Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per identità offre sicurezza basata sui ruoli per proteggere i dati in base alle esigenze specifiche di sicurezza e conformità dell'organizzazione. È consigliabile usare i gruppi di ruoli per gestire l'accesso a Defender per identità, separando le responsabilità tra il team di sicurezza e concedendo solo la quantità di accesso necessaria agli utenti per svolgere il proprio lavoro.
Controllo degli accessi in base al ruolo unificato
Gli utenti che hanno già il ruolo Security Administrators nel Microsoft Entra ID del tenant sono automaticamente anche amministratori di Defender for Identity. Gli amministratori della sicurezza di Microsoft Entra non hanno bisogno di autorizzazioni aggiuntive per accedere a Defender for Identity.
Per gli altri utenti, abilitare e usare il controllo degli accessi in base al ruolo (RBAC) di Microsoft 365 per creare ruoli personalizzati e supportare per impostazione predefinita altri ruoli di Entra ID, ad esempio Operatore di sicurezza o Lettore di sicurezza, per gestire l'accesso a Defender for Identity.
Importante
A partire dal 2 marzo 2025, i nuovi tenant di Microsoft Defender per identità possono configurare le autorizzazioni esclusivamente tramite Unified Role-Based Controllo di accesso (RBAC) di Microsoft Defender XDR. I tenant con ruoli assegnati o esportati prima di questa data mantengono la configurazione corrente.
Quando si creano i ruoli personalizzati, assicurarsi di applicare le autorizzazioni elencate nella tabella seguente:
| Livello di accesso di Defender for Identity | Autorizzazioni RBAC unificate minime richieste di Microsoft 365 |
|---|---|
| Amministratori | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Utenti | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Visualizzatori | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Per ulteriori informazioni, vedere Ruoli personalizzati nel controllo di accesso basato sui ruoli per Microsoft Defender e Creare ruoli personalizzati con il sistema RBAC unificato di Microsoft Defender.
Nota
Le informazioni incluse nel registro attività di Defender for Cloud Apps potrebbero comunque contenere dati di Defender for Identity. Questo contenuto rispetta le autorizzazioni di Defender for Cloud Apps esistenti.
Eccezione: se è stata configurata la distribuzione con ambito definito per gli avvisi di Microsoft Defender per identità in Microsoft Defender for Cloud Apps, queste autorizzazioni non vengono ereditate e sarà necessario concedere esplicitamente le autorizzazioni Operazioni di sicurezza \ Dati di sicurezza \ Nozioni di base sui dati di sicurezza (lettura) per i relativi utenti del portale.
Autorizzazioni necessarie per Defender for Identity in Microsoft Defender
Nella tabella seguente vengono fornite informazioni dettagliate sulle autorizzazioni specifiche necessarie per Defender per le attività identity in Microsoft Defender.
| Attività | Autorizzazioni meno necessarie |
|---|---|
| Esegui l'onboarding di Defender per l'identità (crea area di lavoro) | Amministratore della sicurezza |
| Configurare le impostazioni di Defender for Identity | Uno dei ruoli di Microsoft Entra seguenti: - Amministratore della sicurezza - Operatore di sicurezza O Le seguenti autorizzazioni RBAC unificate: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Visualizzare le impostazioni di Defender for Identity | Ruoli di Microsoft Entra: - Lettore di sicurezza O Le seguenti autorizzazioni RBAC unificate: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Gestisci gli avvisi di sicurezza e le attività di Defender for Identity | Uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza O Le seguenti autorizzazioni RBAC unificate: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Visualizza le valutazioni di sicurezza di Defender for Identity (ora parte di Microsoft Secure Score) |
Autorizzazioni per accedere a Microsoft Secure Score E Le seguenti autorizzazioni RBAC unificate: Security operations/Security data /Security data basics (Read) |
| Visualizza la pagina Asset / Identità |
Autorizzazioni per accedere a Defender for Cloud Apps O Uno dei ruoli di Microsoft Entra richiesti da Microsoft Defender |
| Eseguire azioni di risposta in Defender for Identity | Un ruolo personalizzato definito con autorizzazioni per Response (manage) O Uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza |
Gruppi di sicurezza di Defender per identità
Importante
A partire dal 2 marzo Defender per identità non creerà più gruppi di sicurezza Microsoft Entra ID. I tenant possono comunque configurare le stesse autorizzazioni tramite Microsoft Defender XDR Controllo degli accessi unificato basato sui ruoli (RBAC)
Defender per identità offre i gruppi di sicurezza seguenti per gestire l'accesso alle risorse di Defender per identità:
- Azure ATP (nome area di lavoro) Amministratori
- Utenti di Azure ATP (nome area di lavoro)
- Visualizzatori di Azure ATP (nome area di lavoro)
Nella tabella seguente sono elencate le attività disponibili per ogni gruppo di sicurezza:
| Attività | Amministratori di Azure ATP (nome area di lavoro) | Utenti Azure ATP (nome dell'area di lavoro) | Visualizzatori Azure ATP (nome area di lavoro) |
|---|---|---|---|
| Modificare lo stato del problema di integrità | Disponibile | Non disponibile | Non disponibile |
| Modificare lo stato dell'avviso di sicurezza (riaprire, chiudere, escludere, eliminare) | Disponibile | Disponibile | Non disponibile |
| Eliminare l'area di lavoro | Disponibile | Non disponibile | Non disponibile |
| Scaricare un report | Disponibile | Disponibile | Disponibile |
| Accedi | Disponibile | Disponibile | Disponibile |
| Condividere/esportare gli avvisi di sicurezza (tramite posta elettronica, ottenere il collegamento, scaricare i dettagli) | Disponibile | Disponibile | Disponibile |
| Aggiornamento della configurazione di Defender for Identity (aggiornamento) | Disponibile | Non disponibile | Non disponibile |
| Aggiornamento della configurazione di Defender per identità (tag delle entità, incluse quelle sensibili e honeytoken) | Disponibile | Disponibile | Non disponibile |
| Aggiornamento della configurazione di Defender for Identity (esclusioni) | Disponibile | Disponibile | Non disponibile |
| Aggiornamento della configurazione di Defender for Identity (lingua) | Disponibile | Disponibile | Non disponibile |
| Aggiorna la configurazione di Defender for Identity (notifiche, incluse e-mail e syslog) | Disponibile | Disponibile | Non disponibile |
| Aggiornamento della configurazione di Defender for Identity (rilevamenti in anteprima) | Disponibile | Disponibile | Non disponibile |
| Aggiornamento della configurazione di Defender for Identity (report programmati) | Disponibile | Disponibile | Non disponibile |
| Aggiornamento della configurazione di Defender for Identity (fonti di dati, inclusi servizi di directory, SIEM, VPN, Defender for Endpoint) | Disponibile | Non disponibile | Non disponibile |
| Aggiornare la configurazione di Defender per l'identità (gestione dei sensori, inclusi il download del software, la rigenerazione delle chiavi, la configurazione e l'eliminazione) | Disponibile | Non disponibile | Non disponibile |
| Visualizzare i profili di entità e gli avvisi di sicurezza | Disponibile | Disponibile | Disponibile |
Aggiungere e rimuovere utenti
Defender for Identity usa i gruppi di sicurezza di Microsoft Entra come base per i gruppi di ruoli.
Gestire i gruppi di ruoli dalla pagina di gestione Gruppi nella portale di Azure. Solo Microsoft Entra utenti possono essere aggiunti o rimossi dai gruppi di sicurezza.
Assegnazione dell'ambito dell'identità
Il controllo degli accessi basato sui ruoli utente (URBAC) consente alle organizzazioni di definire ruoli personalizzati che limitano la visibilità a domini specifici di Active Directory. Gli utenti assegnati a questi ruoli con ambito vedranno solo i dati, ad esempio avvisi, identità e attività, relativi ai domini di Active Directory inclusi nell'assegnazione di ruolo Defender XDR.
Per ulteriori informazioni, vedere: Accesso con ambito definito per Microsoft Defender per identità