grupy ról Microsoft Defender for Identity
Microsoft Defender for Identity oferuje zabezpieczenia oparte na rolach w celu ochrony danych zgodnie z określonymi potrzebami organizacji w zakresie zabezpieczeń i zgodności. Zalecamy używanie grup ról do zarządzania dostępem do usługi Defender for Identity, rozdzielając obowiązki między zespół ds. zabezpieczeń i udzielając tylko tej ilości dostępu, której użytkownicy potrzebują do wykonywania swoich zadań.
Ujednolicona kontrola dostępu oparta na rolach (RBAC)
Użytkownicy, którzy są już administratorami globalnymi lub administratorami zabezpieczeń w Tożsamość Microsoft Entra dzierżawy, są również automatycznie administratorami usługi Defender for Identity. Microsoft Entra administratorzy globalni i administratorzy zabezpieczeń nie potrzebują dodatkowych uprawnień do uzyskiwania dostępu do usługi Defender for Identity.
W przypadku innych użytkowników włącz i użyj kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365, aby tworzyć role niestandardowe i obsługiwać więcej ról identyfikatorów Entra, takich jak operator zabezpieczeń lub czytelnik zabezpieczeń, domyślnie w celu zarządzania dostępem do usługi Defender for Identity.
Podczas tworzenia ról niestandardowych upewnij się, że zostały zastosowane uprawnienia wymienione w poniższej tabeli:
| Poziom dostępu usługi Defender for Identity | Minimalne wymagane uprawnienia ujednoliconej kontroli dostępu opartej na rolach platformy Microsoft 365 |
|---|---|
| Administratorzy | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Użytkownicy | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Osoby wyświetlające | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Aby uzyskać więcej informacji, zobacz Role niestandardowe w kontroli dostępu opartej na rolach dla Microsoft Defender XDR i Tworzenie ról niestandardowych za pomocą Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach.
Uwaga
Informacje zawarte w dzienniku aktywności Defender for Cloud Apps mogą nadal zawierać dane usługi Defender for Identity. Ta zawartość jest zgodna z istniejącymi uprawnieniami Defender for Cloud Apps.
Wyjątek: Jeśli skonfigurowano wdrożenie o zakresie dla alertów Microsoft Defender for Identity w Microsoft Defender for Cloud Apps, te uprawnienia nie są przenoszone i trzeba będzie jawnie przyznać uprawnienia Operacje zabezpieczeń \ Dane zabezpieczeń \ Podstawy danych zabezpieczeń (odczyt) dla odpowiednich użytkowników portalu.
Wymagane uprawnienia usługi Defender for Identity w Microsoft Defender XDR
W poniższej tabeli szczegółowo opisano określone uprawnienia wymagane dla działań usługi Defender for Identity w Microsoft Defender XDR.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
| Działanie | Najmniej wymagane uprawnienia |
|---|---|
| Dołączanie usługi Defender for Identity (tworzenie obszaru roboczego) | Administrator zabezpieczeń |
| Konfigurowanie ustawień usługi Defender for Identity | Jedna z następujących ról Microsoft Entra: - Administrator zabezpieczeń - Operator zabezpieczeń Lub Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Wyświetlanie ustawień usługi Defender for Identity | Jedna z następujących ról Microsoft Entra: - Czytelnik globalny - Czytelnik zabezpieczeń Lub Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Zarządzanie alertami i działaniami zabezpieczeń usługi Defender for Identity | Jedna z następujących ról Microsoft Entra: - Operator zabezpieczeń Lub Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Wyświetlanie ocen zabezpieczeń usługi Defender for Identity (teraz część wskaźnika bezpieczeństwa firmy Microsoft) |
Uprawnienia dostępu do wskaźnika bezpieczeństwa firmy Microsoft I Następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach: Security operations/Security data /Security data basics (Read) |
| Wyświetl stronę Zasoby/tożsamości |
Uprawnienia dostępu do Defender for Cloud Apps Lub Jedna z ról Microsoft Entra wymaganych przez Microsoft Defender XDR |
| Wykonywanie akcji odpowiedzi usługi Defender for Identity |
Rola niestandardowa zdefiniowana z uprawnieniami do odpowiedzi (zarządzanie) Lub Jedna z następujących ról Microsoft Entra: - Operator zabezpieczeń |
Grupy zabezpieczeń usługi Defender for Identity
Usługa Defender for Identity udostępnia następujące grupy zabezpieczeń ułatwiające zarządzanie dostępem do zasobów usługi Defender for Identity:
- Administratorzy usługi Azure ATP (nazwa obszaru roboczego)
- Użytkownicy usługi Azure ATP (nazwa obszaru roboczego)
- Osoby przeglądające usługi Azure ATP (nazwa obszaru roboczego)
W poniższej tabeli wymieniono działania dostępne dla każdej grupy zabezpieczeń:
| Działanie | Administratorzy usługi Azure ATP (nazwa obszaru roboczego) | Użytkownicy usługi Azure ATP (nazwa obszaru roboczego) | Osoby przeglądające usługi Azure ATP (nazwa obszaru roboczego) |
|---|---|---|---|
| Zmienianie stanu problemu z kondycją | Dostępna | Niedostępny | Niedostępny |
| Zmienianie stanu alertu zabezpieczeń (ponowne otwieranie, zamykanie, wykluczanie, pomijanie) | Dostępna | Dostępna | Niedostępny |
| Usuwanie obszaru roboczego | Dostępna | Niedostępny | Niedostępny |
| Pobieranie raportu | Dostępna | Dostępna | Dostępna |
| Rejestrowanie | Dostępna | Dostępna | Dostępna |
| Udostępnianie/eksportowanie alertów zabezpieczeń (za pośrednictwem poczty e-mail, uzyskiwanie linku, pobieranie szczegółów) | Dostępna | Dostępna | Dostępna |
| Aktualizowanie konfiguracji usługi Defender for Identity (aktualizacje) | Dostępna | Niedostępny | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (tagów jednostek, w tym zarówno wrażliwych, jak i honeytoken) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (wykluczenia) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (język) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (powiadomienia, w tym zarówno poczta e-mail, jak i dziennik systemowy) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (wykrywanie wersji zapoznawczej) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (zaplanowane raporty) | Dostępna | Dostępna | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (źródła danych, w tym usługi katalogowe, SIEM, VPN, Defender for Endpoint) | Dostępna | Niedostępny | Niedostępny |
| Aktualizowanie konfiguracji usługi Defender for Identity (zarządzanie czujnikami, w tym pobieranie oprogramowania, ponowne generowanie kluczy, konfigurowanie, usuwanie) | Dostępna | Niedostępny | Niedostępny |
| Wyświetlanie profilów jednostek i alertów zabezpieczeń | Dostępna | Dostępna | Dostępna |
Dodawanie i usuwanie użytkowników
Usługa Defender for Identity używa Microsoft Entra grup zabezpieczeń jako podstawy grup ról.
Zarządzaj grupami ról na stronie zarządzania Grupy na Azure Portal. Tylko Microsoft Entra użytkowników można dodawać lub usuwać z grup zabezpieczeń.