Gestire l'accesso al portale usando il controllo degli accessi in base al ruolo

Nota

Se si esegue il programma di anteprima di Microsoft Defender XDR, è ora possibile provare il nuovo modello di controllo degli accessi in base al ruolo (RBAC) unificato di Microsoft Defender 365. Per altre informazioni, vedere Controllo degli accessi in base al ruolo unificato di Microsoft Defender 365.

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Usando il controllo degli accessi in base al ruolo, è possibile creare ruoli e gruppi all'interno del team delle operazioni di sicurezza per concedere l'accesso appropriato al portale. In base ai ruoli e ai gruppi creati, si dispone di un controllo granulare sulle operazioni che gli utenti con accesso al portale possono visualizzare e fare.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

I team di operazioni di sicurezza con distribuzione geografica di grandi dimensioni adottano in genere un modello basato su livelli per assegnare e autorizzare l'accesso ai portali di sicurezza. I livelli tipici includono i tre livelli seguenti:

Livello Descrizione
Livello 1 Team locale delle operazioni di sicurezza/Team IT
Questo team in genere analizza e analizza gli avvisi contenuti nella georilevazione e passa al livello 2 nei casi in cui è necessaria una correzione attiva.
Livello 2 Team regionale delle operazioni di sicurezza
Questo team può visualizzare tutti i dispositivi per la propria area ed eseguire azioni di correzione.
Livello 3    Team globale delle operazioni di sicurezza
Questo team è costituito da esperti di sicurezza e sono autorizzati a visualizzare ed eseguire tutte le azioni dal portale.

Nota

Per gli asset di livello 0, vedere Privileged Identity Management per gli amministratori della sicurezza per fornire un controllo più granulare di Microsoft Defender per endpoint e Microsoft Defender XDR.

Il controllo degli accessi in base al ruolo di Defender per endpoint è progettato per supportare il modello di livello o di ruolo preferito e offre un controllo granulare su quali ruoli possono essere visualizzati, sui dispositivi a cui possono accedere e sulle azioni che possono eseguire. Il framework controllo degli accessi in base al ruolo è incentrato sui controlli seguenti:

  • Controllare chi può intraprendere un'azione specifica
    • Creare ruoli personalizzati e controllare le funzionalità di Defender per endpoint a cui possono accedere con granularità.
  • Controllare chi può visualizzare informazioni su gruppi o gruppi di dispositivi specifici
    • Creare gruppi di dispositivi in base a criteri specifici, ad esempio nomi, tag, domini e altri, quindi concedere loro l'accesso ai ruoli usando un gruppo di utenti di Microsoft Entra specifico.

      Nota

      La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Per implementare l'accesso in base al ruolo, è necessario definire i ruoli di amministratore, assegnare le autorizzazioni corrispondenti e assegnare i gruppi di utenti di Microsoft Entra assegnati ai ruoli.

Prima di iniziare

Prima di usare il controllo degli accessi in base al ruolo, è importante comprendere i ruoli che possono concedere le autorizzazioni e le conseguenze dell'attivazione del controllo degli accessi in base al ruolo.

Avviso

Prima di abilitare la funzionalità, è importante avere un ruolo amministratore globale o amministratore della sicurezza in Microsoft Entra ID e che i gruppi di Microsoft Entra siano pronti per ridurre il rischio di blocco fuori dal portale.

Quando si accede per la prima volta al portale di Microsoft Defender, viene concesso l'accesso completo o di sola lettura. I diritti di accesso completo vengono concessi agli utenti con ruoli amministratore della sicurezza o amministratore globale in Microsoft Entra ID. L'accesso in sola lettura viene concesso agli utenti con un ruolo di lettore di sicurezza in Microsoft Entra ID.

Un utente con un ruolo di amministratore globale di Defender per endpoint ha accesso illimitato a tutti i dispositivi, indipendentemente dall'associazione dei gruppi di dispositivi e dalle assegnazioni dei gruppi di utenti di Microsoft Entra.

Avviso

Inizialmente, solo quelli con diritti di amministratore globale o amministratore della sicurezza di Microsoft Entra possono creare e assegnare ruoli nel portale di Microsoft Defender; pertanto, è importante avere i gruppi corretti pronti in Microsoft Entra ID.

Se si attiva il controllo degli accessi in base al ruolo, gli utenti con autorizzazioni di sola lettura ,ad esempio gli utenti assegnati al ruolo lettore di Microsoft Entra Security, perdono l'accesso fino a quando non vengono assegnati a un ruolo.

Agli utenti con autorizzazioni di amministratore viene assegnato automaticamente il ruolo predefinito di amministratore globale di Defender per endpoint con autorizzazioni complete. Dopo aver acconsentto esplicitamente all'uso del controllo degli accessi in base al ruolo, è possibile assegnare altri utenti che non sono amministratori globali o amministratori della sicurezza di Microsoft Entra al ruolo Amministratore globale di Defender per endpoint.

Dopo aver acconsentto esplicitamente all'uso del controllo degli accessi in base al ruolo, non è possibile ripristinare i ruoli iniziali come quando si è connessi per la prima volta al portale.

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.