Поделиться через


Управление доступом на портале с помощью управления доступом на основе ролей

Примечание.

Если вы используете программу предварительной версии Microsoft Defender XDR, вы можете использовать новую модель Microsoft Defender 365 Unified role-based access control (RBAC). Дополнительные сведения см. в статье Microsoft Defender 365 Unified role-based access control (RBAC).

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

С помощью управления доступом на основе ролей (RBAC) можно создавать роли и группы в команде по операциям безопасности, чтобы предоставить соответствующий доступ к порталу. В зависимости от создаваемых ролей и групп вы можете точно контролировать, что пользователи с доступом к порталу могут видеть и делать.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Крупные группы геораспределенной безопасности обычно используют модель на основе уровней для назначения и авторизации доступа к порталам безопасности. Типичные уровни включают следующие три уровня:

Уровень Описание
Уровень 1 Местная группа обеспечения безопасности / ИТ-группа
Эта команда обычно изучает и изучает оповещения, содержащиеся в их географическом расположении, и передает на уровень 2 в случаях, когда требуется активное исправление.
Уровень 2 Региональная группа обеспечения безопасности
Эта команда может просмотреть все устройства для своего региона и выполнить действия по исправлению.
Уровень 3 Глобальная группа обеспечения безопасности
Эта команда состоит из экспертов по безопасности и имеет право просматривать и выполнять все действия на портале.

Примечание.

Сведения о ресурсах уровня 0 см. в статье управление привилегированными пользователями для администраторов безопасности, чтобы обеспечить более детальный контроль над Microsoft Defender для конечной точки и Microsoft Defender XDR.

RBAC defender для конечной точки предназначен для поддержки выбранной модели на основе уровней или ролей и предоставляет детальный контроль над ролями, устройствами, к которые они могут получить доступ, и действиями, которые они могут выполнять. Платформа RBAC сосредоточена вокруг следующих элементов управления:

  • Контроль того, кто может выполнять определенные действия
    • Создание пользовательских ролей и управление возможностями Defender для конечной точки, к которым они могут получить доступ с детализацией.
  • Управление тем, кто может просматривать сведения в определенной группе устройств или группах
    • Создайте группы устройств по определенным критериям, таким как имена, теги, домены и другие, а затем предоставьте им доступ к роли с помощью определенной Microsoft Entra группы пользователей.

      Примечание.

      Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Чтобы реализовать доступ на основе ролей, необходимо определить роли администратора, назначить соответствующие разрешения и назначить Microsoft Entra группам пользователей, назначенным ролям.

Подготовка к работе

Перед использованием RBAC важно понимать роли, которые могут предоставлять разрешения, и последствия включения RBAC.

Предупреждение

Прежде чем включить эту функцию, важно, чтобы у вас была соответствующая роль, например администратор безопасности, назначенная в Microsoft Entra ID, и у вас есть группы Microsoft Entra, готовые снизить риск блокировки портала.

При первом входе на портал Microsoft Defender вы получите полный доступ или доступ только для чтения. Полные права доступа предоставляются пользователям с ролью администратора безопасности в Microsoft Entra ID. Доступ только для чтения предоставляется пользователям с ролью читателя безопасности в Microsoft Entra ID.

Пользователь с ролью глобального администратора Defender для конечной точки имеет неограниченный доступ ко всем устройствам, независимо от связи с группами устройств и назначений групп пользователей Microsoft Entra.

Предупреждение

Изначально только пользователи с правами Microsoft Entra глобального администратора или администратора безопасности могут создавать и назначать роли на портале Microsoft Defender. Поэтому важно подготовить нужные группы в Microsoft Entra ID.

Включение управления доступом на основе ролей приводит к тому, что пользователи с разрешениями только для чтения (например, пользователи, назначенные Microsoft Entra роль читателя безопасности), теряют доступ до тех пор, пока не будут назначены роли.

Пользователям с разрешениями администратора автоматически назначается встроенная по умолчанию роль глобального администратора Defender для конечной точки с полными разрешениями. После согласия на использование RBAC вы можете назначить дополнительных пользователей, которые не являются Microsoft Entra глобальными администраторами или администраторами безопасности, роль глобального администратора Defender для конечной точки.

После согласия на использование RBAC вы не сможете отменить изменения к начальным ролям, как при первом входе на портал.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.