Gerir o acesso ao portal utilizando o controlo de acesso baseado em funções

Aplica-se a:

Quer experimentar o Defender para Endpoint? Inscreva-se numa versão de avaliação gratuita.

Ao utilizar o controlo de acesso baseado em funções (RBAC), pode criar funções e grupos na sua equipa de operações de segurança para conceder acesso adequado ao portal. Com base nas funções e grupos que cria, tem um controlo preciso sobre o que os utilizadores com acesso ao portal podem ver e fazer.

Normalmente, as grandes equipas de operações de segurança geo distribuídas adotam um modelo baseado em escalões para atribuir e autorizar o acesso a portais de segurança. Os níveis típicos incluem os três níveis seguintes:

Escalão Descrição
Escalão 1 Equipa de operações de segurança local/equipa de IT
Normalmente, esta equipa faz uma triagem e investiga os alertas contidos na respetiva geolocalização e escala para o Escalão 2 nos casos em que seja necessária uma remediação ativa.
Escalão 2 Equipa de operações de segurança regional
Esta equipa pode ver todos os dispositivos da sua região e efetuar ações de remediação.
Escalão 3 Equipa de operações de segurança global
Esta equipa é composta por especialistas de segurança e está autorizada a ver e executar todas as ações a partir do portal.

Nota

Para os ativos do Escalão 0, consulte Privileged Identity Management para administradores de segurança para fornecer um controlo mais granular do Microsoft Defender para pontos finais e Microsoft 365 Defender.

O Defender para Endpoint RBAC foi concebido para suportar o seu modelo de escolha de nível ou com base em funções e oferece-lhe controlo granular sobre que funções podem ver, dispositivos aos quais podem aceder e ações que podem tomar. A estrutura RBAC centra-se em torno dos seguintes controlos:

  • Controlar quem pode tomar ações específicas
    • Crie funções personalizadas e controle que funcionalidades do Defender para Pontos Finais podem aceder com granularidade.
  • Controlar quem pode ver informações sobre grupos ou grupos de dispositivos específicos
    • Crie grupos de dispositivos através de critérios específicos, como nomes, etiquetas, domínios e outros. Em seguida, conceda acesso às funções aos grupos de utilizadores do Azure Active Directory (Azure AD).

Para implementar o acesso com base em funções, terá de definir funções de administrador, atribuir permissões correspondentes e atribuir grupos de utilizadores do Azure AD atribuídos às funções.

Before you begin

Antes de utilizar o RBAC, é importante que compreenda as funções que podem conceder permissões e as consequências da ação do RBAC.

Aviso

Antes de ativar a funcionalidade, é importante que tenha a função de Administrador Global ou de Administrador de Segurança no Azure AD e que tenha os seus grupos do Azure AD prontos para reduzir o risco de ser bloqueado do portal.

Quando iniciar sessão pela primeira vez no Microsoft 365 Defender de Serviços, ser-lhe-ão concedidos acesso total ou acesso só de leitura. Os direitos de acesso total são concedidos aos utilizadores com funções de Administrador de Segurança ou Administrador Global no Azure AD. O acesso só de leitura é concedido aos utilizadores com a função Leitor de Segurança no Azure AD.

Alguém com uma função de Administrador Global do Defender para Ponto Final tem acesso não restrito a todos os dispositivos, independentemente da associação do grupo de dispositivos e das atribuições de grupos de utilizadores do Azure AD.

Aviso

Inicialmente, apenas as pessoas com direitos de Administrador Global do Azure AD ou Administrador de Segurança poderão criar e atribuir funções no portal do Microsoft 365 Defender, pelo que é importante ter os grupos certos prontos no Azure AD.

A ação do controlo de acesso com base em funções fará com que os utilizadores com permissões só de leitura (por exemplo, utilizadores atribuídos à função leitor de segurança do Azure AD) percam o acesso até que sejam atribuídos a uma função.

Os utilizadores com permissões de administrador são automaticamente atribuídos à função predefinida de administrador global do Defender incorporado para o Endpoint com permissões completas. Após optar por utilizar RBAC, pode atribuir utilizadores adicionais que não sejam Administradores Globais do Azure AD ou de Segurança à função de administrador global do Defender para Endpoint.

Depois de optar por utilizar RBAC, não pode reverter para as funções iniciais como quando inicia sessão no portal pela primeira vez.