Partager via

Créer des rôles personnalisés avec Microsoft Defender XDR RBAC unifié

  • S’applique à: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Identity, Microsoft Defender for Office 365 P2, Microsoft Defender Vulnerability Management, Microsoft Defender for Cloud, Microsoft Security Exposure Management, Microsoft Defender for Cloud Apps, Microsoft Sentinel data lake

Cet article explique comment créer des rôles personnalisés dans Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié. Microsoft Defender XDR RBAC unifié vous permet de créer des rôles personnalisés avec des autorisations spécifiques et de les attribuer à des utilisateurs ou à des groupes, ce qui permet un contrôle granulaire de l’accès à Microsoft Defender expériences du portail.

La création de rôles personnalisés pour Microsoft Sentinel lac de données est prise en charge en préversion.

Configuration requise

Pour créer des rôles personnalisés dans Microsoft Defender XDR RBAC unifié, vous devez avoir l’un des rôles ou autorisations suivants :

  • Administrateur général ou Administrateur de la sécurité dans Microsoft Entra ID.
  • Toutes les autorisations d’autorisation attribuées dans Microsoft Defender XDR RBAC unifié.

Pour plus d’informations sur les autorisations, consultez Conditions préalables aux autorisations.

Conseil

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cette pratique permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Pour créer des rôles personnalisés pour le lac de données Microsoft Sentinel à l’aide du groupe d’autorisations Opérations de sécurité ou Opérations sur les données, vous devez disposer d’un espace de travail Log Analytics activé pour Microsoft Sentinel et intégré au portail Defender.

Créer un rôle personnalisé

Les étapes suivantes décrivent comment créer des rôles personnalisés dans le portail Microsoft Defender.

  1. Connectez-vous au portail Microsoft Defender. Dans le volet de navigation sur le côté, faites défiler vers le bas et sélectionnez Autorisations.

  2. Dans la page Autorisations, sous Microsoft Defender XDR, sélectionnez Rôles>Créer un rôle personnalisé.

  3. Dans l’Assistant qui s’ouvre, sous l’onglet Informations de base , entrez le nom du rôle et une description facultative, puis sélectionnez Suivant.

  4. Dans la page Choisir des autorisations , sélectionnez chacune des options suivantes si nécessaire pour configurer les autorisations pour cette zone :

    • Opérations de sécurité
    • Posture de sécurité
    • Autorisation et paramètres
    • Opérations sur les données (préversion). Pris en charge pour la collecte de données data lake Microsoft Sentinel.

    Pointez sur la colonne description de chaque groupe d’autorisations pour obtenir une description détaillée des autorisations disponibles dans ce groupe.

    Les diapositives du volet latéral Autorisation et paramètres supplémentaires s’ouvrent pour chaque groupe d’autorisations que vous sélectionnez, où vous pouvez choisir les autorisations spécifiques à attribuer au rôle.

    Si vous sélectionnez Toutes les autorisations en lecture seule ou Toutes les autorisations de lecture et de gestion, toutes les nouvelles autorisations ajoutées ultérieurement à ces catégories sont également affectées automatiquement sous ce rôle.

    Pour plus d’informations, consultez Autorisations dans Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.

  5. Lorsque vous avez terminé d’attribuer des autorisations pour chaque groupe d’autorisations, sélectionnez Appliquer , puis Suivant pour passer au groupe d’autorisations suivant.

    Remarque

    Si toutes les autorisations en lecture seule ou en lecture et gestion sont attribuées, toutes les nouvelles autorisations ajoutées à cette catégorie à l’avenir sont automatiquement attribuées sous ce rôle.

    Si vous avez affecté des autorisations personnalisées et que de nouvelles autorisations sont ajoutées à cette catégorie, vous devez réaffecter vos rôles avec les nouvelles autorisations si nécessaire.

  6. Une fois que vous avez sélectionné vos autorisations pour un groupe d’autorisations approprié, sélectionnez Appliquer , puis Suivant pour affecter des utilisateurs et des sources de données.

  7. Dans la page Affecter des utilisateurs et des sources de données , sélectionnez Ajouter une affectation.

    1. Dans le volet Ajouter une affectation , entrez les informations suivantes :

      • Nom de l’affectation : entrez un nom descriptif pour l’affectation.
      • Employés : sélectionnez Microsoft Entra groupes de sécurité ou des utilisateurs individuels pour attribuer des utilisateurs au rôle.
      • Sources de données : sélectionnez la liste déroulante Sources de données, puis sélectionnez les services où les utilisateurs affectés disposeront des autorisations sélectionnées. Si vous avez attribué des autorisations en lecture seule pour une seule source de données, telle que Microsoft Defender pour point de terminaison, les utilisateurs affectés ne peuvent pas lire les alertes dans les autres services, comme Microsoft Defender pour Office 365 ou Microsoft Defender pour Identity.

    2. Sélectionnez Inclure automatiquement les sources de données futures pour inclure toutes les autres sources de données prises en charge par Microsoft Defender RBAC unifié. Si cette option est sélectionnée, toutes les sources de données ultérieures ajoutées pour la prise en charge RBAC unifiée sont également automatiquement ajoutées à l’affectation.

    3. Dans la zone Collections de données du volet latéral Ajouter des affectations, l’Microsoft Sentinel lac de données par défaut est répertorié par défaut. Sélectionnez Modifier pour supprimer l’accès au lac de données ou définir une sélection de lac de données personnalisée.

    Remarque

    Dans Microsoft Defender XDR RBAC unifié, vous pouvez créer autant d’affectations que nécessaire sous le même rôle avec les mêmes autorisations. Par exemple, vous pouvez avoir une affectation dans un rôle qui a accès à toutes les sources de données, puis une affectation distincte pour une équipe qui n’a besoin d’accéder qu’aux alertes de point de terminaison à partir de la source de données Defender pour point de terminaison. Cela permet de conserver le nombre minimal de rôles.

  8. De retour dans la page Affecter des utilisateurs et des sources de données , sélectionnez Suivant pour passer en revue les détails du rôle et de l’attribution. Sélectionnez Envoyer pour créer le rôle.

Créer un rôle pour accéder aux rôles et aux autorisations et les gérer

Pour accéder aux rôles et aux autorisations et les gérer, sans être administrateur général ou administrateur de la sécurité dans Microsoft Entra ID, créez un rôle avec des autorisations d’autorisation. Pour créer ce rôle :

  1. Connectez-vous au portail Microsoft Defender en tant qu’administrateur général ou administrateur de la sécurité.

  2. Dans le volet de navigation, sélectionnez Autorisations > Microsoft Defender XDR > Rôles > Créer un rôle personnalisé.

  3. Entrez le nom et la description de votre rôle, puis sélectionnez Suivant.

  4. Sélectionnez Autorisation et paramètres, puis dans le volet latéral Autorisation et paramètres , sélectionnez Sélectionner des autorisations personnalisées.

  5. Sous Autorisation, sélectionnez l’une des options suivantes :

    • Sélectionnez toutes les autorisations. Les utilisateurs peuvent créer et gérer des rôles et des autorisations.
    • En lecture seule. Les utilisateurs peuvent accéder aux rôles et autorisations et les afficher en mode lecture seule.

    Par exemple :

    Capture d’écran de la page autorisations et rôles

  6. Sélectionnez Appliquer , puis Suivant pour affecter des utilisateurs et des sources de données.

  7. Sélectionnez Ajouter des affectations et entrez le nom de l’affectation.

  8. Pour choisir les sources de données auxquelles les utilisateurs affectés avec l’autorisation d’autorisation ont accès, sélectionnez l’une des options suivantes :

    • Choisir toutes les sources de données : cela accorde aux utilisateurs des autorisations pour créer des rôles et gérer des rôles pour toutes les sources de données.
    • Sélectionner des sources de données spécifiques : cela accorde aux utilisateurs les autorisations nécessaires pour créer des rôles et gérer les rôles d’une source de données spécifique. Par exemple, sélectionnez Microsoft Defender pour point de terminaison dans la liste déroulante pour accorder aux utilisateurs l’autorisation pour la source de données Microsoft Defender pour point de terminaison uniquement.
    • Microsoft Sentinel collecte de lac de données : sélectionnez cette option pour accorder aux utilisateurs l’autorisation d’autorisation pour le lac de données Microsoft Sentinel.

  9. Dans Utilisateurs et groupes affectés , choisissez le Microsoft Entra groupes de sécurité ou utilisateurs individuels auxquels attribuer le rôle, puis sélectionnez Ajouter.

  10. Sélectionnez Suivant pour passer en revue et terminer la création du rôle, puis sélectionnez Envoyer.

Remarque

Pour que le portail de sécurité Microsoft Defender XDR commence à appliquer les autorisations et les affectations configurées dans vos rôles nouveaux ou importés, vous devez activer le nouveau modèle RBAC unifié Microsoft Defender XDR. Pour plus d’informations, consultez Activer Microsoft Defender XDR RBAC unifié.

Configurer des rôles délimités pour Microsoft Defender pour Identity

Vous pouvez configurer l’accès délimité à l’aide du modèle RBAC unifié (URBAC) de Microsoft Defender XDR pour les identités gérées par Microsoft Defender pour Identity (MDI). Cela vous permet de restreindre l’accès et la visibilité à des domaines Active Directory ou unités d’organisation spécifiques, ce qui vous permet de vous aligner sur les responsabilités de l’équipe et de réduire l’exposition inutile des données.

Pour plus d’informations, consultez Configurer l’accès étendu pour Microsoft Defender pour Identity.

Configurer des rôles délimités pour Microsoft Defender pour le cloud

Vous pouvez configurer l’accès délimité à l’aide du modèle RBAC unifié de Microsoft Defender XDR pour les ressources gérées par Microsoft Defender pour le cloud. Cela vous permet de limiter l’accès et la visibilité à des abonnements, des groupes de ressources ou des ressources individuelles spécifiques. En appliquant des rôles délimités, vous vous assurez que les membres de l’équipe voient et gèrent uniquement les ressources pertinentes pour leurs responsabilités, ce qui réduit l’exposition inutile et améliore la sécurité opérationnelle.

Pour plus d’informations, consultez Gérer les étendues cloud et le contrôle d’accès unifié en fonction du rôle.

Étapes suivantes

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.

  • Last updated on