Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Jeśli korzystasz z programu w wersji zapoznawczej Microsoft Defender XDR, możesz teraz zapoznać się z nowym modelem ujednoliconej kontroli dostępu na podstawie ról (RBAC) Microsoft Defender 365. Aby uzyskać więcej informacji, zobacz Microsoft Defender 365 Ujednolicona kontrola dostępu oparta na rolach (RBAC).
Ważna
Od 16 lutego 2025 r. nowi klienci Ochrona punktu końcowego w usłudze Microsoft Defender będą mieli dostęp tylko do ujednoliconej Role-Based Access Control (URBAC). Istniejący klienci zachowują bieżące role i uprawnienia. Aby uzyskać więcej informacji, zobacz URBAC Unified Role-Based Access Control (URBAC) for Ochrona punktu końcowego w usłudze Microsoft Defender
Za pomocą kontroli dostępu opartej na rolach (RBAC) można tworzyć role i grupy w ramach zespołu operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do portalu. Na podstawie utworzonych ról i grup masz szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i robić.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Duże zespoły ds. operacji zabezpieczeń rozproszonych geograficznie zwykle przyjmują model oparty na warstwach w celu przypisywania i autoryzowania dostępu do portali zabezpieczeń. Typowe warstwy obejmują następujące trzy poziomy:
| Warstwy | Opis |
|---|---|
| Warstwa 1 |
Lokalny zespół ds. operacji zabezpieczeń / zespół IT Ten zespół zwykle klasyfikacji i bada alerty zawarte w ich geolokalizacji i eskaluje do warstwy 2 w przypadkach, gdy jest wymagane aktywne korygowanie. |
| Warstwa 2 |
Regionalny zespół ds. operacji zabezpieczeń Ten zespół może wyświetlić wszystkie urządzenia dla swojego regionu i wykonać akcje korygowania. |
| Warstwa 3 |
Globalny zespół ds. operacji zabezpieczeń Ten zespół składa się z ekspertów w dziedzinie zabezpieczeń i ma uprawnienia do wyświetlenia i wykonania wszystkich akcji z portalu. |
Uwaga
W przypadku zasobów warstwy 0 zapoznaj się z tematem Privileged Identity Management dla administratorów zabezpieczeń, aby zapewnić bardziej szczegółową kontrolę nad Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender XDR.
Funkcja RBAC usługi Defender for Endpoint jest przeznaczona do obsługi wybranego modelu warstwowego lub opartego na rolach i zapewnia szczegółową kontrolę nad rolami, do których mogą uzyskiwać dostęp, oraz akcjami, które mogą wykonywać. Struktura RBAC koncentruje się wokół następujących kontrolek:
-
Kontrolowanie, kto może podjąć określone działania
- Tworzenie ról niestandardowych i kontrolowanie możliwości usługi Defender for Endpoint, do których mogą uzyskiwać dostęp ze szczegółowością.
-
Kontrolowanie, kto może wyświetlać informacje o określonej grupie lub grupach urządzeń
Utwórz grupy urządzeń według określonych kryteriów, takich jak nazwy, tagi, domeny i inne, a następnie przyznaj im dostęp do roli przy użyciu określonej grupy użytkowników Microsoft Entra.
Uwaga
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Aby zaimplementować dostęp oparty na rolach, należy zdefiniować role administratora, przypisać odpowiednie uprawnienia i przypisać Microsoft Entra grup użytkowników przypisanych do ról.
Przed rozpoczęciem
Przed użyciem kontroli dostępu opartej na rolach ważne jest zrozumienie ról, które mogą udzielać uprawnień, oraz konsekwencji włączenia kontroli dostępu opartej na rolach.
Ostrzeżenie
Przed włączeniem tej funkcji ważne jest, aby mieć odpowiednią rolę, taką jak administrator zabezpieczeń przypisany Microsoft Entra identyfikatorze, oraz aby grupy Microsoft Entra były gotowe do zmniejszenia ryzyka zablokowania portalu.
Po pierwszym zalogowaniu się do portalu Microsoft Defender otrzymasz pełny dostęp lub dostęp tylko do odczytu. Pełne prawa dostępu są przyznawane użytkownikom z rolą administratora zabezpieczeń w Microsoft Entra identyfikatorze. Dostęp tylko do odczytu jest przyznawany użytkownikom z rolą Czytelnik zabezpieczeń w Microsoft Entra identyfikatorze.
Osoba z rolą administratora globalnego usługi Defender for Endpoint ma nieograniczony dostęp do wszystkich urządzeń, niezależnie od skojarzenia grupy urządzeń i Microsoft Entra przypisań grup użytkowników.
Ostrzeżenie
Początkowo tylko osoby z uprawnieniami administratora globalnego Microsoft Entra lub administratora zabezpieczeń mogą tworzyć i przypisywać role w portalu Microsoft Defender, dlatego przygotowanie odpowiednich grup w identyfikatorze Microsoft Entra jest ważne.
Włączenie kontroli dostępu opartej na rolach powoduje, że użytkownicy z uprawnieniami tylko do odczytu (na przykład użytkownicy przypisani do roli czytelnika Microsoft Entra Zabezpieczenia) utracą dostęp do momentu przypisania ich do roli.
Użytkownikom z uprawnieniami administratora jest automatycznie przypisywana domyślna wbudowana rola administratora globalnego usługi Defender for Endpoint z pełnymi uprawnieniami. Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach można przypisać więcej użytkowników, którzy nie są Microsoft Entra administratorów globalnych lub administratorów zabezpieczeń, do roli administratora globalnego punktu końcowego usługi Defender for Endpoint.
Po wybraniu opcji korzystania z kontroli dostępu opartej na rolach nie można przywrócić początkowych ról, tak jak podczas pierwszego logowania w portalu.
Powiązany artykuł
- Role RBAC
- Tworzenie grup urządzeń i zarządzanie nimi w Ochrona punktu końcowego w usłudze Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.