Udostępnij przez

Zarządzanie zakresami chmury i ujednoliconą kontrolą dostępu opartą na rolach

Uwaga / Notatka

Ta funkcja jest obecnie dostępna w wersji zapoznawczej.
Aby uzyskać szczegółowe informacje na temat bieżących luk i ograniczeń, zobacz Znane ograniczenia.

Zakresy chmury i ujednolicona kontrola dostępu oparta na rolach (unified RBAC) w portalu Microsoft Defender umożliwiają segmentowanie zasobów wielochmurowych (Azure, AWS, GCP i połączonych źródeł DevOps/rejestru) na znaczące grupy oraz spójne stosowanie zasady najmniejszych niezbędnych uprawnień. Zapewniają one:

  • Scentralizowane zarządzanie uprawnieniami zabezpieczeń w całym produkcie
  • Granularne ustalanie zakresu w różnorodnych środowiskach chmury
  • Trwałe filtrowanie w spisie, posturze, lukach w zabezpieczeniach i zarządzaniu ekspozycją
  • Wyraźne oddzielenie od RBAC w platformie Azure

Ważne

Ujednolicona RBAC w portalu usługi Defender jest odmienna od RBAC platformy Azure. Uprawnienia nie przechodzą między portalami; aby skonfigurować ujednolicony RBAC, trzeba to zrobić osobno.

Podstawowe pojęcia

Concept Description
Zakres chmury Logiczne grupowanie co najmniej jednego pierwotnego środowiska chmurowego/natywnego (na przykład: subskrypcje platformy Azure, konta platformy AWS, projekty GCP, DevOps, rejestry) dostosowane do struktury biznesowej lub operacyjnej.
Ujednolicona rola RBAC Rola zabezpieczeń portalu Defender definiująca grupy uprawnień (Operacje zabezpieczeń / Stan zabezpieczeń) oraz przypisania związane z zakresem.
Filtr zakresu Globalny filtr środowiska użytkownika umożliwiający użytkownikom skoncentrowanie widoków danych na wybranych zakresach chmury lub grupach urządzeń.
Filtr środowisk Filtr pomocniczy do wnikania w szczegóły poszczególnych środowisk (opcjonalnie w wybranym zakresie).

Najważniejsze korzyści

  • Unikaj szerokiego dostępu do wszystkich dzierżaw; egzekwuj zasadę najmniejszych uprawnień
  • Dopasowywanie operacji zabezpieczeń do jednostek biznesowych, lokalizacji geograficznej, domen aplikacji lub modeli własności
  • Upraszczanie delegowania wielochmurowego przy użyciu powtarzalnych wzorców zakresu
  • Zachowaj spójne filtrowanie kontekstowe podczas nawigowania po środowiskach
  • Oddzielanie uprawnień zabezpieczeń operacyjnych od konstrukcji zarządzania platformy Azure

Co to są zakresy usług chmury?

Zakresy chmury to logiczne grupowania na poziomie dzierżawy heterogenicznych typów pierwotnych środowiska chmury (subskrypcje platformy Azure, konta platformy AWS, projekty GCP, organizacje DevOps, rejestry kontenerów, repozytoria artefaktów i inne). Zamiast dublować tylko jedną natywną hierarchię dostawcy, zakres chmury umożliwia zebranie tylko środowisk, które mają znaczenie dla określonego celu operacyjnego lub biznesowego — następnie użyj tego grupowania spójnie dla:

  • Przypisanie uprawnień (ujednolicona kontrola dostępu oparta na rolach)
  • Filtrowanie danych przez spis, stan, luki w zabezpieczeniach, inicjatywy, ścieżki ataków i mapę
  • Granice raportowania i delegowania własności

Właściwości klucza:

  • Wielochmurowość i wiele źródeł danych: pojedynczy zakres może łączyć źródła Azure + AWS + GCP + rejestry DevOps/org.
  • Niehierarchiczne i elastyczne: członkostwo jest jawną listą; nie dziedziczy ona z grup zarządzania platformy Azure ani organizacji platformy AWS.
  • Wiele do wielu: środowisko może należeć do wielu zakresów; zakres może zawierać dowolną liczbę środowisk.
  • Ręczna kontrola członkostwa: Nowo połączone środowiska nie są automatycznie dodawane — uniemożliwia przypadkowe rozszerzenie uprawnień.
  • Spójność zakresu filtru: Po wybraniu zakres pozostaje taki sam podczas nawigowania po obsługiwanych środowiskach portalu Defender.

Czym różnią się zakresy od grup urządzeń:

  • Grupy urządzeń koncentrują się na segmentacji punktów końcowych/maszynowych (historycznie dla scenariuszy usługi Defender dla punktów końcowych i maszyn wirtualnych).
  • Zakresy chmury obejmują szerszy kontekst zasobów chmury i ekspozycji (stan, ścieżki ataków, spis zasobów wielochmurowych).
  • Doświadczenia mogą przedstawiać oba te elementy; każda kategoria ma zastosowanie, gdzie jest to semantycznie istotne (na przykład karta Urządzenia vs karta Chmura).

Typowe wzorce projektowe do tworzenia zakresów:

  • Jednostka biznesowa lub dział (Finanse, Sprzedaż detaliczna, R&D)
  • Aplikacja/linia produktu (Płatności-Usługa, Mobile-App)
  • Etap środowiska (produkcja, przemieszczanie, testowanie)
  • Granica regionalna/regulacyjna (EU-Data-Residency, US-HIPAA)
  • M&A lub inicjatywa izolowana („Integracja Nabytego Przedsiębiorstwa”)
  • Obciążenia o wysokiej wartości /wrażliwe (Crown-Jewels)

Relacja do ujednoliconego RBAC:

  • Ujednolicone role RBAC odwołują się do co najmniej jednego zakresu (lub "Wszystkie").
  • Efektywna widoczność danych w chmurze i dozwolone akcje użytkownika są częścią wszystkich zakresów powiązanych z przypisanymi rolami.
  • Zmiany zakresu (dodawanie lub usuwanie środowisk) natychmiast zmieniają dostęp dla użytkowników korzystających z tego zakresu.
  • Minimalne uprawnienia: Stopień szczegółowości umożliwia zawężenie silnych uprawnień (na przykład odpowiedz lub zarządzaj) tylko do zamierzonych środowisk.

Wskazówki dotyczące planowania:

  • Zacznij od głównych granic organizacji lub regionu.
  • Zweryfikuj odpowiedzialność operacyjną i harmonogram przeglądów.
  • Wprowadzenie bardziej precyzyjnych zakresów tylko wtedy, gdy wymaga tego ryzyko, poufność lub zgodność.
  • Określenie celu i właściciela dla każdego zakresu, aby wspierać cykl życia i audyt.

Wymagania wstępne

  • Administrator globalny lub administrator zabezpieczeń (na potrzeby konfiguracji)
  • Dostęp do portalu usługi Microsoft Defender
  • Połączona chmura /DevOps / środowiska rejestru

1. Tworzenie zakresów chmury

Charakterystyka:

  • Nieograniczone zakresy
  • Zakres może obejmować wiele środowisk heterogenicznych
  • Środowisko może należeć do wielu zakresów
  • Członkostwo nie jest automatyczne; nowo połączone środowiska muszą zostać jawnie dodane

Utwórz zakres (za pomocą kreatora)

Wykonaj następujące kroki, aby utworzyć zakres chmury.

Nawigacja: w portalu usługi Defender przejdź do pozycji Uprawnienia > systemowe > Zakresy XDR > usługi Microsoft Defender.

  1. Wybierz pozycję Dodaj zakres chmury. Zrzut ekranu przedstawiający stronę Uprawnienia i role z wyróżnionym przyciskiem
  2. Wprowadź nazwę i opis.
    Zrzut ekranu przedstawiający krok tworzenia zakresu chmury, w którym wprowadzasz nazwę zakresu i opis.
  3. Wybierz elementy pierwotne środowiska (pojedynczo lub za pośrednictwem filtrów).
    Zrzut ekranu przedstawiający wybieranie elementów pierwotnych środowiska.
  4. Przejrzyj i zakończ.
    Zrzut ekranu przedstawiający ekran konfiguracji zakresu przeglądu chmury.

2. Aktywowanie zakresów chmury (jednorazowo)

Aby można było używać zakresów w przypisaniach ról, należy je aktywować za pomocą kreatora. W tym celu:

  • Wylicza istniejące ujednolicone role RBAC odwołujące się do źródeł danych usługi Microsoft Defender for Cloud
  • Umożliwia mapowanie tych ról na wybrane zakresy chmury
  • Wyróżnia uprawnienia do zarządzania /poufne (na przykład: akcje odpowiedzi)
  • Finalizuje aktywację (nieodwracalne; przyszłe zmiany w ramach normalnego zarządzania)

Wytyczne:

  • Utwórz co najmniej jeden zakres, jeśli żaden nie istnieje
  • Sprawdź, które role obejmują uprawnienia na poziomie zarządzania (te rozszerzają możliwości związane z maszyną wirtualną)
  • Zatwierdź, aby ukończyć aktywację

Jeśli nie istnieją jeszcze żadne grupy urządzeń ani ujednolicone role RBAC, kreator może zostać pominięty do momentu, gdy będzie potrzebny.

Kreator aktywacji i przypisania zbiorczego

  1. Po pojawieniu się powiadomienia na banerze wybierz opcję Aktywuj zakresy chmury aby uruchomić kreatora. Zrzut ekranu banera w górnej części ekranu Uprawnienia i role z wyróżnionym przyciskiem
  2. Ustaw uprawnienia dla ról przypisanych za pośrednictwem zakresów chmury. Zrzut ekranu przedstawiający ekran przypisywania ról do zakresu.
  3. Zakończ aktywowanie przypisania zakresów chmury. Zrzut ekranu przedstawiający ekran zatwierdzania aktywacji.

3. Definiowanie ujednoliconych ról i przypisań w systemie kontroli dostępu opartej na rolach (RBAC)

Wykonaj następujące kroki, aby uruchomić kreatora ról, który pozwala na definiowanie ujednoliconych ról i przypisań w ramach kontroli dostępu opartej na rolach (RBAC).

Nawigacja: w portalu usługi Defender przejdź do pozycji Uprawnienia > systemowe > Role XDR > w usłudze Microsoft Defender.

  1. Wybierz pozycję Utwórz rolę niestandardową.

  2. Wybierz nazwę i opis roli.

  3. Wybierz grupy uprawnień (wybierz jedną lub obie opcje):

    • Operacje zabezpieczeń: zdarzenia, alerty i spis chmury
    • Stan zabezpieczeń: zalecenia, zarządzanie lukami w zabezpieczeniach, ocena zabezpieczeń, funkcje ekspozycji/stanu Zrzut ekranu przedstawiający krok uprawnień tworzenia roli.

  4. Dodaj zadanie.

    • Przypisywanie użytkowników/grup
    • Wybierz źródła danych: Wszystkie / MDC / Zarządzanie ekspozycją (XSPM)
    • Wybierz opcję zakresu:
      • Wszystkie zakresy chmury
      • Niestandardowe (wybierz określone zakresy)

    Uwaga / Notatka

    Aby uzyskać dostęp do stanu, dołącz źródło danych: Zarządzanie ekspozycją (XSPM). Niektóre funkcje usługi Microsoft Defender for Cloud są dostępne w widokach zarządzania ekspozycjami.

    Zrzut ekranu przedstawiający ekran wyboru przypisywania użytkowników i źródła danych z wyróżnionym przyciskiem «Utwórz przypisanie». Zrzut ekranu przedstawiający ekran wyboru zakresu działania, na którym można wybrać zakresy chmury do uwzględnienia.

  5. Przejrzyj i zakończ.

4. Użyj filtrów zakresu i środowiska

Filtr zakresu (globalny)

Filtr zakresów (zakresy chmury i grupy urządzeń) jest zachowywany w następujących obszarach:

  • Zalecenia (zakładka Chmura / kontekst zakładki Urządzenia)
  • Inicjatywy
  • Zarządzanie lukami w zabezpieczeniach
  • Inwentaryzacja chmury
  • Przegląd chmury i dashboardy inicjatyw
  • Ścieżki ataku
  • Widok mapy

Zachowanie:

  • Użytkownicy widzą tylko wartości, dla których są autoryzowani
  • Filtrowanie grup urządzeń ma zastosowanie w przypadku, gdy dane skoncentrowane na urządzeniach są istotne
  • Środowiska mieszane stosują kategorię zakresu w zależności od kontekstu (na przykład: Rekomendacje: grupy urządzeń wpływają na zakładkę Urządzenia; zakresy chmury wpływają na zakładkę Chmura)

Aby uzyskać dostęp do filtru Zakres:

  1. Przejdź do pulpitu nawigacyjnego Omówienie usługi Defender for Cloud.
  2. Wybierz Filtr zakresu. Zrzut ekranu przedstawiający pulpit nawigacyjny Przegląd usługi Defender for Cloud z wyróżnionym linkiem akcji
  3. Zastosuj żądane filtry. Zrzut ekranu przedstawiający zachowanie filtrowania kontekstowego dla filtrów zakresów.

Filtr środowiska

Cel: Ten filtr umożliwia głębokie badanie, ograniczanie ryzyka i korygowanie fokusu.

Charakterystyka:

  • Dostępne w inicjatywach w chmurze, przegląd pulpitów nawigacyjnych, spisie chmury, zaleceniach dotyczących chmury
  • Pokazuje tylko dozwolone środowiska
  • Bez wybranego zakresu: wyświetla listę wszystkich dostępnych środowisk
  • Po wybraniu zakresu: ograniczone do członków tego zakresu
  • Kolejność zastosowania
    • Najpierw zakres, a następnie środowisko (uściślinie podzestawu)
    • Najpierw środowisko, a następnie zakres (zaznaczenie zakresu zastępuje poprzedni zestaw)

Aby uzyskać dostęp do filtru Środowisko:

  1. Przejdź do pulpitu nawigacyjnego Omówienie usługi Defender for Cloud.
  2. Wybierz pozycję Filtr środowiska. Zrzut ekranu przedstawiający pulpit nawigacyjny Przegląd usługi Defender for Cloud z wyróżnionym linkiem akcji Filtr środowiska.
  3. Zastosuj żądane filtry. Zrzut ekranu przedstawiający ekran wyboru filtru środowisk.

5. Bieżące zarządzanie

Po utworzeniu i aktywacji można wykonać następujące czynności:

  • Dodawanie/usuwanie środowisk z zakresów
  • Dostosowywanie przypisań ról
  • Audyt użycia (kto ma dostęp do zakresu uprawnień)
  • Okresowe przeglądanie uprawnień na poziomie zarządzania
  • Usuń przestarzałe zakresy, aby zmniejszyć złożoność

Najlepsze rozwiązania

Practice Uzasadnienie
Dopasowywanie zakresów do stabilnych granic biznesowych lub operacyjnych Zmniejsza odpływ klientów i przeprojektowanie
Użyj jasnych, opisowych nazw (BU-App-Region) Ułatwia inspekcję i delegowanie
Wymuszaj zasadę najmniejszych uprawnień Ogranicza strefę rażenia
Planowanie okresowych przeglądów dostępu Wykrywa dryf uprawnień
Cel i zakres oraz właściciel dokumentu Obsługuje zarządzanie cyklem życia
Unikaj nadmiernego nakładania się zakresów Minimalizuje złożoność i nakład pracy ewaluacyjnej

Obsługiwane elementy pierwotne środowiska (bieżące)

  • Konta platformy AWS
  • Konta główne platformy AWS
  • Subskrypcje platformy Azure
  • Projekty GCP
  • Organizacje usługi Azure DevOps
  • Organizacje usługi GitHub
  • Grupy GitLab
  • Organizacje usługi Docker Hub
  • Artefakt JFrog

(Dodatkowe elementy pierwotne, takie jak grupy zarządzania i planowane zasoby kontenera).

Zasoby przestawne (niezakresowe)

Niektóre typy zasobów pozostają widoczne globalnie (nie związane z zakresem) ze względu na model grafu lub brakujące zakotwiczenia hierarchiczne:

  • Microsoft Entra ID - użytkownicy i grupy
  • Użytkownicy i grupy GCP
  • Podmioty usługowe
  • Obrazy kontenerów
  • Adresy IP
  • Certificates
  • Klucze prywatne SSH
  • Sekrety i zarządzane tożsamości (niektóre mogą być możliwe do oszacowania, gdy dostępne będą identyfikatory zasobów)

Są one wyświetlane w spisie, ścieżkach ataków, mapach i powiązanych środowiskach ekspozycji dla wszystkich autoryzowanych użytkowników portalu.

Znane problemy & ograniczeniami

Area Ograniczenie/stan
Separacja modelu RBAC Ujednolicona kontrola dostępu oparta na rolach jest niezależna od kontroli dostępu opartej na rolach platformy Azure (należy skonfigurować oddzielnie).
Obsługa interfejsu API Portal dzisiaj wyłącznie dla operacji CRUD i przypisań; Interfejs API będzie dostępny wkrótce.
Wybór dynamiczny Reguły dołączania warunkowego/dynamicznego nie są jeszcze obsługiwane.
Filtrowanie w usłudze XDR (zdarzenia/alerty) Filtr zakresów globalnych nie jest w pełni zintegrowany; tylko częściowe dziedziczenie na poziomie tabeli.
Zasięg między doświadczeniami Niektóre zagregowane wyniki (na przykład: ocena ekspozycji, warianty wskaźnika bezpieczeństwa) mogą nie w pełni filtrować zakresu.
Ograniczenia wizualizacji Widoki zasobne honorują zakres, ale mogą ograniczać szczegóły powiązanych zasobów ze względu na ograniczenia uprawnień.
Przyszłe typy pierwotne Grupy zarządzania, planowane są dodatkowe prymitywy dla kontenerów/zasobów.

Najczęściej zadawane pytania

Q: Jak dziedziny chmury poprawiają koordynację operacyjną w poszczególnych jednostkach biznesowych?

Zakresy chmury zwiększają dopasowanie operacyjne między jednostkami biznesowymi, umożliwiając administratorom grupowanie zasobów zgodnie z wartością biznesową, funkcją lub strukturą organizacyjną. To docelowe grupowanie umożliwia dostosowaną kontrolę dostępu i widoczność, zapewniając, że każda jednostka biznesowa otrzymuje określone uprawnienia i nadzór, którego wymaga. W rezultacie zespoły mogą wydajnie działać w wyznaczonych środowiskach, podczas gdy administratorzy zachowują jasne granice i elastyczność podczas zarządzania zasobami wielochmurowymi. Takie podejście usprawnia operacje i obsługuje cele strategiczne w całej organizacji.

Q: Co to jest ujednolicony RBAC w portalu usługi Defender?

Ujednolicona kontrola dostępu oparta na rolach (ujednolicona kontrola dostępu oparta na rolach) to scentralizowany model uprawnień w portalu usługi Defender, który umożliwia administratorom zarządzanie dostępem użytkowników w wielu rozwiązaniach zabezpieczeń. Różni się ona od kontroli dostępu opartej na rolach platformy Azure i wymaga oddzielnej konfiguracji.

Co to są zakresy chmury?

Zakresy chmury to metoda określania zakresu z obsługą chmury, która umożliwia administratorom grupowanie zasobów według jednostek biznesowych, wartości lub funkcji strategicznych. Umożliwia to dostosowaną kontrolę dostępu i widoczność w środowiskach wielochmurowych.

Pytanie: Jak zarządzać zakresami chmurowymi?

Przejdź do: Karta Ustawienia → Uprawnienia → role XDR firmy Microsoft → Role → Zakresy chmury

Stamtąd możesz:

  • Tworzenie nieograniczonych zakresów
  • Uwzględnij wiele środowisk dla każdego zakresu
  • Przypisywanie środowisk do wielu zakresów
  • Zarządzanie zakresami przy użyciu pełnych uprawnień CRUD (tylko administrator globalny)

Jak aktywować i przypisać sfery chmurowe?

  • Użyj kreatora aktywacji do skonfigurowania uprawnień dla źródeł danych usługi Defender for Cloud
  • Przypisywanie ról do zakresów podczas tego procesu
  • Aktywacja jest jednorazową konfiguracją i musi zostać ukończona przed przypisaniem ról

Dlaczego nie mogę przypisać zakresów chmury do roli?

Aby włączyć zakresy chmury po raz pierwszy, należy skonfigurować uprawnienia dla ról skojarzonych ze źródłami danych usługi Defender for Cloud. Ten krok kontroluje również dostęp do udostępnionych zasobów, takich jak maszyny wirtualne za pośrednictwem grup urządzeń lub zakresu chmury. Rozpocznij od ukończenia procesu aktywacji, który prowadzi administratorów autoryzacji za pomocą konfiguracji kontroli dostępu opartej na rolach w ujednoliconym środowisku kontroli dostępu opartej na rolach. Zakresy chmury obowiązują dopiero po aktywacji.

Kto może zarządzać zakresami chmury?

Tylko administratorzy globalni mają pełne uprawnienia do zarządzania.

.: Jak działa ujednolicone przypisanie kontroli dostępu opartej na rolach?

  • Przypisywanie ról do określonych zakresów chmury
  • Uprawnienia są ograniczone do wybranych środowisk
  • Ujednolicona kontrola dostępu oparta na rolach nie jest przenoszona z platformy Azure; należy skonfigurować ją oddzielnie w portalu usługi Defender

Jak zjednoczona kontrola dostępu oparta na rolach różni się od kontroli dostępu platformy Azure pod względem szczegółowości uprawnień?

Ujednolicona kontrola dostępu oparta na rolach w portalu usługi Defender oferuje model uprawnień, który różni się od kontroli dostępu opartej na rolach platformy Azure, szczególnie pod względem stopnia szczegółowości uprawnień. Chociaż kontrola dostępu oparta na rolach platformy Azure zapewnia przypisania ról na poziomie zasobów platformy Azure i jest zarządzana za pośrednictwem scentralizowanej kontroli dostępu platformy Azure, ujednolicona kontrola dostępu oparta na rolach jest konfigurowana oddzielnie w portalu usługi Defender i umożliwia administratorom definiowanie uprawnień przeznaczonych specjalnie dla zasobów i akcji związanych z zabezpieczeniami w wielu rozwiązaniach usługi Defender. Umożliwia to bardziej ukierunkowaną kontrolę w środowisku usługi Defender, taką jak przypisywanie ról do określonych zakresów chmury lub środowisk, zamiast polegać na szerszej grupie zasobów platformy Azure lub granicach subskrypcji. W rezultacie ujednolicona kontrola dostępu oparta na rolach zapewnia administratorom elastyczność dostosowywania uprawnień zabezpieczeń z bardziej szczegółowymi poziomami dla użytkowników, którzy potrzebują dostępu do funkcji usługi Defender, niezależnie od ról kontroli dostępu opartej na rolach platformy Azure.

Jakie są konsekwencje przypisywania ról w różnych zakresach chmury?

Przypisywanie ról w wielu zakresach chmury umożliwia użytkownikom uzyskiwanie dostępu do zasobów i wykonywanie akcji we wszystkich środowiskach uwzględnionych w tych zakresach. Takie podejście umożliwia administratorom dostosowanie uprawnień dla użytkowników, którzy potrzebują widoczności lub kontroli nad kilkoma jednostkami biznesowymi lub obszarami strategicznymi. Zwiększa to jednak również znaczenie starannego zarządzania definicjami zakresu i przypisaniami ról, aby zapobiec niepotrzebnemu dostępowi. Nakładające się zakresy mogą prowadzić do złożonych modeli uprawnień, dlatego ważne jest regularne przeglądanie i przeprowadzanie inspekcji przypisań w celu zapewnienia, że użytkownicy mają tylko wymagany dostęp. Efektywne zarządzanie pomaga zachować granice zabezpieczeń i przejrzystość operacyjną.

.: Jakie kryteria należy użyć do efektywnego definiowania zakresów chmury?

Zakresy chmury można wykorzystać do odzwierciedlenia hierarchii i struktury organizacyjnej. Można je konfigurować w elastyczny sposób, aby obsługiwać różne kryteria, takie jak: jednostka biznesowa lub funkcja, wartość zasobu i czułość, jednostka operacyjna według lokalizacji geograficznej, jednostka aplikacji i inne.

Dalsze kroki

Zakresy chmury i ujednolicona kontrola dostępu oparta na rolach (RBAC) (widok portalu Azure)

Zarządzanie pełnym cyklem życia (tworzenie, członkostwo, zaawansowane filtrowanie, przypisania z wieloma chmurami) odbywa się w portalu usługi Microsoft Defender. W witrynie Azure Portal nadal można wykonywać następujące czynności:

  • Wyświetlanie przypisań RBAC platformy Azure na poziomie subskrypcji lub grupy zasobów
  • Zarządzanie klasycznym modelem dostępu do zasobów usługowych Azure

Aby uzyskać kompleksowe zakresy chmury i ujednoliconą administrację RBAC, użyj portalu usługi Defender.

Uwaga / Notatka

Zrozumienie uprawnień w usłudze Defender i na platformie Azure
Usługa Defender używa kontroli dostępu na podstawie ról (Unified Role-Based Access Control), która jest oddzielona od kontroli dostępu opartej na rolach platformy Azure.

  • Kontrola dostępu oparta na rolach platformy Azure kontroluje dostęp na poziomie zasobów platformy Azure (subskrypcje, grupy zasobów).
  • Funkcja uRBAC zapewnia bardziej szczegółowe uprawnienia w portalu usługi Defender, umożliwiając przypisywanie ról dla określonych akcji zabezpieczeń i zakresów chmury w ramach rozwiązań usługi Defender.

Oznacza to, że uprawnienia w usłudze Defender są dostosowane do zadań zabezpieczeń i nie zależą od ról RBAC platformy Azure.

Ważny: Użytkownicy będą wymagać dwóch oddzielnych uprawnień: istniejących uprawnień RBAC platformy Azure, a także dodatkowej roli RBAC. Oprócz istniejących uprawnień Azure RBAC należy zapewnić użytkownikom nową rolę uRBAC, aby przyznać im dostęp do nowego portalu.

  • Last updated on