Zarządzanie dostępem

  • 6 min

Za pomocą kontroli dostępu opartej na rolach (RBAC) można tworzyć role i grupy w zespole ds. operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do portalu. Na podstawie tworzonych ról i grup masz szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i robić. W poniższym filmie wideo wyjaśniono użycie kontroli dostępu opartej na rolach (RBAC) i grup urządzeń (grup maszyn).

Kontrola dostępu oparta na rolach w usłudze Defender for Endpoint jest przeznaczona do obsługi wybranego modelu warstwowego lub opartego na rolach. Zapewnia szczegółową kontrolę nad tym, jakie role mogą zobaczyć, urządzeniami, do których mogą uzyskiwać dostęp, i akcjami, które mogą wykonywać. Struktura RBAC jest skoncentrowana na następujących kontrolkach:

  • Kontrolowanie, kto może wykonywać określone działania

    • Tworzenie ról niestandardowych i kontrolowanie możliwości usługi Defender dla punktu końcowego, do których mogą uzyskiwać dostęp przy użyciu stopnia szczegółowości.

  • Kontrolowanie, kto może wyświetlać informacje dotyczące określonej grupy lub grup urządzeń

    • Utwórz grupy urządzeń według określonych kryteriów, takich jak nazwy, tagi, domeny i inne, a następnie przyznaj im dostęp roli przy użyciu określonej grupy użytkowników firmy Microsoft Entra.

Aby zaimplementować dostęp oparty na rolach, musisz zdefiniować role administratora, przypisać odpowiednie uprawnienia i przypisać grupy użytkowników firmy Microsoft Entra przypisane do ról.

Przed użyciem kontroli dostępu opartej na rolach należy zrozumieć role, które mogą udzielać uprawnień i konsekwencje włączania kontroli dostępu opartej na rolach. Po pierwszym zalogowaniu się do usługi Microsoft Defender XDR masz przyznany pełny dostęp lub dostęp tylko do odczytu. Pełne prawa dostępu są przyznawane użytkownikom z rolami administratora zabezpieczeń lub administratora globalnego w usłudze Microsoft Entra ID. Dostęp tylko do odczytu jest udzielany użytkownikom z rolą Czytelnik zabezpieczeń w identyfikatorze Entra firmy Microsoft. Osoba z rolą administratora globalnego usługi Defender for Endpoint ma nieograniczony dostęp do wszystkich urządzeń, niezależnie od ich skojarzenia grupy urządzeń i przypisań grup użytkowników firmy Microsoft Entra