Ruoli dei gruppi Microsoft Defender per identità
Microsoft Defender per identità offre sicurezza basata sui ruoli per proteggere i dati in base alle esigenze specifiche di sicurezza e conformità dell'organizzazione. È consigliabile usare i gruppi di ruoli per gestire l'accesso a Defender per identità, separando le responsabilità tra il team di sicurezza e concedendo solo la quantità di accesso necessaria agli utenti per svolgere il proprio lavoro.
Controllo degli accessi in base al ruolo unificato
Anche gli utenti che sono già amministratori globali o amministratori della sicurezza nella Microsoft Entra ID del tenant sono automaticamente amministratori di Defender per identità. Microsoft Entra amministratori globali e di sicurezza non hanno bisogno di autorizzazioni aggiuntive per accedere a Defender per identità.
Per gli altri utenti, abilitare e usare il controllo degli accessi in base al ruolo (RBAC) di Microsoft 365 per creare ruoli personalizzati e per supportare altri ruoli id entra, ad esempio operatore di sicurezza o lettore di sicurezza, per impostazione predefinita, per gestire l'accesso a Defender per identità.
Quando si creano i ruoli personalizzati, assicurarsi di applicare le autorizzazioni elencate nella tabella seguente:
| Livello di accesso di Defender per identità | Autorizzazioni minime necessarie per il controllo degli accessi in base al ruolo unificato di Microsoft 365 |
|---|---|
| Amministratori | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Utenti | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Visualizzatori | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Per altre informazioni, vedere Ruoli personalizzati nel controllo degli accessi in base al ruolo per Microsoft Defender XDR e Creare ruoli personalizzati con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.
Nota
Le informazioni incluse nel log attività Defender for Cloud Apps possono comunque contenere dati di Defender per identità. Questo contenuto rispetta le autorizzazioni di Defender for Cloud Apps esistenti.
Eccezione: se è stata configurata la distribuzione con ambito per gli avvisi Microsoft Defender per identità in Microsoft Defender for Cloud Apps, queste autorizzazioni non vengono riportate e sarà necessario concedere in modo esplicito le autorizzazioni Operazioni di sicurezza \ Dati di sicurezza \ Informazioni di base sulla sicurezza (lettura) per gli utenti del portale pertinenti.
Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR
Nella tabella seguente vengono descritte in dettaglio le autorizzazioni specifiche necessarie per le attività di Defender per identità in Microsoft Defender XDR.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
| Attività | Autorizzazioni meno necessarie |
|---|---|
| Eseguire l'onboarding di Defender per identità (creare un'area di lavoro) | Amministratore della sicurezza |
| Configurare le impostazioni di Defender per identità | Uno dei ruoli di Microsoft Entra seguenti: - Amministratore della sicurezza - Operatore di sicurezza O Le autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Visualizzare le impostazioni di Defender per identità | Uno dei ruoli di Microsoft Entra seguenti: - Lettore globale - Lettore di sicurezza O Le autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gestire gli avvisi e le attività di sicurezza di Defender per identità | Uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza O Le autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Visualizzare le valutazioni di sicurezza di Defender per identità (ora parte di Microsoft Secure Score) |
Autorizzazioni per accedere a Microsoft Secure Score E Le autorizzazioni di controllo degli accessi in base al ruolo unificate seguenti: Security operations/Security data /Security data basics (Read) |
| Visualizzare la pagina Asset/identità |
Autorizzazioni per accedere a Defender for Cloud Apps O Uno dei ruoli Microsoft Entra richiesti da Microsoft Defender XDR |
| Eseguire azioni di risposta di Defender per identità | Un ruolo personalizzato definito con autorizzazioni per Response (manage) O Uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza |
Gruppi di sicurezza di Defender per identità
Defender per identità offre i gruppi di sicurezza seguenti per gestire l'accesso alle risorse di Defender per identità:
- Amministratori di Azure ATP (nome dell'area di lavoro)
- Utenti di Azure ATP (nome dell'area di lavoro)
- Visualizzatori di Azure ATP (nome area di lavoro)
Nella tabella seguente sono elencate le attività disponibili per ogni gruppo di sicurezza:
| Attività | Amministratori di Azure ATP (nome dell'area di lavoro) | Utenti di Azure ATP (nome area di lavoro) | Visualizzatori di Azure ATP (nome area di lavoro) |
|---|---|---|---|
| Modificare lo stato del problema di integrità | Disponibile | Non disponibile | Non disponibile |
| Modificare lo stato dell'avviso di sicurezza (riaprire, chiudere, escludere, eliminare) | Disponibile | Disponibile | Non disponibile |
| Eliminare l'area di lavoro | Disponibile | Non disponibile | Non disponibile |
| Scaricare un report | Disponibile | Disponibile | Disponibile |
| Accesso | Disponibile | Disponibile | Disponibile |
| Condividere/esportare gli avvisi di sicurezza (tramite posta elettronica, ottenere il collegamento, scaricare i dettagli) | Disponibile | Disponibile | Disponibile |
| Aggiornare la configurazione di Defender per identità (aggiornamenti) | Disponibile | Non disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (tag di entità, inclusi gli elementi sensibili e honeytoken) | Disponibile | Disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (esclusioni) | Disponibile | Disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (lingua) | Disponibile | Disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (notifiche, tra cui posta elettronica e syslog) | Disponibile | Disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (rilevamenti di anteprima) | Disponibile | Disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (report pianificati) | Disponibile | Disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (origini dati, inclusi servizi directory, SIEM, VPN, Defender per endpoint) | Disponibile | Non disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per identità (gestione dei sensori, incluso il download di software, la rigenerazione delle chiavi, la configurazione, l'eliminazione) | Disponibile | Non disponibile | Non disponibile |
| Visualizzare i profili di entità e gli avvisi di sicurezza | Disponibile | Disponibile | Disponibile |
Aggiungere e rimuovere utenti
Defender per identità usa Microsoft Entra gruppi di sicurezza come base per i gruppi di ruoli.
Gestire i gruppi di ruoli dalla pagina di gestione Gruppi nel portale di Azure. Solo Microsoft Entra utenti possono essere aggiunti o rimossi dai gruppi di sicurezza.