📅 Source : Microsoft Sentinel Blog (techcommunity.microsoft.com), publié le 20 mars 2026 par Tomas Beerthuis (Microsoft).
Contexte
Microsoft annonce la préversion publique (Public Preview) de l’Unified Role Based Access Control (URBAC) pour Microsoft Sentinel, avec une disponibilité prévue au 1er avril 2026. Cette fonctionnalité étend le modèle RBAC unifié de Microsoft Defender à Sentinel et introduit un contrôle d’accès au niveau des lignes (row-level access).
Nouvelles fonctionnalités
URBAC pour Sentinel
- 🔐 Gestion des permissions Sentinel directement depuis le portail Microsoft Defender (
https://security.microsoft.com) - Modèle de permissions unifié pour Sentinel et les autres workloads Defender
- Migration facile des rôles Azure Sentinel existants via import automatique
- Prise en charge des workspaces Sentinel Analytics et Lake
Sentinel Scoping (contrôle au niveau des lignes)
- Création et assignation de scope tags aux utilisateurs ou groupes
- Marquage des données via des règles KQL dans Table Management (utilisant des Data Collection Rules)
- Accès restreint aux alertes, incidents et requêtes de chasse avancée selon le scope
- Le champ
SentinelScope_CFpermet de référencer le scope dans les règles de détection - ⚠️ Les données historiques (déjà ingérées) ne sont pas rétroactivement taguées
Correspondance des rôles
| Rôle Sentinel | Permissions URBAC |
|---|---|
| Reader | Security data basic (read) |
| Responder | + Alerts (manage), Response (manage) |
| Contributor | + Detection tuning (manage) |
Prérequis
- Accès au portail Microsoft Defender
- Rôle Global Administrator + propriétaire d’abonnement OU User Access Administrator + Sentinel Contributor
- Workspaces Sentinel onboardés dans le portail Defender
- Permission Security Authorization (Manage) et Data Operations (Manage) pour la gestion des scopes
Limitations notables
- Les tables XDR ne sont pas encore scopables
- Le scoping des données Defender ingérées dans Sentinel ne propage pas les scopes d’origine (Device Groups, Cloud Scopes)
- Le scoping des ressources (règles de détection, playbooks, automation rules) est prévu dans les prochains mois
📌 Type d’article : Annonce de mise à jour produit. But principal : informer les administrateurs de sécurité de la disponibilité d’une nouvelle fonctionnalité de gestion des accès dans Microsoft Sentinel.
🧠 TTPs et IOCs détectés
IOC
- URLs :
https://security.microsoft.com
🔗 Source originale : https://techcommunity.microsoft.com/blog/microsoftsentinelblog/microsoft-sentinel-is-now-supported-in-unified-rbac-with-row-level-access/4503121