Atribuir funções e permissões para implementação de Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O próximo passo ao implementar o Defender para Endpoint é atribuir funções e permissões para a implementação do Defender para Endpoint.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Controlo de acesso baseado em funções
A Microsoft recomenda a utilização do conceito de privilégios mínimos. O Defender para Endpoint aplica funções incorporadas no Microsoft Entra ID. Reveja as diferentes funções disponíveis e escolha a mais adequada para resolver as suas necessidades para cada persona para esta aplicação. Algumas funções poderão ter de ser aplicadas temporariamente e removidas após a conclusão da implementação.
A Microsoft recomenda a utilização de Privileged Identity Management para gerir as suas funções para fornecer mais auditoria, controlo e revisão de acesso para utilizadores com permissões de diretório.
O Defender para Endpoint suporta duas formas de gerir permissões:
Gestão de permissões básica: defina permissões para acesso total ou só de leitura. Os utilizadores com uma função, como Administrador de Segurança no Microsoft Entra ID têm acesso total. A função Leitor de segurança tem acesso só de leitura e não concede acesso para ver computadores/inventário de dispositivos.
Controlo de acesso baseado em funções (RBAC): defina permissões granulares ao definir funções, atribuir Microsoft Entra grupos de utilizadores às funções e conceder aos grupos de utilizadores acesso a grupos de dispositivos. Para obter mais informações. veja Gerir o acesso ao portal com o controlo de acesso baseado em funções.
A Microsoft recomenda a aplicação do RBAC para garantir que apenas os utilizadores com uma justificação comercial podem aceder ao Defender para Endpoint.
Pode encontrar detalhes sobre as diretrizes de permissão aqui: Criar funções e atribuir a função a um grupo de Microsoft Entra.
Importante
A partir de 16 de fevereiro de 2025, os novos Microsoft Defender para Endpoint clientes só terão acesso ao Role-Based Controlo de Acesso Unificado (URBAC). Os clientes existentes mantêm as suas funções e permissões atuais. Para obter mais informações, veja URBAC Unified Role-Based Controlo de Acesso (URBAC) for Microsoft Defender para Endpoint
A tabela de exemplo seguinte serve para identificar a estrutura do Centro de Operações de Defesa Cibernética no seu ambiente que o ajudará a determinar a estrutura RBAC necessária para o seu ambiente.
| Camada | Descrição | Permissões necessárias |
|---|---|---|
| Camada 1 |
Equipa de operações de segurança local/equipa de TI Normalmente, esta equipa faz a triagem e investiga os alertas contidos na geolocalização e passa para a Camada 2 nos casos em que é necessária uma remediação ativa. |
Ver dados |
| Camada 2 |
Equipa de operações de segurança regional Esta equipa pode ver todos os dispositivos da respetiva região e executar ações de remediação. |
Ver dados Investigação de alertas Ações de remediação ativas |
| Camada 3 |
Equipa global de operações de segurança Esta equipa é constituída por especialistas em segurança e está autorizada a ver e realizar todas as ações a partir do portal. |
Ver dados Investigação de alertas Ações de remediação ativas Gerir definições do sistema de portal Gerir definições de segurança |
Passo seguinte
Depois de atribuir funções e permissões para ver e gerir o Defender para Ponto Final, está na altura do Passo 3 – Identificar a sua arquitetura e escolher o método de implementação.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.