Поделиться через

Настройка доступа с ограниченной областью для Microsoft Defender для удостоверений

По мере роста организаций и усложняющихся сред идентификации важно контролировать, кто имеет доступ к каким ресурсам. Microsoft Defender для удостоверений области позволяет сосредоточиться на мониторинге определенных доменов Active Directory. Это помогает повысить эффективность за счет снижения шума от несуществующих данных и сосредоточения внимания на критически важных ресурсах. Вы также можете ограничить видимость определенными сущностями, чтобы доступ соответствовал обязанностям каждого пользователя. Доступ с ограниченной областью реализуется путем создания пользовательской роли с помощью Microsoft Defender XDR unified RBAC. В процессе настройки роли вы определяете, какие пользователи или группы имеют доступ к определенным доменам Active Directory или Microsoft Entra ID группам.

Предварительные условия

Перед началом работы убедитесь, что вы соответствуете следующим требованиям:

Настройка правил области

Чтобы включить область идентификации, выполните следующие действия.

  1. Перейдите в раздел Разрешения > Microsoft Defender XDR > Роли.

    Снимок экрана: страница ролей на портале Defender XDR.

  2. Выберите + Создать настраиваемую роль и следуйте инструкциям в разделе Создание пользовательских ролей с помощью Microsoft Defender XDR единого RBAC.

    Снимок экрана: кнопка

  3. Роль можно изменить в любое время. Выберите роль из списка настраиваемых ролей и нажмите кнопку Изменить.

    Снимок экрана: изменение настраиваемой роли.

  4. Выберите Добавить назначения и добавьте имя назначения.

    1. В разделе Назначение пользователей и групп введите имена пользователей или Microsoft Entra ID группы, которые вы хотите назначить роли.
    2. Выберите Microsoft Defender для удостоверений в качестве источника данных.
    3. В разделе Область выберите группы пользователей (домены AD), которые будут ограничены назначением. Снимок экрана: добавление Defender для удостоверений в роль области.

  5. Нажмите Добавить.

Известные ограничения (предварительная версия)

Область Defender для удостоверений в настоящее время доступна в общедоступной предварительной версии. В следующей таблице перечислены текущие ограничения и поддерживаемые сценарии доступа с ограниченной областью в Microsoft Defender для удостоверений.

Примечание.

  • Пользовательские роли применяются только к новым оповещениям и действиям. Оповещения и действия, активированные до создания настраиваемой роли, не помечаются и не фильтруются задним числом.

  • Microsoft Entra ID ip-оповещения не включаются в обнаружение MDI с заданной областью.

Интерфейс Defender для удостоверений Состояние
Оповещения и инциденты MDI Доступно
Таблицы поиска: AlertEvidence+Info, IdentityInfo, IdentityDirectoryEvents, IdentityLogonEvents, IdentityQueryEvents Доступно
Страница пользователя и глобальный поиск пользователя Доступно
Оповещения MDI на основе платформы обнаружения XDR (источник обнаружения — XDR, а источник службы — MDI) Доступно
Проблемы с работоспособностью Доступно
Страница обнаружения учетных записей удостоверений и учетных записей служб Доступно
Параметры удостоверений: страница датчиков, добавление тегов вручную, уведомления о проблемах работоспособности Доступно
Defender XDR инцидент Уведомления по электронной почте Недоступно
ISPM и управление экспозицией Недоступно
Скачивание запланированных отчетов и API Graph Недоступно
Страница глобальный поиск устройств и групп и сущностей Недоступно
Настройка оповещений и управление критическими ресурсами Недоступно