Administración del acceso al portal mediante el control de acceso basado en rol

Nota:

Si ejecuta el programa de versión preliminar XDR de Microsoft Defender, ahora puede experimentar el nuevo modelo de control de acceso basado en rol unificado (RBAC) de Microsoft Defender 365. Para obtener más información, consulte Control de acceso unificado basado en rol (RBAC) de Microsoft Defender 365.

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Con el control de acceso basado en rol (RBAC), puede crear roles y grupos dentro del equipo de operaciones de seguridad para conceder el acceso adecuado al portal. En función de los roles y grupos que cree, tiene un control específico sobre lo que los usuarios con acceso al portal pueden ver y hacer.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Los equipos de operaciones de seguridad distribuidas geográficamente de gran tamaño suelen adoptar un modelo basado en niveles para asignar y autorizar el acceso a los portales de seguridad. Los niveles típicos incluyen los tres niveles siguientes:

Nivel Descripción
Nivel 1 Equipo de operaciones de seguridad local/equipo de TI
Este equipo suele evaluar e investigar las alertas contenidas en su geolocalización y se escala al nivel 2 en los casos en los que se requiere una corrección activa.
Nivel 2 Equipo de operaciones de seguridad regional
Este equipo puede ver todos los dispositivos de su región y realizar acciones de corrección.
Nivel 3 Equipo de operaciones de seguridad global
Este equipo está formado por expertos en seguridad y está autorizado para ver y realizar todas las acciones desde el portal.

Nota:

En el caso de los recursos de nivel 0, consulte Privileged Identity Management para administradores de seguridad para proporcionar un control más pormenorizado de Microsoft Defender para punto de conexión y XDR de Microsoft Defender.

RBAC de Defender para punto de conexión está diseñado para admitir el modelo de nivel o basado en rol que prefiera y proporciona un control pormenorizado sobre qué roles pueden ver, los dispositivos a los que pueden acceder y las acciones que pueden realizar. El marco de RBAC se centra en los siguientes controles:

  • Controlar quién puede realizar una acción específica
    • Cree roles personalizados y controle a qué funcionalidades de Defender para punto de conexión pueden acceder con granularidad.
  • Controlar quién puede ver información sobre grupos o grupos de dispositivos específicos
    • Cree grupos de dispositivos por criterios específicos, como nombres, etiquetas, dominios y otros, y, a continuación, concédales acceso de rol mediante un grupo de usuarios específico de Microsoft Entra.

      Nota:

      La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Para implementar el acceso basado en roles, deberá definir roles de administrador, asignar los permisos correspondientes y asignar grupos de usuarios de Microsoft Entra asignados a los roles.

Antes de empezar

Antes de usar RBAC, es importante que comprenda los roles que pueden conceder permisos y las consecuencias de activar RBAC.

Advertencia

Antes de habilitar la característica, es importante que tenga un rol de administrador global o administrador de seguridad en el identificador de Microsoft Entra y que tenga los grupos de Microsoft Entra listos para reducir el riesgo de que se bloquee el portal.

La primera vez que inicie sesión en el portal de Microsoft Defender, se le concederá acceso completo o acceso de solo lectura. Los derechos de acceso completo se conceden a los usuarios con roles de administrador de seguridad o administrador global en Microsoft Entra ID. El acceso de solo lectura se concede a los usuarios con un rol lector de seguridad en Microsoft Entra ID.

Alguien con un rol de administrador global de Defender para punto de conexión tiene acceso sin restricciones a todos los dispositivos, independientemente de su asociación de grupos de dispositivos y de las asignaciones de grupos de usuarios de Microsoft Entra.

Advertencia

Inicialmente, solo los usuarios con derechos de administrador global o administrador de seguridad de Microsoft Entra pueden crear y asignar roles en el portal de Microsoft Defender; por lo tanto, es importante tener los grupos adecuados listos en Microsoft Entra ID.

Al activar el control de acceso basado en rol, los usuarios con permisos de solo lectura (por ejemplo, los usuarios asignados al rol de lector de Seguridad de Microsoft Entra) pierden el acceso hasta que se asignan a un rol.

A los usuarios con permisos de administrador se les asigna automáticamente el rol de administrador global integrado predeterminado de Defender para punto de conexión con permisos completos. Después de participar en el uso de RBAC, puede asignar usuarios adicionales que no sean administradores globales de Microsoft Entra o administradores de seguridad al rol De administrador global de Defender para punto de conexión.

Después de participar en el uso de RBAC, no puede revertir a los roles iniciales como cuando inició sesión por primera vez en el portal.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.