Il built-in role Endpoint Security Manager viene usato per gestire criteri e funzionalità all’interno del pannello Security Endpoint nell’Admin Center di Microsoft Intune, in alternativa le azioni di amministrazione possono essere limitate usando il custom role con i permessi Security Baselines.
Con la versione di giugno (2406) di Intune, verranno inserite nuove autorizzazioni per security workload degli endpoint così da consentire maggiore granularità e controllo. I permessi Security Baselines in precedenza includevano tutte le policy di sicurezza, ora includeranno solo i workload che non dispongono di una propria autorizzazione.
Nuove autorizzazioni granulari
Nella prima iterazione, le autorizzazioni granulari sono ora disponibili con 2406 per i seguenti carichi di lavoro di sicurezza:
– Rilevamento e risposta degli endpoint
– Controllo delle app per le aziende
– Riduzione della superficie d’attacco
I restanti security workload continueranno a essere applicabili in base all’autorizzazione esistente Security Baselines finché non saranno resi disponibili come controlli granulari in una versione futura.
Gli amministratori possono trarre vantaggio da queste modifiche creando un nuovo ruolo Intune tramite Tenant Administration con i diritti di accesso appropriati:
Il comportamento di questi diritti continua a rispecchiare quelli contenuti in Security Baselines, con la differenza principale che si applica alle policy di sicurezza all’interno del carico di lavoro di sicurezza.
Non sono state apportate modifiche alla funzionalità per i ruoli predefiniti che contengono l’autorizzazione Security Baselines, inclusi i ruoli Endpoint Security Manager, Read Only Operator e Help Desk Operator.
Pe chi utilizza ruoli RBAC personalizzati con l’autorizzazione Security Baselines, le nuove autorizzazioni verranno assegnate automaticamente per garantire che gli amministratori continuino ad avere lo stesso accesso di cui dispongono oggi. Ad esempio, se a un amministratore è stato assegnato un ruolo personalizzato con l’autorizzazione Security baselines/Read, tale ruolo includerebbe le nuove autorizzazioni, ad esempio Attack surface reduction/Read.
Le Security baselines/Read continueranno a essere applicabili per la visualizzazione delle linee di base di sicurezza, antivirus, crittografia del disco, firewall e criteri di protezione dell’account.
Considerazioni
Le autorizzazioni granulari a continueranno ad avere la stessa struttura di autorizzazioni delle Security baselines attuali. Ciò include la gestione delle policy di sicurezza all’interno di tali workload, che potrebbero contenere impostazioni sovrapposte in altri tipi di policy (come policy di base di sicurezza o policy del catalogo delle impostazioni) che sono regolate da autorizzazioni RBAC separate.
Nello specifico, per il Security Workload relativo a Attack surface reduction, un sottoinsieme di policy di sicurezza continuerà a essere coperto dall’autorizzazione esistente Security baselines e non dalla nuova autorizzazione Attack Surface Reduction.
I seguenti modelli continuano a essere coperti dalle Security Baselines:
– Windows App and browser isolation
– Windows Web protection
– Windows Application control
– Windows Exploit protection
Le stesse modifiche alle autorizzazioni verranno applicate al portale Microsoft Defender per la gestione dei criteri di sicurezza.