Gérer l’accès au portail à l’aide du contrôle d’accès en fonction du rôle
Remarque
Si vous exécutez le programme Microsoft Defender XDR en préversion, vous pouvez maintenant découvrir le nouveau modèle de contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender 365 unifié. Pour plus d’informations, consultez Microsoft Defender 365 Unified role-based access control (RBAC).
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Identifiant Microsoft Entra
- Office 365
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
À l’aide du contrôle d’accès en fonction du rôle (RBAC), vous pouvez créer des rôles et des groupes au sein de votre équipe des opérations de sécurité pour accorder l’accès approprié au portail. En fonction des rôles et des groupes que vous créez, vous disposez d’un contrôle affiné sur ce que les utilisateurs ayant accès au portail peuvent voir et faire.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Les grandes équipes d’opérations de sécurité géodistribuives adoptent généralement un modèle basé sur les niveaux pour attribuer et autoriser l’accès aux portails de sécurité. Les niveaux classiques incluent les trois niveaux suivants :
Niveau | Description |
---|---|
Niveau 1 |
Équipe des opérations de sécurité locale/équipe informatique Cette équipe trie et examine généralement les alertes contenues dans leur géolocalisation et passe au niveau 2 dans les cas où une correction active est nécessaire. |
Niveau 2 |
Équipe des opérations de sécurité régionales Cette équipe peut voir tous les appareils de leur région et effectuer des actions de correction. |
Niveau 3 |
Équipe des opérations de sécurité globale Cette équipe est composée d’experts en sécurité et est autorisée à voir et à effectuer toutes les actions à partir du portail. |
Remarque
Pour les ressources de niveau 0, reportez-vous à Privileged Identity Management pour les administrateurs de sécurité afin de fournir un contrôle plus précis des Microsoft Defender pour point de terminaison et des Microsoft Defender XDR.
Defender pour point de terminaison RBAC est conçu pour prendre en charge le modèle de niveau ou de rôle de votre choix et vous donne un contrôle précis sur les rôles qui peuvent voir, les appareils auxquels ils peuvent accéder et les actions qu’ils peuvent effectuer. L’infrastructure RBAC est centrée sur les contrôles suivants :
-
Contrôler qui peut effectuer une action spécifique
- Créez des rôles personnalisés et contrôlez les fonctionnalités de Defender pour point de terminaison auxquels ils peuvent accéder avec granularité.
-
Contrôler qui peut voir les informations sur un ou plusieurs groupes d’appareils spécifiques
Créez des groupes d’appareils selon des critères spécifiques tels que des noms, des étiquettes, des domaines et d’autres, puis accordez-leur un accès de rôle à l’aide d’un groupe d’utilisateurs Microsoft Entra spécifique.
Remarque
La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.
Pour implémenter l’accès en fonction du rôle, vous devez définir des rôles d’administrateur, attribuer des autorisations correspondantes et attribuer Microsoft Entra groupes d’utilisateurs affectés aux rôles.
Avant de commencer
Avant d’utiliser RBAC, il est important que vous compreniez les rôles qui peuvent accorder des autorisations et les conséquences de l’activation de RBAC.
Avertissement
Avant d’activer la fonctionnalité, il est important que vous disposiez d’un rôle approprié, par exemple Administrateur de la sécurité affecté dans Microsoft Entra ID, et que vos groupes Microsoft Entra soient prêts à réduire le risque de verrouillage hors du portail.
Lorsque vous vous connectez pour la première fois au portail Microsoft Defender, vous bénéficiez d’un accès complet ou d’un accès en lecture seule. Des droits d’accès complets sont accordés aux utilisateurs disposant du rôle Administrateur de la sécurité dans Microsoft Entra ID. L’accès en lecture seule est accordé aux utilisateurs disposant d’un rôle Lecteur de sécurité dans Microsoft Entra ID.
Une personne disposant d’un rôle d’administrateur général Defender pour point de terminaison dispose d’un accès illimité à tous les appareils, indépendamment de son association de groupe d’appareils et des affectations de groupes d’utilisateurs Microsoft Entra.
Avertissement
Au départ, seuls les utilisateurs disposant de droits d’administrateur général ou d’administrateur de la sécurité Microsoft Entra peuvent créer et attribuer des rôles dans le portail Microsoft Defender ; par conséquent, il est important de disposer des groupes appropriés dans Microsoft Entra ID.
L’activation du contrôle d’accès en fonction du rôle entraîne la perte d’accès des utilisateurs disposant d’autorisations en lecture seule (par exemple, les utilisateurs affectés à Microsoft Entra rôle de lecteur sécurité) jusqu’à ce qu’ils soient affectés à un rôle.
Les utilisateurs disposant d’autorisations d’administrateur se voient automatiquement attribuer le rôle d’administrateur général intégré par défaut Defender pour point de terminaison avec des autorisations complètes. Après avoir choisi d’utiliser RBAC, vous pouvez affecter des utilisateurs supplémentaires qui ne sont pas Microsoft Entra administrateurs généraux ou administrateurs de sécurité au rôle Administrateur général Defender pour point de terminaison.
Après avoir choisi d’utiliser RBAC, vous ne pouvez pas revenir aux rôles initiaux comme lorsque vous vous êtes connecté au portail pour la première fois.
Rubrique connexe
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.