Microsoft Defender per identità gruppi di ruoli

Microsoft Defender per identità offre sicurezza basata sui ruoli per proteggere i dati in base alle esigenze specifiche di sicurezza e conformità dell'organizzazione. È consigliabile usare i gruppi di ruoli per gestire l'accesso a Defender per identità, separando le responsabilità del team di sicurezza e concedendo solo la quantità di accesso necessaria agli utenti per svolgere il proprio lavoro.

Controllo degli accessi in base al ruolo unificato

Anche gli utenti che sono già amministratori globali o amministratori della sicurezza nell'ID Microsoft Entra del tenant vengono automaticamente amministratore di Defender per identità. Gli amministratori globali e della sicurezza di Microsoft Entra non hanno bisogno di autorizzazioni aggiuntive per accedere a Defender per identità.

Per altri utenti, abilitare e usare il controllo degli accessi in base al ruolo (RBAC) di Microsoft 365 per creare ruoli personalizzati e per supportare più ruoli ENTRA ID, ad esempio Operatore di sicurezza o Lettore di sicurezza per impostazione predefinita, per gestire l'accesso a Defender per identità.

Quando si creano i ruoli personalizzati, assicurarsi di applicare le autorizzazioni elencate nella tabella seguente:

Livello di accesso a Defender per identità Autorizzazioni minime necessarie per il controllo degli accessi in base al ruolo unificato di Microsoft 365
Amministratori - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Utenti - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Visualizzatori - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Per altre informazioni, vedere Ruoli personalizzati nel controllo degli accessi in base al ruolo per Microsoft Defender XDR e Creare ruoli personalizzati con Controllo degli accessi in base al ruolo unificato di Microsoft Defender XDR.

Nota

Le informazioni incluse nel log attività delle app di Defender per il cloud possono comunque contenere dati di Defender per identità. Questo contenuto è conforme alle autorizzazioni esistenti per le app di Defender per il cloud.

Eccezione: se è stata configurata la distribuzione con ambito per gli avvisi di Microsoft Defender per identità nel portale delle app di Microsoft Defender per il cloud, queste autorizzazioni non vengono eseguite e sarà necessario concedere in modo esplicito le autorizzazioni Operazioni di sicurezza \ Dati di sicurezza \ Informazioni di base sui dati di sicurezza (lettura) per il portale pertinente Gli utenti.

Autorizzazioni necessarie defender per identità in Microsoft Defender XDR

La tabella seguente illustra in dettaglio le autorizzazioni specifiche necessarie per le attività di Defender per identità in Microsoft Defender XDR.

Importante

Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Impegno Autorizzazioni meno necessarie
Eseguire l'onboarding di Defender per identità (creare un'area di lavoro) Amministratore della sicurezza
Configurare le impostazioni di Defender per identità Uno dei ruoli seguenti di Microsoft Entra:
- Amministratore della sicurezza
- Operatore per la sicurezza
Or
Le autorizzazioni controllo degli accessi in base al ruolo unificate seguenti:
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Visualizzare le impostazioni di Defender per identità Uno dei ruoli seguenti di Microsoft Entra:
- Ruolo con autorizzazioni di lettura globali
- Ruolo con autorizzazioni di lettura per la sicurezza
Or
Le autorizzazioni controllo degli accessi in base al ruolo unificate seguenti:
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Gestire avvisi e attività di sicurezza di Defender per identità Uno dei ruoli seguenti di Microsoft Entra:
- Operatore per la sicurezza
Or
Le autorizzazioni controllo degli accessi in base al ruolo unificate seguenti:
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Visualizzare le valutazioni della sicurezza di Defender per identità
(ora parte di Microsoft Secure Score)
Autorizzazioni per accedere a Microsoft Secure Score
And
Le autorizzazioni controllo degli accessi in base al ruolo unificate seguenti:Security operations/Security data /Security data basics (Read)
Visualizzare la pagina Asset/Identità Autorizzazioni per accedere alle app di Defender per il cloud
Or
Uno dei ruoli di Microsoft Entra richiesti da Microsoft Defender XDR
Eseguire azioni di risposta di Defender per identità Un ruolo personalizzato definito con le autorizzazioni per Response (manage)
Or
Uno dei ruoli seguenti di Microsoft Entra:
- Operatore per la sicurezza

Gruppi di sicurezza di Defender per identità

Defender per identità offre i gruppi di sicurezza seguenti per gestire l'accesso alle risorse di Defender per identità:

  • Amministratori di Azure ATP (nome area di lavoro)
  • Utenti di Azure ATP (nome area di lavoro)
  • Visualizzatori di Azure ATP (nome area di lavoro)

Nella tabella seguente sono elencate le attività disponibili per ogni gruppo di sicurezza:

Impegno Amministratori di Azure ATP (nome area di lavoro) Utenti di Azure ATP (nome area di lavoro) Visualizzatori di Azure ATP (nome area di lavoro)
Modificare lo stato del problema di integrità Disponibile Non disponibile Non disponibile
Modificare lo stato dell'avviso di sicurezza (riaprire, chiudere, escludere, eliminare) Disponibile Disponibile Non disponibile
Eliminare l'area di lavoro Disponibile Non disponibile Non disponibile
Scaricare un report Disponibile Disponibile Disponibile
Accedere Disponibile Disponibile Disponibile
Condividere/esportare gli avvisi di sicurezza (tramite posta elettronica, ottenere un collegamento, scaricare i dettagli) Disponibile Disponibile Disponibile
Aggiornare la configurazione di Defender per identità (aggiornamenti) Disponibile Non disponibile Non disponibile
Configurazione di Update Defender per identità (tag di entità, inclusi i tag sensibili e honeytoken) Disponibile Disponibile Non disponibile
Configurazione di Update Defender per identità (esclusioni) Disponibile Disponibile Non disponibile
Aggiornare la configurazione di Defender per identità (lingua) Disponibile Disponibile Non disponibile
Aggiornare la configurazione di Defender per identità (notifiche, inclusi posta elettronica e syslog) Disponibile Disponibile Non disponibile
Aggiornare la configurazione di Defender per identità (rilevamenti in anteprima) Disponibile Disponibile Non disponibile
Aggiornare la configurazione di Defender per identità (report pianificati) Disponibile Disponibile Non disponibile
Aggiornare la configurazione di Defender per identità (origini dati, inclusi i servizi directory, SIEM, VPN, Defender per endpoint) Disponibile Non disponibile Non disponibile
Configurazione di Update Defender per identità (gestione dei sensori, incluso il download di software, rigenerazione delle chiavi, configurazione, eliminazione) Disponibile Non disponibile Non disponibile
Visualizzare i profili di entità e gli avvisi di sicurezza Disponibile Disponibile Disponibile

Aggiungere e rimuovere utenti

Defender per identità usa i gruppi di sicurezza Di Microsoft Entra come base per i gruppi di ruoli.

Gestire i gruppi di ruoli dalla pagina Gestione gruppi nella portale di Azure. Solo gli utenti di Microsoft Entra possono essere aggiunti o rimossi dai gruppi di sicurezza.

Passaggio successivo