grupos de funções do Microsoft Defender para Identidade
Microsoft Defender para Identidade oferece segurança baseada em funções para salvaguardar os dados de acordo com as necessidades de segurança e conformidade específicas da sua organização. Recomendamos que utilize grupos de funções para gerir o acesso ao Defender para Identidade, segregando responsabilidades na sua equipa de segurança e concedendo apenas a quantidade de acesso de que os utilizadores precisam para fazer o seu trabalho.
Controlo de acesso baseado em funções unificado (RBAC)
Os utilizadores que já são Administradores Globais ou Administradores de Segurança no Microsoft Entra ID do seu inquilino também são automaticamente administradores do Defender para Identidade. Microsoft Entra Administradores Globais e de Segurança não precisam de permissões adicionais para aceder ao Defender para Identidade.
Para outros utilizadores, ative e utilize o controlo de acesso baseado em funções (RBAC) do Microsoft 365 para criar funções personalizadas e suportar mais funções de Entra ID, como Operador de segurança ou Leitor de Segurança, por predefinição, para gerir o acesso ao Defender para Identidade.
Ao criar as suas funções personalizadas, certifique-se de que aplica as permissões listadas na tabela seguinte:
| Nível de acesso do Defender para Identidade | Mínimo de permissões RBAC unificadas do Microsoft 365 necessárias |
|---|---|
| Administradores | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Usuários | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Visualizadores | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Para obter mais informações, veja Funções personalizadas no controlo de acesso baseado em funções para Microsoft Defender XDR e Criar funções personalizadas com Microsoft Defender XDR RBAC Unificado.
Observação
As informações incluídas no registo de atividades Defender para Aplicativos de Nuvem ainda podem conter dados do Defender para Identidade. Este conteúdo cumpre as permissões de Defender para Aplicativos de Nuvem existentes.
Exceção: se tiver configurado a implementação no Âmbito para Microsoft Defender para Identidade alertas no Microsoft Defender para Aplicativos de Nuvem, estas permissões não serão transferidas e terá de conceder explicitamente as noções básicas de dados de Segurança \ Dados de segurança \ Dados de segurança (leitura) permissões para os utilizadores do portal relevantes.
Permissões necessárias do Defender para Identidade no Microsoft Defender XDR
A tabela seguinte detalha as permissões específicas necessárias para as atividades do Defender para Identidade no Microsoft Defender XDR.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
| Atividade | Permissões menos necessárias |
|---|---|
| Integrar o Defender para Identidade (criar área de trabalho) | Administrador de Segurança |
| Configurar as definições do Defender para Identidade | Uma das seguintes funções de Microsoft Entra: - Administrador de Segurança - Operador de Segurança Or As seguintes permissões RBAC Unificadas: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Ver as definições do Defender para Identidade | Uma das seguintes funções de Microsoft Entra: - Leitor Global - Leitor de Segurança Or As seguintes permissões RBAC Unificadas: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gerir alertas e atividades de segurança do Defender para Identidade | Uma das seguintes funções de Microsoft Entra: - Operador de Segurança Or As seguintes permissões RBAC Unificadas: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Ver avaliações de segurança do Defender para Identidade (agora faz parte da Classificação de Segurança da Microsoft) |
Permissões para aceder à Classificação de Segurança da Microsoft And As seguintes permissões RBAC Unificadas: Security operations/Security data /Security data basics (Read) |
| Ver a página Ativos/Identidades |
Permissões para aceder ao Defender para Aplicativos de Nuvem Or Uma das funções de Microsoft Entra exigidas pelo Microsoft Defender XDR |
| Executar ações de resposta do Defender para Identidade | Uma função personalizada definida com permissões para Resposta (gerir) Or Uma das seguintes funções de Microsoft Entra: - Operador de Segurança |
Grupos de segurança do Defender para Identidade
O Defender para Identidade fornece os seguintes grupos de segurança para ajudar a gerir o acesso aos recursos do Defender para Identidade:
- Administradores do Azure ATP (nome da área de trabalho)
- Utilizadores do Azure ATP (nome da área de trabalho)
- Visualizadores do Azure ATP (nome da área de trabalho)
A tabela seguinte lista as atividades disponíveis para cada grupo de segurança:
| Atividade | Administradores do Azure ATP (nome da área de trabalho) | Utilizadores do Azure ATP (Nome da área de trabalho) | Visualizadores do Azure ATP (nome da área de trabalho) |
|---|---|---|---|
| Alterar problemas de estado de funcionamento status | Disponível | Não disponível | Não disponível |
| Alterar status de alerta de segurança (reabrir, fechar, excluir, suprimir) | Disponível | Disponível | Não disponível |
| Eliminar área de trabalho | Disponível | Não disponível | Não disponível |
| Transferir um relatório | Disponível | Disponível | Disponível |
| Entrar | Disponível | Disponível | Disponível |
| Partilhar/Exportar alertas de segurança (por e-mail, obter ligação, transferir detalhes) | Disponível | Disponível | Disponível |
| Atualizar a configuração do Defender para Identidade (atualizações) | Disponível | Não disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (etiquetas de entidade, incluindo sensível e honeytoken) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (exclusões) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (idioma) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (notificações, incluindo e-mail e syslog) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (deteções de pré-visualização) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (relatórios agendados) | Disponível | Disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (origens de dados, incluindo serviços de diretório, SIEM, VPN, Defender para Endpoint) | Disponível | Não disponível | Não disponível |
| Atualizar a configuração do Defender para Identidade (gestão de sensores, incluindo transferir software, regenerar chaves, configurar, eliminar) | Disponível | Não disponível | Não disponível |
| Ver perfis de entidade e alertas de segurança | Disponível | Disponível | Disponível |
Adicionar e remover utilizadores
O Defender para Identidade utiliza Microsoft Entra grupos de segurança como base para grupos de funções.
Faça a gestão dos seus grupos de funções a partir Grupos página de gestão no portal do Azure. Apenas Microsoft Entra utilizadores podem ser adicionados ou removidos dos grupos de segurança.