Správa přístupu k portálu pomocí řízení přístupu na základě role
Poznámka
Pokud používáte program Microsoft Defender XDR Preview, můžete si teď vyzkoušet nový model Microsoft Defender 365 Sjednocené řízení přístupu na základě role (RBAC). Další informace najdete v tématu Microsoft Defender 365 Sjednocené řízení přístupu na základě role (RBAC).
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Entra ID
- Office 365
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Pomocí řízení přístupu na základě role (RBAC) můžete vytvořit role a skupiny v rámci týmu operací zabezpečení a udělit tak odpovídající přístup k portálu. Na základě rolí a skupin, které vytvoříte, máte podrobnou kontrolu nad tím, co uživatelé s přístupem k portálu můžou zobrazit a dělat.
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Velké geograficky distribuované provozní týmy zabezpečení obvykle používají model založený na vrstvě, který přiřazuje a autorizuje přístup k portálům zabezpečení. Typické úrovně zahrnují následující tři úrovně:
Úroveň | Popis |
---|---|
Vrstva 1 |
Místní bezpečnostní provozní tým / IT tým Tento tým obvykle určuje a prošetřuje výstrahy obsažené v jejich geografické poloze a eskaluje na vrstvu 2 v případech, kdy je vyžadována aktivní náprava. |
Vrstva 2 |
Regionální tým bezpečnostních operací Tento tým může zobrazit všechna zařízení pro svou oblast a provádět nápravné akce. |
Vrstva 3 |
Globální tým pro operace zabezpečení Tento tým se skládá z odborníků na zabezpečení a má oprávnění zobrazovat a provádět všechny akce z portálu. |
Poznámka
Informace o prostředcích vrstvy 0 najdete v části Privileged Identity Management pro správce zabezpečení, které poskytují podrobnější kontrolu nad Microsoft Defender for Endpoint a Microsoft Defender XDR.
Defender for Endpoint RBAC je navržený tak, aby podporoval vámi zvolený model založený na vrstvách nebo rolích a poskytuje podrobnou kontrolu nad tím, jaké role můžou zobrazit, zařízení, ke kterým mají přístup, a nad akcemi, které můžou provádět. Architektura RBAC se soustředí na následující ovládací prvky:
-
Určení, kdo může provést konkrétní akci
- Vytvořte vlastní role a určete, ke kterým funkcím Defenderu for Endpoint budou mít přístup s odstupňovaným přístupem.
-
Určení, kdo může zobrazit informace o konkrétní skupině nebo skupinách zařízení
Vytvořte skupiny zařízení podle konkrétních kritérií, jako jsou názvy, značky, domény a další, a pak jim udělte přístup rolí pomocí konkrétní Microsoft Entra skupiny uživatelů.
Poznámka
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Pokud chcete implementovat přístup na základě role, budete muset definovat role správce, přiřadit odpovídající oprávnění a přiřadit Microsoft Entra skupin uživatelů přiřazených k rolím.
Než začnete
Než použijete RBAC, je důležité pochopit role, které můžou udělit oprávnění, a důsledky zapnutí RBAC.
Upozornění
Před povolením této funkce je důležité, abyste měli odpovídající roli, například správce zabezpečení přiřazenou v Microsoft Entra ID, a abyste měli připravené Microsoft Entra skupiny, abyste snížili riziko zablokování portálu.
Když se poprvé přihlásíte k portálu Microsoft Defender, získáte buď úplný přístup, nebo přístup jen pro čtení. Úplná přístupová práva se udělují uživatelům s rolí Správce zabezpečení v Microsoft Entra ID. Přístup jen pro čtení je udělen uživatelům s rolí Čtenář zabezpečení v Microsoft Entra ID.
Uživatel s rolí globálního správce Defenderu for Endpoint má neomezený přístup ke všem zařízením bez ohledu na přidružení skupiny zařízení a přiřazení skupin uživatelů Microsoft Entra.
Upozornění
Role na portálu Microsoft Defender zpočátku můžou vytvářet a přiřazovat jenom ti, kteří mají Microsoft Entra oprávnění globálního správce nebo správce zabezpečení. Proto je důležité mít v Microsoft Entra ID připravené správné skupiny.
Zapnutí řízení přístupu na základě role způsobí, že uživatelé s oprávněními jen pro čtení (například uživatelé s přiřazenou rolí čtenáře zabezpečení Microsoft Entra) ztratí přístup, dokud nebudou přiřazeni k roli.
Uživatelům s oprávněními správce se automaticky přiřadí výchozí integrovaná role globálního správce Defenderu for Endpoint s úplnými oprávněními. Po vyjádření souhlasu s používáním řízení přístupu na základě role globálního správce služby Defender for Endpoint můžete přiřadit další uživatele, kteří nejsou Microsoft Entra globální správci nebo správci zabezpečení.
Po vyjádření souhlasu s používáním RBAC se nemůžete vrátit k počátečním rolím, jako když jste se poprvé přihlásili k portálu.
Související téma
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.