Freigeben über

Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft Defender XDR

  • Artikel

Hinweis

Microsoft Defender XDR-Benutzer können jetzt eine zentralisierte Berechtigungsverwaltungslösung nutzen, um den Benutzerzugriff und die Berechtigungen für verschiedene Microsoft-Sicherheitslösungen zu steuern. Erfahren Sie mehr über die rollenbasierte Zugriffssteuerung (RBAC) von Microsoft Defender XDR Unified.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Gilt für:

  • Microsoft Defender XDR

Es gibt zwei Arten von Rollen, die für den Zugriff auf Microsoft Defender XDR verwendet werden können:

  • Globale Microsoft Entra-Rollen
  • Benutzerdefinierte Rollen

Der Zugriff auf Microsoft Defender XDR kann mithilfe von globalen Rollen in Microsoft Entra ID gemeinsam verwaltet werden.

Wenn Sie mehr Flexibilität und Kontrolle über den Zugriff auf bestimmte Produktdaten benötigen, kann der Microsoft Defender XDR-Zugriff auch mit der Erstellung von benutzerdefinierten Rollen über jedes jeweilige Sicherheitsportal verwaltet werden.

Beispielsweise würde eine über Microsoft Defender für Endpunkt erstellte benutzerdefinierte Rolle den Zugriff auf die relevanten Produktdaten ermöglichen, einschließlich Endpunktdaten im Microsoft Defender-Portal. Ebenso ermöglicht eine über Microsoft Defender für Office 365 erstellte benutzerdefinierte Rolle den Zugriff auf die relevanten Produktdaten, einschließlich E-Mail-& Zusammenarbeitsdaten im Microsoft Defender-Portal.

Benutzer mit vorhandenen benutzerdefinierten Rollen können gemäß ihren vorhandenen Workloadberechtigungen auf Daten im Microsoft Defender-Portal zugreifen, ohne dass eine zusätzliche Konfiguration erforderlich ist.

Erstellen und Verwalten von benutzerdefinierten Rollen

Benutzerdefinierte Rollen und Berechtigungen können über jedes der folgenden Sicherheitsportale erstellt und einzeln verwaltet werden:

Jede benutzerdefinierte Rolle, die über ein einzelnes Portal erstellt wird, ermöglicht den Zugriff auf die Daten des relevanten Produktportals. Beispielsweise lässt eine benutzerdefinierte Rolle, die über Microsoft Defender für Endpunkt erstellt wird, nur den Zugriff auf Defender für Endpunkt-Daten zu.

Tipp

Auf Berechtigungen und Rollen kann auch über das Microsoft Defender-Portal zugegriffen werden, indem Im Navigationsbereich Berechtigungen & Rollen ausgewählt werden. Der Zugriff auf Microsoft Defender for Cloud Apps wird über das Defender for Cloud Apps-Portal verwaltet und steuert auch den Zugriff auf Microsoft Defender for Identity. Weitere Informationen finden Sie unter Microsoft Defender für Cloud-Apps.

Hinweis

Benutzerdefinierte Rollen, die in Microsoft Defender for Cloud Apps erstellt werden, haben auch Zugriff auf Microsoft Defender for Identity-Daten. Benutzer mit den Rollen "Benutzergruppenadministrator" oder "App/Instanzadministrator" von Microsoft Defender for Cloud Apps können nicht über das Microsoft Defender-Portal auf Daten von Microsoft Defender für Cloud Apps zugreifen.

Verwalten von Berechtigungen und Rollen im Microsoft Defender-Portal

Berechtigungen und Rollen können auch im Microsoft Defender-Portal verwaltet werden:

  1. Melden Sie sich unter security.microsoft.com beim Microsoft Defender-Portal an.
  2. Wählen Sie im Navigationsbereich Berechtigungen und Rollen aus.
  3. Wählen Sie im Header Berechtigungen die Option Rollen aus.

Hinweis

Dies gilt nur für Defender für Office 365 und Defender für Endpunkt. Der Zugriff für andere Workloads muss in ihren relevanten Portalen erfolgen.

Erforderliche Rollen und Berechtigungen

In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die für den Zugriff auf die einzelnen einheitlichen Funktionen in jeder Workload erforderlich sind. In der folgenden Tabelle definierte Rollen beziehen sich auf benutzerdefinierte Rollen in einzelnen Portalen und sind nicht mit globalen Rollen in Microsoft Entra ID verbunden, auch wenn sie ähnlich benannt sind.

Hinweis

Für die Vorfallverwaltung sind Verwaltungsberechtigungen für alle Produkte erforderlich, die Teil des Vorfalls sind.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Microsoft Defender XDR-Workload Eine der folgenden Rollen ist für Defender für Endpunkt erforderlich: Eine der folgenden Rollen ist für Defender für Office 365 erforderlich Eine der folgenden Rollen ist für Defender for Cloud Apps erforderlich:
Anzeigen von Untersuchungsdaten:
  • Warnungsseite
  • Benachrichtigungswarteschlange
  • Vorfälle
  • Incidentwarteschlange
  • Info-Center
 Anzeigen von Daten: Sicherheitsvorgänge
  • Warnungen nur anzeigen verwalten
  • Organisationskonfiguration
  • Überwachungsprotokolle
  • Nur Anzeigen von Überwachungsprotokollen
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Globaler Leser
Anzeigen von Huntingdaten, Speichern, Bearbeiten und Löschen von Huntingabfragen und -funktionen Anzeigen von Daten: Sicherheitsvorgänge
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Globaler Leser
Verwalten von Warnungen und Vorfällen Untersuchung von Warnungen
  • Verwalten von Warnungen
  • Sicherheitsadministrator
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
Wartung im Info-Center Aktive Wartungsaktionen – Sicherheitsvorgänge Suchen und Bereinigen
Festlegen benutzerdefinierter Erkennungen Sicherheitseinstellungen verwalten
  • Verwalten von Warnungen
  • Sicherheitsadministrator
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Globaler Leser
Bedrohungsanalyse Warnungen und Incidentdaten:
  • Anzeigen von Daten: Sicherheitsvorgänge
Defender-Sicherheitsrisikoverwaltungs-Entschärfungen:
  • Anzeigen von Daten: Bedrohungs- und Sicherheitsrisikomanagement
 Warnungen und Incidentdaten:
  • Warnungen nur anzeigen verwalten
  • Verwalten von Warnungen
  • Organisationskonfiguration
  • Überwachungsprotokolle
  • Nur Anzeigen von Überwachungsprotokollen
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
Verhinderte E-Mail-Versuche:
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
 Nicht verfügbar für Defender for Cloud Apps- oder MDI-Benutzer

Zum Anzeigen von Huntingdaten aus Microsoft Defender für Endpunkt sind beispielsweise Berechtigungen zum Anzeigen von Datensicherheitsvorgängen erforderlich.

Ebenso benötigen Benutzer zum Anzeigen von Huntingdaten aus Microsoft Defender für Office 365 eine der folgenden Rollen:

  • Anzeigen von Datensicherheitsvorgängen
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.