Microsoft Defender for Identity مجموعات الأدوار
يوفر Microsoft Defender for Identity الأمان المستند إلى الأدوار لحماية البيانات وفقا لاحتياجات الأمان والتوافق المحددة لمؤسستك. نوصي باستخدام مجموعات الأدوار لإدارة الوصول إلى Defender for Identity، وفصل المسؤوليات عبر فريق الأمان الخاص بك ومنح مقدار الوصول الذي يحتاجه المستخدمون للقيام بمهامهم فقط.
التحكم الموحد في الوصول استنادا إلى الدور (RBAC)
المستخدمون الذين هم بالفعل مسؤولو عموميون أو مسؤولو أمان على Microsoft Entra ID المستأجر الخاص بك هم أيضا مسؤول Defender for Identity تلقائيا. لا يحتاج Microsoft Entra المسؤولون العموميون ومسؤولو الأمان إلى أذونات إضافية للوصول إلى Defender for Identity.
بالنسبة للمستخدمين الآخرين، قم بتمكين واستخدام التحكم في الوصول المستند إلى الدور في Microsoft 365 (RBAC) لإنشاء أدوار مخصصة ودعم المزيد من أدوار معرف Entra مثل عامل تشغيل الأمان أو قارئ الأمان بشكل افتراضي لإدارة الوصول إلى Defender for Identity.
هام
بدءا من 2 مارس 2025، يمكن لمستأجري Microsoft Defender for Identity الجدد تكوين الأذونات فقط من خلال Microsoft Defender XDR التحكم في الوصول الموحد Role-Based (RBAC). سيحتفظ المستأجرون الذين لديهم أدوار معينة أو تم تصديرها قبل هذا التاريخ بتكوينهم الحالي.
عند إنشاء أدوارك المخصصة، تأكد من تطبيق الأذونات المدرجة في الجدول التالي:
مستوى الوصول إلى Defender for Identity | الحد الأدنى المطلوب لأذونات التحكم في الوصول استنادا إلى الدور (RBAC) الموحدة من Microsoft 365 |
---|---|
المسؤولين | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions - Security operations/Security data/Alerts (manage) - Security operations/Security data /Security data basics (Read) - Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
المستخدمون | - Security operations/Security data /Security data basics (Read) - Authorization and settings/System settings/Read - Authorization and settings/Security settings/Read - Security operations/Security data/Alerts (manage) - microsoft.xdr/configuration/security/manage |
المشاهدون | - Security operations/Security data /Security data basics (Read) - Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
لمزيد من المعلومات، راجع الأدوار المخصصة في التحكم في الوصول المستند إلى الدور Microsoft Defender XDRوإنشاء أدوار مخصصة باستخدام Microsoft Defender XDR التحكم في الوصول استنادا إلى الدور الموحد.
ملاحظة
قد لا تزال المعلومات المضمنة من سجل نشاط Defender for Cloud Apps تحتوي على بيانات Defender for Identity. يلتزم هذا المحتوى بأذونات Defender for Cloud Apps الموجودة.
الاستثناء: إذا قمت بتكوين نشر النطاق للتنبيهات Microsoft Defender for Identity في Microsoft Defender for Cloud Apps، فلن يتم ترحيل هذه الأذونات وستضطر إلى منح أذونات عمليات الأمان \ بيانات الأمان \ أساسيات بيانات الأمان (قراءة) لمستخدمي المدخل المعنيين بشكل صريح.
الأذونات المطلوبة Defender for Identity في Microsoft Defender XDR
يوضح الجدول التالي بالتفصيل الأذونات المحددة المطلوبة لأنشطة Defender for Identity في Microsoft Defender XDR.
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
Activity | أقل الأذونات المطلوبة |
---|---|
إلحاق Defender for Identity (إنشاء مساحة عمل) | مسؤول الأمان |
تكوين إعدادات Defender for Identity | أحد أدوار Microsoft Entra التالية: - مسؤول الأمان - عامل تشغيل الأمان أو أذونات التحكم في الوصول استنادا إلى الدور الموحدة التالية: - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions |
عرض إعدادات Defender for Identity | أدوار Microsoft Entra: - قارئ الأمان أو أذونات التحكم في الوصول استنادا إلى الدور الموحدة التالية: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
إدارة تنبيهات وأنشطة أمان Defender for Identity | أحد أدوار Microsoft Entra التالية: - عامل تشغيل الأمان أو أذونات التحكم في الوصول استنادا إلى الدور الموحدة التالية: - Security operations/Security data/Alerts (Manage) - Security operations/Security data /Security data basics (Read) |
عرض تقييمات أمان Defender for Identity (الآن جزء من Microsoft Secure Score) |
أذونات الوصول إلى Microsoft Secure Score و أذونات التحكم في الوصول استنادا إلى الدور الموحدة التالية: Security operations/Security data /Security data basics (Read) |
عرض صفحة الأصول / الهويات |
أذونات الوصول إلى Defender for Cloud Apps أو أحد الأدوار Microsoft Entra التي يتطلبها Microsoft Defender XDR |
تنفيذ إجراءات استجابة Defender for Identity |
دور مخصص محدد بأذونات الاستجابة (إدارة) أو أحد أدوار Microsoft Entra التالية: - عامل تشغيل الأمان |
مجموعات أمان Defender for Identity
هام
اعتبارا من 2 مارس، لن يقوم Defender for Identity بعد الآن بإنشاء مجموعات أمان Microsoft Entra ID. لا يزال بإمكان المستأجرين تكوين نفس الأذونات من خلال Microsoft Defender XDR التحكم في الوصول الموحد Role-Based (RBAC)
يوفر Defender for Identity مجموعات الأمان التالية للمساعدة في إدارة الوصول إلى موارد Defender for Identity:
- مسؤولو Azure ATP (اسم مساحة العمل)
- مستخدمو Azure ATP (اسم مساحة العمل)
- مشاهدو Azure ATP (اسم مساحة العمل)
يسرد الجدول التالي الأنشطة المتوفرة لكل مجموعة أمان:
Activity | مسؤولو Azure ATP (اسم مساحة العمل) | مستخدمو Azure ATP (اسم مساحة العمل) | مشاهدو Azure ATP (اسم مساحة العمل) |
---|---|---|---|
تغيير حالة المشكلة الصحية | متاح | غير متوفر | غير متوفر |
تغيير حالة تنبيه الأمان (إعادة فتح وإغلاق واستبعاد وقمع) | متاح | متاح | غير متوفر |
حذف مساحة العمل | متاح | غير متوفر | غير متوفر |
تنزيل تقرير | متاح | متاح | متاح |
تسجيل الدخول | متاح | متاح | متاح |
مشاركة/تصدير تنبيهات الأمان (عبر البريد الإلكتروني، والحصول على ارتباط، وتفاصيل التنزيل) | متاح | متاح | متاح |
تحديث تكوين Defender for Identity (تحديثات) | متاح | غير متوفر | غير متوفر |
تحديث تكوين Defender for Identity (علامات الكيان، بما في ذلك كل من الرمز المميز الحساس والعسل) | متاح | متاح | غير متوفر |
تحديث تكوين Defender for Identity (الاستثناءات) | متاح | متاح | غير متوفر |
تحديث تكوين Defender for Identity (اللغة) | متاح | متاح | غير متوفر |
تحديث تكوين Defender for Identity (الإعلامات، بما في ذلك كل من البريد الإلكتروني وsyslog) | متاح | متاح | غير متوفر |
تحديث تكوين Defender for Identity (اكتشافات المعاينة) | متاح | متاح | غير متوفر |
تحديث تكوين Defender for Identity (التقارير المجدولة) | متاح | متاح | غير متوفر |
تحديث تكوين Defender for Identity (مصادر البيانات، بما في ذلك خدمات الدليل، SIEM، VPN، Defender لنقطة النهاية) | متاح | غير متوفر | غير متوفر |
تحديث تكوين Defender for Identity (إدارة أداة الاستشعار، بما في ذلك تنزيل البرامج، وإعادة إنشاء المفاتيح، والتكوين، والحذف) | متاح | غير متوفر | غير متوفر |
عرض ملفات تعريف الكيان وتنبيهات الأمان | متاح | متاح | متاح |
إضافة مستخدمين وإزالتها
يستخدم Defender for Identity مجموعات أمان Microsoft Entra كأساس لمجموعات الأدوار.
إدارة مجموعات الأدوار من صفحة إدارة المجموعات على مدخل Microsoft Azure. يمكن إضافة Microsoft Entra المستخدمين فقط أو إزالتهم من مجموعات الأمان.