Verwalten des Portalzugriffs mithilfe der rollenbasierten Zugriffssteuerung

Hinweis

Wenn Sie das Microsoft Defender XDR-Vorschauprogramm ausführen, können Sie jetzt das neue Microsoft Defender 365 Unified RBAC-Modell (Role-Based Access Control) erleben. Weitere Informationen finden Sie unter Microsoft Defender 365 Unified Role-Based Access Control (RBAC).

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie Rollen und Gruppen innerhalb Ihres Sicherheitsbetriebsteams erstellen, um entsprechenden Zugriff auf das Portal zu gewähren. Basierend auf den von Ihnen erstellten Rollen und Gruppen haben Sie eine differenzierte Kontrolle darüber, was Benutzer mit Zugriff auf das Portal sehen und tun können.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Große geografisch verteilte Sicherheitsteams verwenden in der Regel ein tierbasiertes Modell, um den Zugriff auf Sicherheitsportale zuzuweisen und zu autorisieren. Typische Ebenen umfassen die folgenden drei Ebenen:

Tier Beschreibung
Ebene 1 Lokales Sicherheitsbetriebsteam/IT-Team
Dieses Team selektiert und untersucht in der Regel Warnungen, die in seiner Geolocation enthalten sind, und eskaliert in Fällen, in denen eine aktive Korrektur erforderlich ist, auf Ebene 2.
Ebene 2 Regionales Sicherheitsbetriebsteam
Dieses Team kann alle Geräte für seine Region anzeigen und Korrekturaktionen ausführen.
Ebene 3 Globales Sicherheitsbetriebsteam
Dieses Team besteht aus Sicherheitsexperten und ist berechtigt, alle Aktionen über das Portal anzuzeigen und auszuführen.

Hinweis

Informationen zu Ressourcen der Ebene 0 finden Sie unter Privileged Identity Management für Sicherheitsadministratoren, um eine präzisere Steuerung von Microsoft Defender für Endpunkt und Microsoft Defender XDR zu ermöglichen.

Defender für Endpunkt-RBAC ist so konzipiert, dass sie Ihr tier- oder rollenbasiertes Modell Ihrer Wahl unterstützt und bietet Ihnen eine präzise Kontrolle darüber, welche Rollen angezeigt werden können, auf welche Geräte sie zugreifen können und welche Aktionen sie ausführen können. Das RBAC-Framework zentriert sich um die folgenden Steuerelemente:

  • Steuern, wer bestimmte Maßnahmen ergreifen kann
    • Erstellen Sie benutzerdefinierte Rollen, und steuern Sie, auf welche Defender für Endpunkt-Funktionen sie mit Granularität zugreifen können.
  • Steuern, wer Informationen zu bestimmten Gerätegruppen oder -gruppen anzeigen kann
    • Erstellen Sie Gerätegruppen nach bestimmten Kriterien wie Namen, Tags, Domänen und anderen, und gewähren Sie ihnen dann Rollenzugriff mithilfe einer bestimmten Microsoft Entra-Benutzergruppe.

      Hinweis

      Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

Zum Implementieren des rollenbasierten Zugriffs müssen Sie Administratorrollen definieren, entsprechende Berechtigungen zuweisen und Den Rollen zugewiesene Microsoft Entra-Benutzergruppen zuweisen.

Bevor Sie beginnen

Vor der Verwendung von RBAC ist es wichtig, dass Sie die Rollen kennen, die Berechtigungen erteilen können, und die Folgen der Aktivierung von RBAC.

Warnung

Bevor Sie das Feature aktivieren, ist es wichtig, dass Sie über die Rolle "Globaler Administrator" oder "Sicherheitsadministrator" in Microsoft Entra ID verfügen und Dass Ihre Microsoft Entra-Gruppen bereit sind, um das Risiko einer Sperrung aus dem Portal zu verringern.

Wenn Sie sich zum ersten Mal beim Microsoft Defender-Portal anmelden, erhalten Sie entweder Vollzugriff oder schreibgeschützten Zugriff. Vollzugriffsrechte werden Benutzern mit der Rolle "Sicherheitsadministrator" oder "Globaler Administrator" in Microsoft Entra ID gewährt. Benutzern mit der Rolle "Sicherheitsleseberechtigter" in Microsoft Entra ID wird schreibgeschützter Zugriff gewährt.

Eine Person mit der Rolle "Globaler Defender für Endpunktadministrator" hat uneingeschränkten Zugriff auf alle Geräte, unabhängig von ihrer Gerätegruppenzuordnung und den Microsoft Entra-Benutzergruppenzuweisungen.

Warnung

Anfänglich können nur Personen mit den Rechten "Globaler Microsoft Entra-Administrator" oder "Sicherheitsadministrator" Rollen im Microsoft Defender-Portal erstellen und zuweisen. Daher ist es wichtig, die richtigen Gruppen in Microsoft Entra ID bereit zu haben.

Das Aktivieren der rollenbasierten Zugriffssteuerung führt dazu, dass Benutzer mit schreibgeschützten Berechtigungen (z. B. Benutzer, die der Rolle "Microsoft Entra Security-Leser" zugewiesen sind) den Zugriff verlieren, bis sie einer Rolle zugewiesen sind.

Benutzern mit Administratorberechtigungen wird automatisch die standardmäßige integrierte Rolle "Globaler Defender für Endpunktadministrator" mit vollständigen Berechtigungen zugewiesen. Nachdem Sie sich für die Verwendung von RBAC angemeldet haben, können Sie zusätzliche Benutzer, die keine globalen Microsoft Entra-Administratoren oder Sicherheitsadministratoren sind, der Rolle "Globaler Defender für Endpunktadministrator" zuweisen.

Nachdem Sie sich für die Verwendung von RBAC angemeldet haben, können Sie die anfänglichen Rollen nicht wie bei der ersten Anmeldung beim Portal wiederherstellen.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.