Управление доступом на портале с помощью управления доступом на основе ролей
Примечание.
Если вы используете предварительную версию программы XDR в Microsoft Defender, вы можете использовать новую модель единого управления доступом на основе ролей (RBAC) Microsoft Defender 365. Дополнительные сведения см. в статье Microsoft Defender 365 Unified role-based access control (RBAC).
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Entra ID
- Office 365
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
С помощью управления доступом на основе ролей (RBAC) можно создавать роли и группы в команде по операциям безопасности, чтобы предоставить соответствующий доступ к порталу. В зависимости от создаваемых ролей и групп вы можете точно контролировать, что пользователи с доступом к порталу могут видеть и делать.
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Крупные группы геораспределенной безопасности обычно используют модель на основе уровней для назначения и авторизации доступа к порталам безопасности. Типичные уровни включают следующие три уровня:
Уровень | Описание |
---|---|
Уровень 1 |
Местная группа обеспечения безопасности / ИТ-группа Эта команда обычно изучает и изучает оповещения, содержащиеся в их географическом расположении, и передает на уровень 2 в случаях, когда требуется активное исправление. |
Уровень 2 |
Региональная группа обеспечения безопасности Эта команда может просмотреть все устройства для своего региона и выполнить действия по исправлению. |
Уровень 3 |
Глобальная группа обеспечения безопасности Эта команда состоит из экспертов по безопасности и имеет право просматривать и выполнять все действия на портале. |
Примечание.
Сведения о ресурсах уровня 0 см. в статье Управление привилегированными пользователями для администраторов безопасности, чтобы обеспечить более детальное управление Microsoft Defender для конечной точки и XDR в Microsoft Defender.
RBAC defender для конечной точки предназначен для поддержки выбранной модели на основе уровней или ролей и предоставляет детальный контроль над ролями, устройствами, к которые они могут получить доступ, и действиями, которые они могут выполнять. Платформа RBAC сосредоточена вокруг следующих элементов управления:
-
Контроль того, кто может выполнять определенные действия
- Создание пользовательских ролей и управление возможностями Defender для конечной точки, к которым они могут получить доступ с детализацией.
-
Управление тем, кто может просматривать сведения в определенной группе устройств или группах
Создайте группы устройств по определенным критериям, таким как имена, теги, домены и другие, а затем предоставьте им доступ к роли с помощью определенной группы пользователей Microsoft Entra.
Примечание.
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
Чтобы реализовать доступ на основе ролей, необходимо определить роли администратора, назначить соответствующие разрешения и назначить группам пользователей Microsoft Entra, назначенным ролям.
Подготовка к работе
Перед использованием RBAC важно понимать роли, которые могут предоставлять разрешения, и последствия включения RBAC.
Предупреждение
Прежде чем включить эту функцию, важно, чтобы у вас была роль глобального администратора или администратора безопасности в идентификаторе Microsoft Entra ID, а группы Microsoft Entra готовы снизить риск блокировки на портале.
При первом входе на портал Microsoft Defender вам предоставляется полный доступ или доступ только для чтения. Полные права доступа предоставляются пользователям с ролями администратора безопасности или глобального администратора в Идентификаторе Microsoft Entra. Доступ только для чтения предоставляется пользователям с ролью читателя безопасности в идентификаторе Microsoft Entra.
Пользователь с ролью глобального администратора Defender для конечной точки имеет неограниченный доступ ко всем устройствам, независимо от связи с группами устройств и назначений групп пользователей Microsoft Entra.
Предупреждение
Изначально только пользователи с правами глобального администратора Или администратора безопасности Microsoft Entra могут создавать и назначать роли на портале Microsoft Defender. Поэтому важно подготовить нужные группы в идентификаторе Microsoft Entra.
Включение управления доступом на основе ролей приводит к тому, что пользователи с разрешениями только для чтения (например, пользователи, которым назначена роль читателя Microsoft Entra Security), теряют доступ до тех пор, пока не будут назначены роли.
Пользователям с разрешениями администратора автоматически назначается встроенная по умолчанию роль глобального администратора Defender для конечной точки с полными разрешениями. После согласия на использование RBAC вы можете назначить роли глобального администратора Defender для конечной точки дополнительных пользователей, не являющихся глобальными администраторами Microsoft Entra или администраторами безопасности.
После согласия на использование RBAC вы не сможете вернуться к начальным ролям, как при первом входе на портал.
Еще по теме
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.