Назначение доступа пользователей
Область применения:
- Microsoft Entra ID
- Office 365
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Defender для конечной точки поддерживает два способа управления разрешениями:
Базовое управление разрешениями. Задайте для разрешений полный доступ или только для чтения. См . раздел Использование базовых разрешений для доступа к порталу.
Управление доступом на основе ролей (RBAC): настройте детализированные разрешения, определяя роли, назначая группам пользователей Microsoft Entra роли и предоставляя группам пользователей доступ к группам устройств. Дополнительные сведения о RBAC см. в статье Управление доступом на портале с помощью управления доступом на основе ролей.
Переход с базовых разрешений на RBAC
Если вы уже назначили базовые разрешения, вы можете в любое время переключиться на RBAC. Прежде чем переходить, учтите следующее:
- Пользователям с полным доступом (пользователям, которым назначена роль глобального администратора или администратора безопасности в идентификаторе Microsoft Entra ID), автоматически назначается роль администратора Defender для конечной точки по умолчанию, которая также имеет полный доступ.
- Другим группам пользователей Microsoft Entra можно назначить роль администратора Defender для конечной точки после перехода на RBAC.
- Только пользователи, которым назначена роль администратора Defender для конечной точки, могут управлять разрешениями с помощью RBAC.
- Пользователи, имеющие доступ только для чтения (средства чтения безопасности), теряют доступ к порталу, пока им не будет назначена роль. Только группам пользователей Microsoft Entra можно назначить роль в RBAC.
- После перехода на RBAC вы не сможете вернуться к использованию базового управления разрешениями.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Связанные статьи
- Создание групп устройств и управление ими
- "Никому не доверяй" с Помощью Microsoft Defender для конечной точки
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.