Verwalten des Portalzugriffs mithilfe der rollenbasierten Zugriffssteuerung
Hinweis
Wenn Sie das Microsoft Defender XDR Vorschauprogramm ausführen, können Sie jetzt das neue modell Microsoft Defender 365 Unified Role-Based Access Control (RBAC) erleben. Weitere Informationen finden Sie unter Microsoft Defender 365 Unified Role-Based Access Control (RBAC).
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Entra-ID
- Office 365
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie Rollen und Gruppen innerhalb Ihres Sicherheitsbetriebsteams erstellen, um entsprechenden Zugriff auf das Portal zu gewähren. Basierend auf den von Ihnen erstellten Rollen und Gruppen haben Sie eine differenzierte Kontrolle darüber, was Benutzer mit Zugriff auf das Portal sehen und tun können.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Große geografisch verteilte Sicherheitsteams verwenden in der Regel ein tierbasiertes Modell, um den Zugriff auf Sicherheitsportale zuzuweisen und zu autorisieren. Typische Ebenen umfassen die folgenden drei Ebenen:
| Tier | Beschreibung |
|---|---|
| Ebene 1 |
Lokales Sicherheitsbetriebsteam/IT-Team Dieses Team selektiert und untersucht in der Regel Warnungen, die in seiner Geolocation enthalten sind, und eskaliert in Fällen, in denen eine aktive Korrektur erforderlich ist, auf Ebene 2. |
| Ebene 2 |
Regionales Sicherheitsbetriebsteam Dieses Team kann alle Geräte für seine Region anzeigen und Korrekturaktionen ausführen. |
| Ebene 3 |
Globales Sicherheitsbetriebsteam Dieses Team besteht aus Sicherheitsexperten und ist berechtigt, alle Aktionen über das Portal anzuzeigen und auszuführen. |
Hinweis
Informationen zu Ressourcen der Ebene 0 finden Sie unter Privileged Identity Management für Sicherheitsadministratoren, um eine präzisere Steuerung der Microsoft Defender for Endpoint und Microsoft Defender XDR zu ermöglichen.
Defender für Endpunkt-RBAC ist so konzipiert, dass sie Ihr tier- oder rollenbasiertes Modell Ihrer Wahl unterstützt und bietet Ihnen eine präzise Kontrolle darüber, welche Rollen angezeigt werden können, auf welche Geräte sie zugreifen können und welche Aktionen sie ausführen können. Das RBAC-Framework zentriert sich um die folgenden Steuerelemente:
-
Steuern, wer bestimmte Maßnahmen ergreifen kann
- Erstellen Sie benutzerdefinierte Rollen, und steuern Sie, auf welche Defender für Endpunkt-Funktionen sie mit Granularität zugreifen können.
-
Steuern, wer Informationen zu bestimmten Gerätegruppen oder -gruppen anzeigen kann
Erstellen Sie Gerätegruppen nach bestimmten Kriterien wie Namen, Tags, Domänen und anderen, und gewähren Sie ihnen dann Rollenzugriff mithilfe einer bestimmten Microsoft Entra Benutzergruppe.
Hinweis
Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.
Zum Implementieren des rollenbasierten Zugriffs müssen Sie Administratorrollen definieren, entsprechende Berechtigungen zuweisen und Microsoft Entra Benutzergruppen zuweisen, die den Rollen zugewiesen sind.
Bevor Sie beginnen
Vor der Verwendung von RBAC ist es wichtig, dass Sie die Rollen kennen, die Berechtigungen erteilen können, und die Folgen der Aktivierung von RBAC.
Warnung
Bevor Sie das Feature aktivieren, ist es wichtig, dass Sie über eine geeignete Rolle verfügen, z. B. sicherheitsadministrator, die in Microsoft Entra ID zugewiesen ist, und dass Ihre Microsoft Entra Gruppen bereit sind, um das Risiko einer Sperrung aus dem Portal zu verringern.
Wenn Sie sich zum ersten Mal beim Microsoft Defender-Portal anmelden, erhalten Sie entweder Vollzugriff oder schreibgeschützten Zugriff. Benutzern mit der Rolle "Sicherheitsadministrator" in Microsoft Entra ID werden Vollzugriffsrechte gewährt. Benutzern mit der Rolle "Sicherheitsleseberechtigter" in Microsoft Entra ID wird schreibgeschützter Zugriff gewährt.
Eine Person mit der Rolle "Globaler Defender für Endpunktadministrator" hat uneingeschränkten Zugriff auf alle Geräte, unabhängig von ihrer Gerätegruppenzuordnung und den Microsoft Entra Benutzergruppenzuweisungen.
Warnung
Zunächst können nur Personen mit Microsoft Entra Berechtigungen für globale Administratoren oder Sicherheitsadministratoren Rollen im Microsoft Defender-Portal erstellen und zuweisen. Daher ist es wichtig, dass die richtigen Gruppen in Microsoft Entra ID bereit sind.
Wenn Sie die rollenbasierte Zugriffssteuerung aktivieren, verlieren Benutzer mit schreibgeschützten Berechtigungen (z. B. Benutzer, die Microsoft Entra Rolle "Sicherheitsleser" zugewiesen sind), den Zugriff, bis sie einer Rolle zugewiesen sind.
Benutzern mit Administratorberechtigungen wird automatisch die standardmäßige integrierte Rolle "Globaler Defender für Endpunktadministrator" mit vollständigen Berechtigungen zugewiesen. Nachdem Sie sich für die Verwendung von RBAC angemeldet haben, können Sie zusätzliche Benutzer, die nicht Microsoft Entra globalen Administratoren oder Sicherheitsadministratoren sind, der Rolle "Globaler Defender für Endpunktadministrator" zuweisen.
Nachdem Sie sich für die Verwendung von RBAC angemeldet haben, können Sie nicht mehr zu den anfänglichen Rollen rückgängig machen, als Sie sich zum ersten Mal beim Portal angemeldet haben.
Verwandtes Thema
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.