Microsoft Defender za identitet rollgrupper
Microsoft Defender za identitet erbjuder rollbaserad säkerhet för att skydda data enligt organisationens specifika säkerhets- och efterlevnadsbehov. Vi rekommenderar att du använder rollgrupper för att hantera åtkomsten till Defender for Identity, dela upp ansvarsområden i säkerhetsteamet och endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb.
Enhetlig rollbaserad åtkomstkontroll (RBAC)
Användare som redan är globala administratörer eller säkerhetsadministratörer på klientorganisationens Microsoft Entra-ID är också automatiskt Defender för identitetsadministratör. Microsoft Entra Globala administratörer och säkerhetsadministratörer behöver inte extra behörigheter för att få åtkomst till Defender för identitet.
För andra användare aktiverar och använder du rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) för att skapa anpassade roller och för att stödja fler Entra-ID-roller som säkerhetsoperator eller säkerhetsläsare som standard för att hantera åtkomst till Defender for Identity.
När du skapar dina anpassade roller kontrollerar du att du använder de behörigheter som anges i följande tabell:
| Åtkomstnivå för Defender för identitet | Minsta nödvändiga Microsoft 365-enhetliga RBAC-behörigheter |
|---|---|
| Administratörer | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Användare | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Tittare | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Mer information finns i Anpassade roller i rollbaserad åtkomstkontroll för Microsoft Defender XDR och Skapa anpassade roller med Microsoft Defender XDR Unified RBAC.
Kommentar
Information som ingår i aktivitetsloggen Defender för Cloud Apps kan fortfarande innehålla Defender for Identity-data. Det här innehållet följer befintliga Behörigheter för Defender för Cloud Apps.
Undantag: Om du har konfigurerat omfångsdistribution för Microsoft Defender za identitet-aviseringar i Microsoft Defender för Cloud Apps-portalen överförs inte dessa behörigheter och du måste uttryckligen bevilja behörigheterna Security operations \ Security data \ Security data basics (read) för relevanta portalanvändare.
Nödvändiga behörigheter För Defender för identitet i Microsoft Defender XDR
I följande tabell beskrivs de specifika behörigheter som krävs för Defender för identitetsaktiviteter i Microsoft Defender XDR.
Viktigt!
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
| Aktivitet | Minst nödvändiga behörigheter |
|---|---|
| Registrera Defender för identitet (skapa arbetsyta) | Säkerhetsadministratör |
| Konfigurera Inställningar för Defender för identitet | En av följande Microsoft Entra-roller: - Säkerhetsadministratör - Säkerhetsoperator eller Följande enhetliga RBAC-behörigheter: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Visa Inställningar för Defender för identitet | En av följande Microsoft Entra-roller: - Global läsare - Säkerhetsläsare eller Följande enhetliga RBAC-behörigheter: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Hantera säkerhetsaviseringar och aktiviteter för Defender for Identity | En av följande Microsoft Entra-roller: - Säkerhetsoperator eller Följande enhetliga RBAC-behörigheter: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
| Visa Säkerhetsutvärderingar för Defender för identitet (nu en del av Microsoft Secure Score) |
Behörigheter för åtkomst till Microsoft Secure Score och Följande enhetliga RBAC-behörigheter: Security operations/Security data /Security data basics (Read) |
| Visa sidan Tillgångar/identiteter | Behörigheter för åtkomst till Defender för Cloud Apps eller En av Microsoft Entra-rollerna som krävs av Microsoft Defender XDR |
| Utföra åtgärder för Defender for Identity-svar | En anpassad roll som definierats med behörigheter för Svar (hantera) eller En av följande Microsoft Entra-roller: - Säkerhetsoperator |
Säkerhetsgrupper för Defender för identiteter
Defender for Identity tillhandahåller följande säkerhetsgrupper som hjälper dig att hantera åtkomsten till Defender för identitetsresurser:
- Administratörer för Azure ATP (arbetsytans namn)
- Azure ATP-användare (arbetsytans namn)
- Visningsprogram för Azure ATP (arbetsytans namn)
I följande tabell visas de aktiviteter som är tillgängliga för varje säkerhetsgrupp:
| Aktivitet | Administratörer för Azure ATP (arbetsytans namn) | Azure ATP-användare (arbetsytans namn) | Visningsprogram för Azure ATP (arbetsytans namn) |
|---|---|---|---|
| Ändra status för hälsoproblem | Tillgängligt | Inte tillgängligt | Inte tillgängligt |
| Ändra säkerhetsvarningsstatus (öppna, stänga, exkludera, utelämna) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Ta bort arbetsyta | Tillgängligt | Inte tillgängligt | Inte tillgängligt |
| Ladda ned en rapport | Tillgängligt | Tillgänglig | Tillgängligt |
| Logga in | Tillgängligt | Tillgänglig | Tillgängligt |
| Dela/exportera säkerhetsaviseringar (via e-post, hämta länk, ladda ned information) | Tillgängligt | Tillgänglig | Tillgängligt |
| Uppdatera Defender för identitetskonfiguration (uppdateringar) | Tillgängligt | Inte tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (entitetstaggar, inklusive både känslig och honeytoken) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (undantag) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (språk) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (meddelanden, inklusive både e-post och syslog) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (förhandsgranskningsidentifieringar) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (schemalagda rapporter) | Tillgängligt | Tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (datakällor, inklusive katalogtjänster, SIEM, VPN, Defender för Endpoint) | Tillgängligt | Inte tillgängligt | Inte tillgängligt |
| Uppdatera Defender för identitetskonfiguration (sensorhantering, inklusive nedladdning av programvara, återskapa nycklar, konfigurera, ta bort) | Tillgängligt | Inte tillgängligt | Inte tillgängligt |
| Visa entitetsprofiler och säkerhetsaviseringar | Tillgängligt | Tillgänglig | Tillgängligt |
Lägga till och ta bort användare
Defender for Identity använder Microsoft Entra-säkerhetsgrupper som grund för rollgrupper.
Hantera dina rollgrupper från sidan För hantering av grupper på Azure-portalen. Endast Microsoft Entra-användare kan läggas till eller tas bort från säkerhetsgrupper.