Groupes de rôles dans Microsoft Defender pour Identity
Microsoft Defender pour Identity offre une sécurité basée sur les rôles pour protéger les données en fonction des besoins de sécurité et de conformité spécifiques de votre organization. Nous vous recommandons d’utiliser des groupes de rôles pour gérer l’accès à Defender pour Identity, en répartissant les responsabilités au sein de votre équipe de sécurité et en accordant uniquement la quantité d’accès dont les utilisateurs ont besoin pour effectuer leur travail.
Contrôle d’accès en fonction du rôle (RBAC) unifié
Les utilisateurs qui sont déjà administrateurs généraux ou administrateurs de la sécurité sur le Microsoft Entra ID de votre locataire sont également automatiquement administrateur Defender pour Identity. Microsoft Entra administrateurs généraux et de sécurité n’ont pas besoin d’autorisations supplémentaires pour accéder à Defender pour Identity.
Pour les autres utilisateurs, activez et utilisez le contrôle d’accès en fonction du rôle (RBAC) Microsoft 365 pour créer des rôles personnalisés et prendre en charge d’autres rôles d’ID Entra tels que l’opérateur de sécurité ou le lecteur de sécurité par défaut pour gérer l’accès à Defender pour Identity.
Importante
À compter du 2 mars 2025, les nouveaux locataires Microsoft Defender pour Identity peuvent uniquement configurer des autorisations via Microsoft Defender XDR Role-Based Access Control unifié (RBAC). Les locataires avec des rôles attribués ou exportés avant cette date conservent leur configuration actuelle.
Lorsque vous créez vos rôles personnalisés, veillez à appliquer les autorisations répertoriées dans le tableau suivant :
| Niveau d’accès Defender pour Identity | Autorisations RBAC unifiées Microsoft 365 minimales requises |
|---|---|
| Administrateurs | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Utilisateurs | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Observateurs | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Pour plus d’informations, consultez Rôles personnalisés dans le contrôle d’accès en fonction du rôle pour Microsoft Defender XDR et Créer des rôles personnalisés avec Microsoft Defender XDR RBAC unifié.
Remarque
Les informations incluses dans le journal d’activité Defender for Cloud Apps peuvent toujours contenir des données Defender pour Identity. Ce contenu respecte les autorisations Defender for Cloud Apps existantes.
Exception : si vous avez configuré un déploiement délimité pour les alertes Microsoft Defender pour Identity dans Microsoft Defender for Cloud Apps, ces autorisations ne sont pas reportables et vous devrez accorder explicitement les autorisations Opérations de sécurité \ Données de sécurité \ Données de sécurité \ Informations de base sur les données de sécurité (lecture) pour les utilisateurs du portail appropriés.
Autorisations requises Defender pour Identity dans Microsoft Defender XDR
Le tableau suivant détaille les autorisations spécifiques requises pour les activités Defender pour Identity dans Microsoft Defender XDR.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
| Activité | Autorisations minimales requises |
|---|---|
| Intégrer Defender pour Identity (créer un espace de travail) | Administrateur de la sécurité |
| Configurer les paramètres de Defender pour Identity | L’un des rôles Microsoft Entra suivants : - Administrateur de la sécurité - Opérateur de sécurité Or Les autorisations RBAC unifiées suivantes : - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Afficher les paramètres de Defender pour Identity | Microsoft Entra rôles : - Lecteur de sécurité Or Les autorisations RBAC unifiées suivantes : - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gérer les alertes et les activités de sécurité defender pour Identity | L’un des rôles Microsoft Entra suivants : - Opérateur de sécurité Or Les autorisations RBAC unifiées suivantes : - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Afficher les évaluations de sécurité de Defender pour Identity (qui fait désormais partie de Microsoft Secure Score) |
Autorisations d’accès au niveau de sécurité Microsoft And Les autorisations RBAC unifiées suivantes : Security operations/Security data /Security data basics (Read) |
| Afficher la page Ressources / Identités |
Autorisations d’accès à Defender for Cloud Apps Or Un des rôles Microsoft Entra requis par Microsoft Defender XDR |
| Effectuer des actions de réponse Defender pour Identity | Un rôle personnalisé défini avec des autorisations pour Response (gérer) Or L’un des rôles Microsoft Entra suivants : - Opérateur de sécurité |
Groupes de sécurité Defender pour Identity
Importante
À compter du 2 mars, Defender pour Identity ne créera plus Microsoft Entra ID groupes de sécurité. Les locataires peuvent toujours configurer les mêmes autorisations via Microsoft Defender XDR Role-Based Access Control unifié (RBAC)
Defender pour Identity fournit les groupes de sécurité suivants pour vous aider à gérer l’accès aux ressources Defender pour Identity :
- Administrateurs Azure ATP (nom de l’espace de travail)
- Utilisateurs Azure ATP (nom de l’espace de travail)
- Visionneuses Azure ATP (nom de l’espace de travail)
Le tableau suivant répertorie les activités disponibles pour chaque groupe de sécurité :
| Activité | Administrateurs Azure ATP (nom de l’espace de travail) | Utilisateurs Azure ATP (nom de l’espace de travail) | Visionneuses Azure ATP (nom de l’espace de travail) |
|---|---|---|---|
| Modifier le problème d’intégrité status | Disponible | Non disponible | Non disponible |
| Modifier les status d’alerte de sécurité (rouvrir, fermer, exclure, supprimer) | Disponible | Disponible | Non disponible |
| Supprimer l’espace de travail | Disponible | Non disponible | Non disponible |
| Télécharger un rapport | Disponible | Disponible | Disponible |
| Connexion | Disponible | Disponible | Disponible |
| Partager/exporter des alertes de sécurité (par e-mail, obtenir un lien, télécharger les détails) | Disponible | Disponible | Disponible |
| Mettre à jour la configuration de Defender pour Identity (mises à jour) | Disponible | Non disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (balises d’entité, y compris sensible et honeytoken) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (exclusions) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (langue) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (notifications, y compris l’e-mail et syslog) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (détections en préversion) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (rapports planifiés) | Disponible | Disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (sources de données, y compris les services d’annuaire, SIEM, VPN, Defender pour point de terminaison) | Disponible | Non disponible | Non disponible |
| Mettre à jour la configuration de Defender pour Identity (gestion des capteurs, y compris le téléchargement de logiciels, la régénération des clés, la configuration, la suppression) | Disponible | Non disponible | Non disponible |
| Afficher les profils d’entité et les alertes de sécurité | Disponible | Disponible | Disponible |
Ajouter et supprimer des utilisateurs
Defender pour Identity utilise Microsoft Entra groupes de sécurité comme base pour les groupes de rôles.
Gérez vos groupes de rôles à partir de la page de gestion des groupes sur le Portail Azure. Seuls Microsoft Entra utilisateurs peuvent être ajoutés ou supprimés des groupes de sécurité.