Rollengruppen von Microsoft Defender for Identity

Microsoft Defender for Identity bietet rollenbasierte Sicherheit, um Daten entsprechend den spezifischen Sicherheits- und Complianceanforderungen einer Organisation zu schützen. Defender for Identity unterstützt drei separate Rollen: Administratoren, Benutzer und Viewer.

Hinweis

Dieser Artikel enthält Schritte zum Löschen von persönlichen Daten vom Gerät oder aus dem Dienst und kann zur Unterstützung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) verwendet werden. Allgemeine Informationen zur DSGVO finden Sie unter GDPR section of the Service Trust portal (DSGVO-Bereich des Service Trust Portals).

Rollengruppen ermöglichen die Zugriffsverwaltung für Defender for Identity. Mithilfe von Rollengruppen können Sie Aufgaben innerhalb Ihres Sicherheitsteams aufteilen und nur den Zugriff gewähren, den Benutzer für ihre Aufgaben benötigen. In diesem Artikel wird die Zugriffsverwaltung, die Rollenautorisierung von Defender for Identity erläutert und Sie beim Einstieg in Rollengruppen in Defender for Identity unterstützt.

Hinweis

Jeder globale Administrator oder Sicherheitsadministrator im Azure Active Directory des Mandanten ist automatisch ein Defender for Identity-Administrator.

Einheitliche rollenbasierte Zugriffssteuerung (RBAC)

Sie können jetzt eine präzisere rollenbasierte Zugriffssteuerung über das Microsoft 365-Portal aktivieren, anstatt die Azure AD-Gruppen von Defender for Identity zu verwenden. Weitere Informationen finden Sie unter Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft 365 Defender.

Hinweis

Nach der Aktivierung können Sie vorhandene Defender for Identity-Rollen in das neue Format migrieren. Wenn Sie jedoch neue Rollen ändern oder hinzufügen, müssen sie diese Berechtigungen der Rollentabelle zuordnen, um auf die klassische Defender for Identity-Benutzeroberfläche zugreifen zu können.

Wählen Sie Berechtigungen aus jeder Berechtigungsgruppe aus.

Entsprechende Defender for Identity-Rolle Erforderliche Microsoft 365 Unified RBAC-Berechtigungen
MDI-Admin Konfiguration/Sicherheitseinstellungen/Lesen
Konfiguration/Sicherheitseinstellungen/Alle Berechtigungen
Konfiguration/Systemeinstellungen/Lesen
Konfiguration/Systemeinstellungen/Alle Berechtigungen
Sicherheitsvorgänge/Sicherheitsdaten/Warnungen (verwalten)
Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen)
Konfiguration/Autorisierung/Alle Berechtigungen Konfiguration/Autorisierung/Lesen
MDI-Benutzer Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen)
Konfiguration/Systemeinstellungen/Lesen
Konfiguration/Sicherheitseinstellungen/Lesen
Sicherheitsvorgänge/Sicherheitsdaten/Warnungen (verwalten)
microsoft.xdr/configuration/security/manage
MDI-Viewer Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen)
Konfiguration/Systemeinstellungen/Lesen
Konfiguration/Sicherheitseinstellungen/Lesen

Hinweis

Informationen aus dem Defender for Cloud Apps-Aktivitätsprotokoll enthalten möglicherweise weiterhin Defender for Identity-Daten, die vorhandenen Defender für Cloud Apps-Berechtigungen entsprechen.

Erforderliche Berechtigungen für die Microsoft 365 Defender-Benutzeroberfläche

Für den Zugriff auf die Defender for Identity-Benutzeroberfläche in Microsoft 365 Defender benötigen Sie die folgenden Berechtigungen:

Aktionen in Microsoft 365 Defender Erforderliche Berechtigungen
Erstellen eines MDI-Arbeitsbereichs Mitglied einer der folgenden Azure AD-Rollen:
  • Globaler Administrator
  • Sicherheitsadministrator
  • MDI-Einstellungen Mitglied einer der folgenden Azure AD-Rollen:
  • Globaler Administrator
  • Sicherheitsadministrator
    Oder
    Einheitliche RBAC-Berechtigungen:
  • Konfiguration/Sicherheitseinstellungen/Lesen
  • Konfiguration/Sicherheitseinstellungen/Alle Berechtigungen
  • Konfiguration/Systemeinstellungen/Lesen
  • Konfiguration/Systemeinstellungen/Alle Berechtigungen
  • MDI-Sicherheitswarnungen und -aktivitäten Mitglied einer der Azure AD-Rollen gemäß Microsoft 365 Defender
    Oder
    Einheitliche RBAC-Berechtigungen:
  • Sicherheitsvorgänge/Sicherheitsdaten/Warnungen (Verwalten)
  • Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen)
  • MDI-Sicherheitsbewertungen
    (jetzt Teil der Microsoft-Sicherheitsbewertung)
    Berechtigungen für den Zugriff auf die Microsoft-Sicherheitsbewertung
    Und
    Einheitliche RBAC-Berechtigungen:
  • Sicherheitsvorgänge/Sicherheitsdaten /Grundlagen der Sicherheitsdaten (Lesen)
  • Typen von Defender for Identity-Sicherheitsgruppen

    Defender for Identity bietet drei Arten von Sicherheitsgruppen: Azure ATP-Administratoren (Arbeitsbereichsname), Azure ATP (Arbeitsbereichsname) Benutzer und Azure ATP-Viewer (Arbeitsbereichsname). In der folgenden Tabelle wird der Zugriffstyp in Defender for Identity beschrieben, der für jede Rolle verfügbar ist. Je nachdem, welche Rolle Sie zuweisen, stehen diesen Benutzern wie folgt verschiedene Bildschirme und Optionen nicht zur Verfügung:

    Aktivität Azure ATP-Administratoren (Arbeitsbereichsname) Benutzer von Azure ATP (Arbeitsbereichsname) Azure ATP-Viewer (Arbeitsbereichsname)
    Ändern des Status von Integritätswarnungen Verfügbar Nicht verfügbar Nicht verfügbar
    Ändern des Status von Sicherheitswarnungen (erneut öffnen, schließen, ausschließen, unterdrücken) Verfügbar Verfügbar Nicht verfügbar
    Arbeitsbereich löschen Verfügbar Nicht verfügbar Nicht verfügbar
    Herunterladen eines Berichts Verfügbar Verfügbar Verfügbar
    Anmelden Verfügbar Verfügbar Verfügbar
    Sicherheitswarnungen für Freigeben/Exportieren (über E-Mail, Link abrufen und Download von Details) Verfügbar Verfügbar Verfügbar
    Aktualisieren von Defender für Identitätskonfiguration – Aktualisierungen Verfügbar Nicht verfügbar Nicht verfügbar
    Update Defender for Identity Configuration – Entitätstags (vertraulich und Honeytoken) Verfügbar Verfügbar Nicht verfügbar
    Aktualisieren von Defender für Identitätskonfiguration – Ausschlüsse Verfügbar Verfügbar Nicht verfügbar
    Aktualisieren von Defender für Identitätskonfiguration – Sprache Verfügbar Verfügbar Nicht verfügbar
    Update Defender for Identity Configuration – Benachrichtigungen (E-Mail und Syslog) Verfügbar Verfügbar Nicht verfügbar
    Aktualisieren von Defender für Identitätskonfiguration – Vorschauerkennungen Verfügbar Verfügbar Nicht verfügbar
    Aktualisieren von Defender for Identity Configuration – Geplante Berichte Verfügbar Verfügbar Nicht verfügbar
    Update Defender for Identity Configuration – Datenquellen (Verzeichnisdienste, SIEM, VPN, Defender für Endpunkt) Verfügbar Nicht verfügbar Nicht verfügbar
    Aktualisieren von Defender für Identitätskonfiguration – Sensoren (Herunterladen, Erneutes Generieren des Schlüssels, Konfigurieren, Löschen) Verfügbar Nicht verfügbar Nicht verfügbar
    Anzeigen von Entitätsprofilen und Sicherheitswarnungen Verfügbar Verfügbar Verfügbar

    Hinzufügen und Entfernen von Benutzern

    Defender for Identity verwendet Azure AD-Sicherheitsgruppen als Basis für Rollengruppen. Die Rollengruppen können über die Seite Gruppenverwaltung verwaltet werden. Nur Azure AD-Benutzer können zu Sicherheitsgruppen hinzugefügt bzw. aus ihnen entfernt werden.

    Weitere Informationen