Partager via


Groupes de rôles dans Microsoft Defender pour Identity

Microsoft Defender pour Identity offre une sécurité basée sur les rôles pour protéger les données en fonction des besoins de sécurité et de conformité spécifiques de votre organization. Nous vous recommandons d’utiliser des groupes de rôles pour gérer l’accès à Defender pour Identity, en répartissant les responsabilités au sein de votre équipe de sécurité et en accordant uniquement la quantité d’accès dont les utilisateurs ont besoin pour effectuer leur travail.

Contrôle d’accès en fonction du rôle (RBAC) unifié

Les utilisateurs qui sont déjà administrateurs généraux ou administrateurs de la sécurité sur le Microsoft Entra ID de votre locataire sont également automatiquement administrateur Defender pour Identity. Microsoft Entra administrateurs généraux et de sécurité n’ont pas besoin d’autorisations supplémentaires pour accéder à Defender pour Identity.

Pour les autres utilisateurs, activez et utilisez le contrôle d’accès en fonction du rôle (RBAC) Microsoft 365 pour créer des rôles personnalisés et prendre en charge d’autres rôles d’ID Entra tels que l’opérateur de sécurité ou le lecteur de sécurité par défaut pour gérer l’accès à Defender pour Identity.

Importante

À compter du 2 mars 2025, les nouveaux locataires Microsoft Defender pour Identity peuvent uniquement configurer des autorisations via Microsoft Defender XDR Role-Based Access Control unifié (RBAC). Les locataires avec des rôles attribués ou exportés avant cette date conservent leur configuration actuelle.

Lorsque vous créez vos rôles personnalisés, veillez à appliquer les autorisations répertoriées dans le tableau suivant :

Niveau d’accès Defender pour Identity Autorisations RBAC unifiées Microsoft 365 minimales requises
Administrateurs - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Utilisateurs - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Observateurs - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Pour plus d’informations, consultez Rôles personnalisés dans le contrôle d’accès en fonction du rôle pour Microsoft Defender XDR et Créer des rôles personnalisés avec Microsoft Defender XDR RBAC unifié.

Remarque

Les informations incluses dans le journal d’activité Defender for Cloud Apps peuvent toujours contenir des données Defender pour Identity. Ce contenu respecte les autorisations Defender for Cloud Apps existantes.

Exception : si vous avez configuré un déploiement délimité pour les alertes Microsoft Defender pour Identity dans Microsoft Defender for Cloud Apps, ces autorisations ne sont pas reportables et vous devrez accorder explicitement les autorisations Opérations de sécurité \ Données de sécurité \ Données de sécurité \ Informations de base sur les données de sécurité (lecture) pour les utilisateurs du portail appropriés.

Autorisations requises Defender pour Identity dans Microsoft Defender XDR

Le tableau suivant détaille les autorisations spécifiques requises pour les activités Defender pour Identity dans Microsoft Defender XDR.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Activité Autorisations minimales requises
Intégrer Defender pour Identity (créer un espace de travail) Administrateur de la sécurité
Configurer les paramètres de Defender pour Identity L’un des rôles Microsoft Entra suivants :
- Administrateur de la sécurité
- Opérateur de sécurité
Or
Les autorisations RBAC unifiées suivantes :
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Afficher les paramètres de Defender pour Identity Microsoft Entra rôles :
- Lecteur de sécurité
Or
Les autorisations RBAC unifiées suivantes :
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Gérer les alertes et les activités de sécurité defender pour Identity L’un des rôles Microsoft Entra suivants :
- Opérateur de sécurité
Or
Les autorisations RBAC unifiées suivantes :
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Afficher les évaluations de sécurité de Defender pour Identity
(qui fait désormais partie de Microsoft Secure Score)
Autorisations d’accès au niveau de sécurité Microsoft
And
Les autorisations RBAC unifiées suivantes : Security operations/Security data /Security data basics (Read)
Afficher la page Ressources / Identités Autorisations d’accès à Defender for Cloud Apps
Or
Un des rôles Microsoft Entra requis par Microsoft Defender XDR
Effectuer des actions de réponse Defender pour Identity Un rôle personnalisé défini avec des autorisations pour Response (gérer)
Or
L’un des rôles Microsoft Entra suivants :
- Opérateur de sécurité

Groupes de sécurité Defender pour Identity

Importante

À compter du 2 mars, Defender pour Identity ne créera plus Microsoft Entra ID groupes de sécurité. Les locataires peuvent toujours configurer les mêmes autorisations via Microsoft Defender XDR Role-Based Access Control unifié (RBAC)

Defender pour Identity fournit les groupes de sécurité suivants pour vous aider à gérer l’accès aux ressources Defender pour Identity :

  • Administrateurs Azure ATP (nom de l’espace de travail)
  • Utilisateurs Azure ATP (nom de l’espace de travail)
  • Visionneuses Azure ATP (nom de l’espace de travail)

Le tableau suivant répertorie les activités disponibles pour chaque groupe de sécurité :

Activité Administrateurs Azure ATP (nom de l’espace de travail) Utilisateurs Azure ATP (nom de l’espace de travail) Visionneuses Azure ATP (nom de l’espace de travail)
Modifier le problème d’intégrité status Disponible Non disponible Non disponible
Modifier les status d’alerte de sécurité (rouvrir, fermer, exclure, supprimer) Disponible Disponible Non disponible
Supprimer l’espace de travail Disponible Non disponible Non disponible
Télécharger un rapport Disponible Disponible Disponible
Connexion Disponible Disponible Disponible
Partager/exporter des alertes de sécurité (par e-mail, obtenir un lien, télécharger les détails) Disponible Disponible Disponible
Mettre à jour la configuration de Defender pour Identity (mises à jour) Disponible Non disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (balises d’entité, y compris sensible et honeytoken) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (exclusions) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (langue) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (notifications, y compris l’e-mail et syslog) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (détections en préversion) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (rapports planifiés) Disponible Disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (sources de données, y compris les services d’annuaire, SIEM, VPN, Defender pour point de terminaison) Disponible Non disponible Non disponible
Mettre à jour la configuration de Defender pour Identity (gestion des capteurs, y compris le téléchargement de logiciels, la régénération des clés, la configuration, la suppression) Disponible Non disponible Non disponible
Afficher les profils d’entité et les alertes de sécurité Disponible Disponible Disponible

Ajouter et supprimer des utilisateurs

Defender pour Identity utilise Microsoft Entra groupes de sécurité comme base pour les groupes de rôles.

Gérez vos groupes de rôles à partir de la page de gestion des groupes sur le Portail Azure. Seuls Microsoft Entra utilisateurs peuvent être ajoutés ou supprimés des groupes de sécurité.

Étape suivante