup w Tożsamość Microsoft Entra jest ważne.
Włączenie kontroli dostępu opartej na rolach spowoduje, że użytkownicy z uprawnieniami tylko do odczytu (na przykład użytkownicy przypisani do Microsoft Entra roli czytelnika zabezpieczeń) utracą dostęp do momentu przypisania ich do roli.
Użytkownikom z uprawnieniami administratora jest automatycznie przypisywana domyślna wbudowana rola administratora globalnego usługi Defender for Endpoint z pełnymi uprawnieniami. Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach można przypisać dodatkowych użytkowników, którzy nie są Microsoft Entra administratorami globalnymi lub administratorami zabezpieczeń, do roli administratora globalnego usługi Defender for Endpoint.
Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach nie można przywrócić początkowych ról, tak jak podczas pierwszego logowania w portalu.
Temat pokrewny
- Role RBAC
- Tworzenie grup urządzeń i zarządzanie nimi w Ochrona punktu końcowego w usłudze Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla