Microsoft Defender for Identity-Rollengruppen
Microsoft Defender for Identity bietet rollenbasierte Sicherheit, um Daten entsprechend den spezifischen Sicherheits- und Complianceanforderungen Ihrer organization zu schützen. Es wird empfohlen, Dass Sie Rollengruppen verwenden, um den Zugriff auf Defender for Identity zu verwalten, die Zuständigkeiten von Ihrem Sicherheitsteam zu trennen und nur die Menge an Zugriff zu gewähren, die Benutzer benötigen, um ihre Aufgaben zu erledigen.
Einheitliche rollenbasierte Zugriffssteuerung (Unified Role-Based Access Control, RBAC)
Benutzer, die bereits globale Administratoren oder Sicherheitsadministratoren auf dem Microsoft Entra ID Ihres Mandanten sind, sind ebenfalls automatisch Defender for Identity-Administrator. Microsoft Entra globale und Sicherheitsadministratoren benötigen keine zusätzlichen Berechtigungen für den Zugriff auf Defender for Identity.
Aktivieren und verwenden Sie für andere Benutzer die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Microsoft 365, um benutzerdefinierte Rollen zu erstellen und weitere Entra-ID-Rollen wie Sicherheitsoperator oder Sicherheitsleser standardmäßig zu unterstützen, um den Zugriff auf Defender for Identity zu verwalten.
Stellen Sie beim Erstellen Ihrer benutzerdefinierten Rollen sicher, dass Sie die in der folgenden Tabelle aufgeführten Berechtigungen anwenden:
| Defender for Identity-Zugriffsebene | Mindestens erforderliche einheitliche RBAC-Berechtigungen für Microsoft 365 |
|---|---|
| Administratoren | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Benutzer | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Anzeigende Benutzer | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Weitere Informationen finden Sie unter Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft Defender XDR und Erstellen von benutzerdefinierten Rollen mit Microsoft Defender XDR einheitlichen RBAC.
Hinweis
Informationen aus dem Defender for Cloud Apps Aktivitätsprotokoll enthalten möglicherweise weiterhin Defender for Identity-Daten. Dieser Inhalt entspricht den vorhandenen Defender for Cloud Apps Berechtigungen.
Ausnahme: Wenn Sie die bereichsbezogene Bereitstellung für Microsoft Defender for Identity Warnungen im Microsoft Defender for Cloud Apps-Portal konfiguriert haben, werden diese Berechtigungen nicht übernommen, und Sie müssen den Sicherheitsvorgängen \ Sicherheitsdaten \ Sicherheitsdatengrundlagen (Lesen) explizit Berechtigungen erteilen. Portalbenutzer.
Erforderliche Berechtigungen für Defender for Identity in Microsoft Defender XDR
In der folgenden Tabelle sind die spezifischen Berechtigungen aufgeführt, die für Defender for Identity-Aktivitäten in Microsoft Defender XDR erforderlich sind.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
| Aktivität | Am wenigsten erforderliche Berechtigungen |
|---|---|
| Integrieren von Defender for Identity (Arbeitsbereich erstellen) | Sicherheitsadministrator |
| Konfigurieren von Defender for Identity-Einstellungen | Eine der folgenden Microsoft Entra Rollen: - Sicherheitsbeauftragte - Sicherheitsoperator Or Die folgenden einheitlichen RBAC-Berechtigungen: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Anzeigen der Defender for Identity-Einstellungen | Eine der folgenden Microsoft Entra Rollen: - Globaler Reader - Sicherheitsleseberechtigter Or Die folgenden einheitlichen RBAC-Berechtigungen: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Verwalten von Defender for Identity-Sicherheitswarnungen und -aktivitäten | Eine der folgenden Microsoft Entra Rollen: - Sicherheitsoperator Or Die folgenden einheitlichen RBAC-Berechtigungen: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Anzeigen von Defender for Identity-Sicherheitsbewertungen (jetzt Teil der Microsoft-Sicherheitsbewertung) |
Berechtigungen für den Zugriff auf die Microsoft-Sicherheitsbewertung Und Die folgenden einheitlichen RBAC-Berechtigungen: Security operations/Security data /Security data basics (Read) |
| Anzeigen der Seite Assets/Identitäten |
Berechtigungen für den Zugriff auf Defender for Cloud Apps Or Eine der Microsoft Entra Rollen, die für Microsoft Defender XDR erforderlich sind |
| Ausführen von Defender for Identity-Antwortaktionen | Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antwort (Verwalten) definiert ist Or Eine der folgenden Microsoft Entra Rollen: - Sicherheitsoperator |
Defender for Identity-Sicherheitsgruppen
Defender for Identity bietet die folgenden Sicherheitsgruppen, um den Zugriff auf Defender for Identity-Ressourcen zu verwalten:
- Azure ATP-Administratoren (Arbeitsbereichsname)
- Azure ATP (Arbeitsbereichsname) Benutzer
- Azure ATP-Viewer (Arbeitsbereichsname)
In der folgenden Tabelle sind die für die einzelnen Sicherheitsgruppen verfügbaren Aktivitäten aufgeführt:
| Aktivität | Azure ATP-Administratoren (Arbeitsbereichsname) | Azure ATP-Benutzer (Arbeitsbereichsname) | Azure ATP-Viewer (Arbeitsbereichsname) |
|---|---|---|---|
| Ändern von Integritätsproblemen status | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Ändern von Sicherheitswarnungen status (erneut öffnen, schließen, ausschließen, unterdrücken) | Verfügbar | Verfügbar | Nicht verfügbar |
| Arbeitsbereich löschen | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Herunterladen eines Berichts | Verfügbar | Verfügbar | Verfügbar |
| Anmelden | Verfügbar | Verfügbar | Verfügbar |
| Freigeben/Exportieren von Sicherheitswarnungen (per E-Mail, Link abrufen, Details herunterladen) | Verfügbar | Verfügbar | Verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Updates) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Entitätstags, einschließlich vertraulicher und Honeytoken) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Ausschlüsse) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Sprache) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Benachrichtigungen, einschließlich E-Mail und Syslog) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Vorschauerkennungen) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (geplante Berichte) | Verfügbar | Verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Datenquellen, einschließlich Verzeichnisdienste, SIEM, VPN, Defender für Endpunkt) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Aktualisieren der Defender for Identity-Konfiguration (Sensorverwaltung, einschließlich Herunterladen von Software, erneutes Generieren von Schlüsseln, Konfigurieren, Löschen) | Verfügbar | Nicht verfügbar | Nicht verfügbar |
| Anzeigen von Entitätsprofilen und Sicherheitswarnungen | Verfügbar | Verfügbar | Verfügbar |
Hinzufügen und Entfernen von Benutzern
Defender for Identity verwendet Microsoft Entra Sicherheitsgruppen als Grundlage für Rollengruppen.
Verwalten Sie Ihre Rollengruppen über Gruppen Verwaltungsseite auf der Azure-Portal. Nur Microsoft Entra Benutzer können Sicherheitsgruppen hinzugefügt oder daraus entfernt werden.