Assegnare ruoli e autorizzazioni per la distribuzione Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Il passaggio successivo durante la distribuzione di Defender per endpoint consiste nell'assegnare ruoli e autorizzazioni per la distribuzione di Defender per endpoint.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Controllo dell'accesso basato sui ruoli
Microsoft consiglia di usare il concetto di privilegi minimi. Defender per endpoint sfrutta i ruoli predefiniti all'interno di Microsoft Entra ID. Esaminare i diversi ruoli disponibili e scegliere quello giusto per risolvere le esigenze di ogni persona per questa applicazione. Alcuni ruoli potrebbero dover essere applicati temporaneamente e rimossi dopo il completamento della distribuzione.
Microsoft consiglia di usare Privileged Identity Management per gestire i ruoli per fornire controllo, controllo e verifica di accesso aggiuntivi per gli utenti con autorizzazioni di directory.
Defender per endpoint supporta due modi per gestire le autorizzazioni:
Gestione delle autorizzazioni di base: impostare le autorizzazioni su accesso completo o sola lettura. Gli utenti con un ruolo, ad esempio Amministratore della sicurezza in Microsoft Entra ID hanno accesso completo. Il ruolo Lettore di sicurezza ha accesso in sola lettura e non concede l'accesso alla visualizzazione di computer/inventario dei dispositivi.
Controllo degli accessi in base al ruolo: impostare autorizzazioni granulari definendo i ruoli, assegnando Microsoft Entra gruppi di utenti ai ruoli e concedendo ai gruppi di utenti l'accesso ai gruppi di dispositivi. Per altre informazioni. Vedere Gestire l'accesso al portale usando il controllo degli accessi in base al ruolo.
Microsoft consiglia di sfruttare il controllo degli accessi in base al ruolo per garantire che solo gli utenti con una giustificazione aziendale possano accedere a Defender per endpoint.
Per informazioni dettagliate sulle linee guida sulle autorizzazioni, vedere Creare ruoli e assegnare il ruolo a un gruppo di Microsoft Entra.
La tabella di esempio seguente consente di identificare la struttura del Cyber Defense Operations Center nell'ambiente che consente di determinare la struttura del controllo degli accessi in base al ruolo necessaria per l'ambiente.
Livello | Descrizione | Autorizzazioni necessarie |
---|---|---|
Livello 1 |
Team locale delle operazioni di sicurezza/Team IT Questo team in genere analizza e analizza gli avvisi contenuti nella georilevazione e passa al livello 2 nei casi in cui è necessaria una correzione attiva. |
Visualizza dati |
Livello 2 |
Team regionale delle operazioni di sicurezza Questo team può visualizzare tutti i dispositivi per la propria area ed eseguire azioni di correzione. |
Visualizza dati Analisi degli avvisi Azioni di correzione attive |
Livello 3 |
Team globale delle operazioni di sicurezza Questo team è costituito da esperti di sicurezza ed è autorizzato a visualizzare ed eseguire tutte le azioni dal portale. |
Visualizza dati Analisi degli avvisi Azioni di correzione attive Gestire le impostazioni di sistema del portale Gestire le impostazioni di sicurezza |
Passaggio successivo
Dopo aver assegnato ruoli e autorizzazioni per visualizzare e gestire Defender per endpoint, è il momento del passaggio 3: identificare l'architettura e scegliere il metodo di distribuzione.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.