Funções personalizadas no controle de acesso baseado em função para Microsoft 365 DefenderCustom roles in role-based access control for Microsoft 365 Defender

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial.Some information relates to prereleased product which may be substantially modified before it's commercially released. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Aplica-se a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Há dois tipos de funções que podem ser usadas para acessar o Microsoft 365 Defender:There are two types of roles that can be used to access to Microsoft 365 Defender:

  • Funções de Azure Active Directory (AD) globaisGlobal Azure Active Directory (AD) roles
  • Funções personalizadasCustom roles

O acesso ao Microsoft 365 Defender pode ser gerenciado coletivamente usando funções globais no Azure Active Directory (AAD)Access to Microsoft 365 Defender can be managed collectively by using Global roles in Azure Active Directory (AAD)

Se você precisar de maior flexibilidade e controle sobre o acesso a dados específicos do produto, Microsoft 365 acesso ao Defender também poderá ser gerenciado com a criação de funções personalizadas por meio de cada portal de segurança respectivo.If you need greater flexibility and control over access to specific product data, Microsoft 365 Defender access can also be managed with the creation of Custom roles through each respective security portal.

Por exemplo, uma função Personalizada criada por meio do Microsoft Defender para Ponto de Extremidade permitiria o acesso aos dados relevantes do produto, incluindo dados do ponto de extremidade no centro de segurança Microsoft 365 de segurança.For example, a Custom role created through Microsoft Defender for Endpoint would allow access to the relevant product data, including Endpoint data within the Microsoft 365 security center. Da mesma forma, uma função Personalizada criada por meio do Microsoft Defender para Office 365 permite o acesso aos dados relevantes do produto, incluindo dados de colaboração de email & no centro de segurança Microsoft 365 de segurança.Similarly, a Custom role created through Microsoft Defender for Office 365 would allow access to the relevant product data, including Email & collaboration data within the Microsoft 365 security center.

Os usuários com funções Personalizadas existentes podem acessar dados no centro de segurança Microsoft 365 de acordo com suas permissões de carga de trabalho existentes sem nenhuma configuração adicional necessária.Users with existing Custom roles may access data in the Microsoft 365 security center according to their existing workload permissions with no additional configuration required.

Criar e gerenciar funções personalizadasCreate and manage custom roles

Funções e permissões personalizadas podem ser criadas e gerenciadas individualmente por meio de cada um dos seguintes portais de segurança:Custom roles and permissions can be created and individually managed through each of the following security portals:

Cada função personalizada criada por meio de um portal individual permite o acesso aos dados do portal de produto relevante.Each custom role created through an individual portal allows access to the data of the relevant product portal. Por exemplo, uma função personalizada criada por meio do Microsoft Defender para Ponto de Extremidade permitirá apenas o acesso ao Defender para dados do Ponto de Extremidade.For example, a custom role created through Microsoft Defender for Endpoint will only allow access to Defender for Endpoint data.

Dica

Permissões e funções também podem ser acessadas por meio do Microsoft 365 de segurança selecionando Permissões & funções do painel de navegação.Permissions and roles can also be accessed through the Microsoft 365 security center by selecting Permissions & roles from the navigation pane. O acesso ao Microsoft Cloud App Security (MCAS) é gerenciado por meio do portal do MCAS e controla o acesso ao Microsoft Defender para Identidade também.Access to Microsoft Cloud App Security (MCAS) is managed through the MCAS portal and controls access to Microsoft Defender for Identity as well. Consulte Microsoft Cloud App SecuritySee Microsoft Cloud App Security

Observação

As funções personalizadas criadas Microsoft Cloud App Security também têm acesso aos dados do Microsoft Defender para Identidade.Custom roles created in Microsoft Cloud App Security have access to Microsoft Defender for Identity data as well. Os usuários com administradores de grupo de usuários ou funções de administrador de aplicativo/instância Microsoft Cloud App Security não podem acessar Microsoft Cloud App Security dados por meio do centro de segurança Microsoft 365 aplicativo.Users with User group admin, or App/instance admin Microsoft Cloud App Security roles are not able to access Microsoft Cloud App Security data through the Microsoft 365 security center.

Gerenciar permissões e funções no centro de Microsoft 365 de segurançaManage permissions and roles in the Microsoft 365 security center

Permissões e funções também podem ser gerenciadas no centro Microsoft 365 segurança:Permissions and roles can also be managed in the Microsoft 365 security center:

  1. Entre no centro de Microsoft 365 segurança no security.microsoft.com.Sign in to the Microsoft 365 security center at security.microsoft.com.
  2. No painel de navegação, selecione Permissões & funções.In the navigation pane, select Permissions & roles.
  3. No header Permissões, selecione Funções.Under the Permissions header, select Roles.

Observação

Isso só se aplica ao Defender para Office 365 e Defender para Ponto de Extremidade.This only applies to Defender for Office 365 and Defender for Endpoint. O acesso a outras cargas de trabalho deve ser feito em seus portais relevantes.Access for other workloads must be done in their relevant portals.

Funções e permissões necessáriasRequired roles and permissions

A tabela a seguir descreve as funções e permissões necessárias para acessar cada experiência unificada em cada carga de trabalho.The following table outlines the roles and permissions required to access each unified experience in each workload. As funções definidas na tabela abaixo referem-se a funções personalizadas em portais individuais e não estão conectadas a funções globais no Azure AD, mesmo que nomeados da mesma forma.Roles defined in the table below refer to custom roles in individual portals and are not connected to global roles in Azure AD, even if similarly named.

Observação

O gerenciamento de incidentes requer permissões de gerenciamento para todos os produtos que fazem parte do incidente.Incident management requires management permissions for all products that are part of the incident.

Uma das seguintes funções são necessárias para o Microsoft 365 DefenderOne of the following roles are required for Microsoft 365 Defender Uma das seguintes funções são necessárias para o Defender para o Ponto de ExtremidadeOne of the following roles are required for Defender for Endpoint Uma das seguintes funções são necessárias para o Defender para Office 365One of the following roles are required for Defender for Office 365 Uma das seguintes funções são necessárias para Cloud App SecurityOne of the following roles are required for Cloud App Security
Exibindo dados de investigação:Viewing investigation data:
  • Página alertaAlert page
  • Fila de alertasAlerts queue
  • IncidentesIncidents
  • Fila de incidentesIncident queue
  • Central de açõesAction center
Exibir operações de segurança de dadosView data- security operations
  • Somente exibição Gerenciar alertasView-only Manage alerts
  • Configuração da organizaçãoOrganization configuration
  • Logs de auditoriaAudit logs
  • Logs de auditoria somente exibiçãoView-only audit logs
  • Leitor de segurançaSecurity reader
  • Administrador de segurançaSecurity admin
  • Destinatários somente exibiçãoView-only recipients
  • Administrador globalGlobal admin
  • Administrador de segurançaSecurity admin
  • Administrador de conformidadeCompliance admin
  • Operador de segurançaSecurity operator
  • Leitor de segurançaSecurity reader
  • Leitor globalGlobal reader
Exibindo dados de buscaViewing hunting data Exibir operações de segurança de dadosView data- security operations
  • Leitor de segurançaSecurity reader
  • Administrador de segurançaSecurity admin
  • Destinatários somente exibiçãoView-only recipients
  • Administrador globalGlobal admin
  • Administrador de segurançaSecurity admin
  • Administrador de conformidadeCompliance admin
  • Operador de segurançaSecurity operator
  • Leitor de segurançaSecurity reader
  • Leitor globalGlobal reader
Gerenciando alertas e incidentesManaging alerts and incidents Investigação de alertasAlerts investigation
  • Gerenciar alertasManage alerts
  • Administrador de segurançaSecurity admin
  • Administrador globalGlobal admin
  • Administrador de segurançaSecurity admin
  • Administrador de conformidadeCompliance admin
  • Operador de segurançaSecurity operator
  • Leitor de segurançaSecurity reader
Correção do Centro de AçõesAction center remediation Ações de correção ativas – operações de segurançaActive remediation actions – security operations Pesquisar e limparSearch and purge
Definindo detecções personalizadasSetting custom detections Gerenciar configurações de segurançaManage security settings
  • Gerenciar alertasManage alerts
  • Administrador de segurançaSecurity admin
  • Administrador globalGlobal admin
  • Administrador de segurançaSecurity admin
  • Administrador de conformidadeCompliance admin
  • Operador de segurançaSecurity operator
  • Leitor de segurançaSecurity reader
  • Leitor globalGlobal reader
Análise de AmeaçasThreat Analytics Dados de alertas e incidentes:Alerts and incidents data:
  • Exibir operações de segurança de dadosView data- security operations
Mitigações de TVM:TVM mitigations:
  • Exibir dados - Ameaça e Gerenciamento de VulnerabilidadesView data - Threat and vulnerability management
Dados de alertas e incidentes:Alerts and incidents data:
  • Somente exibição Gerenciar alertasView-only Manage alerts
  • Gerenciar alertasManage alerts
  • Configuração da organizaçãoOrganization configuration
  • Logs de auditoriaAudit logs
  • Logs de auditoria somente exibiçãoView-only audit logs
  • Leitor de segurançaSecurity reader
  • Administrador de segurançaSecurity admin
  • Destinatários somente exibiçãoView-only recipients
Tentativas de email evitadas:Prevented email attempts:
  • Leitor de segurançaSecurity reader
  • Administrador de segurançaSecurity admin
  • Destinatários somente exibiçãoView-only recipients
Não disponível para usuários MCAS ou MDINot available for MCAS or MDI users

Por exemplo, para exibir dados de busca do Microsoft Defender para Ponto de Extremidade, é necessário exibir permissões de operações de segurança de dados.For example, to view hunting data from Microsoft Defender for Endpoint, View data security operations permissions are required.

Da mesma forma, para exibir dados de busca do Microsoft Defender para Office 365, os usuários exigiriam uma das seguintes funções:Similarly, to view hunting data from Microsoft Defender for Office 365, users would require one of the following roles:

  • Exibir operações de segurança de dadosView data security operations
  • Leitor de segurançaSecurity reader
  • Administrador de segurançaSecurity admin
  • Destinatários somente exibiçãoView-only recipients