Freigeben über


Rollengruppen von Microsoft Defender for Identity

Microsoft Defender for Identity bietet rollenbasierte Sicherheit, um Daten gemäß den spezifischen Sicherheits- und Complianceanforderungen Ihrer Organisation zu schützen. Es wird empfohlen, Rollengruppen zu verwenden, um den Zugriff auf Defender for Identity zu verwalten, die Verantwortlichkeiten in Ihrem Sicherheitsteam zu trennen und ausschließlich den Zugriff zu gewähren, den Benutzer für ihre Aufgaben benötigen.

Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)

Benutzer, die bereits globale Administratoren oder Sicherheitsadministratoren für Microsoft Entra ID Ihres Mandanten sind, sind automatisch auch Microsoft Defender for Identity-Administratoren. Globale Microsoft Entra- und Sicherheitsadministratoren benötigen keine zusätzlichen Berechtigungen für den Zugriff auf Defender for Identity.

Aktivieren und verwenden Sie für andere Benutzer die rollenbasierte Zugriffssteuerung (RBAC) von Microsoft 365, um um benutzerdefinierte Rollen zu erstellen und weitere Entra ID-Rollen wie Sicherheitsoperator oder Sicherheitsleser standardmäßig zu unterstützen und den Zugriff auf Defender for Identity zu verwalten.

Stellen Sie beim Erstellen ihrer benutzerdefinierten Rollen sicher, dass Sie die in der folgenden Tabelle aufgeführten Berechtigungen anwenden:

Defender for Identity-Zugriffsstufe Mindestens erforderliche Microsoft 365 Unified RBAC-Berechtigungen
Administratoren - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
Benutzer - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
Besucher - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

Weitere Informationen finden Sie unter Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft Defender XDR und Erstellen benutzerdefinierter Rollen mit Microsoft Defender XDR Unified RBAC.

Hinweis

Informationen aus dem Microsoft Defender für Cloud Apps-Aktivitätsprotokoll können weiterhin Defender for Identity-Daten enthalten. Diese Inhalte entsprechen vorhandenen Defender for Cloud Apps-Berechtigungen.

Ausnahme: Wenn Sie die Bereichsbezogene Bereitstellung für Microsoft Defender for Identity-Warnungen im Microsoft Defender for Cloud Apps-Portal konfiguriert haben, werden diese Berechtigungen nicht übernommen, und Sie müssen den relevanten Portalbenutzern explizit die Berechtigungen für Sicherheitsvorgänge \ Sicherheitsdaten \ Sicherheitsdatengrundlagen (Leserechte) erteilen.

Erforderliche Berechtigungen für Defender für Identity in Microsoft Defender XDR

In der folgenden Tabelle sind die spezifischen Berechtigungen aufgeführt, die für Defender for Identity-Aktivitäten in Microsoft Defender XDR erforderlich sind.

Aktivität Erforderliche Berechtigungen
Onboarding von Defender for Identity (Arbeitsbereich erstellen) Eine der folgenden Microsoft Entra-Rollen:
- Globaler Administrator
- Sicherheitsadministrator
Konfigurieren der Defender for Identity-Einstellungen Eine der folgenden Microsoft Entra-Rollen:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsoperator
Oder
Die folgenden Unified RBAC-Berechtigungen:
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
Anzeigen von Defender for Identity-Einstellungen Eine der folgenden Microsoft Entra-Rollen:
- Globaler Leser
- Sicherheitsleseberechtigter
Oder
Die folgenden Unified RBAC-Berechtigungen:
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
Verwalten von Defender for Identity-Sicherheitswarnungen und -aktivitäten Eine der folgenden Microsoft Entra-Rollen:
- Sicherheitsoperator
Oder
Die folgenden Unified RBAC-Berechtigungen:
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
Anzeigen von Defender for Identity-Sicherheitsbewertungen
(jetzt Teil der Microsoft-Sicherheitsbewertung)
Berechtigungen für den Zugriff auf die Microsoft-Sicherheitsbewertung
And
Die folgenden Unified RBAC-Berechtigungen: Security operations/Security data /Security data basics (Read)
Anzeigen der Seite „Objekte/Identitäten“ Berechtigungen für den Zugriff auf Defender for Cloud-Apps
Oder
Eine der Microsoft Entra-Rollen, die für Microsoft Defender XDR erforderlich sind
Ausführen von Defender for Identity-Antwortaktionen Eine benutzerdefinierte Rolle, die mit Berechtigungen für Antworten (verwalten) definiert ist
Oder
Eine der folgenden Microsoft Entra-Rollen:
- Sicherheitsoperator

Defender for Identity-Sicherheitsgruppen

Defender for Identity bietet die folgenden Sicherheitsgruppen, um den Zugriff auf Defender for Identity-Ressourcen zu verwalten:

  • Azure ATP-Administratoren (Arbeitsbereichsname)
  • Azure ATP (Arbeitsbereichsname) Benutzer
  • Azure ATP (Arbeitsbereichsname) Viewer

In der folgenden Tabelle sind die für jede Sicherheitsgruppe verfügbaren Aktivitäten aufgelistet:

Aktivität Azure ATP-Administratoren (Arbeitsbereichsname) Azure ATP (Arbeitsbereichsname) Benutzer Azure ATP (Arbeitsbereichsname) Viewer
Ändern des des Integritätsproblemstatus Verfügbar Nicht verfügbar Nicht verfügbar
Ändern des Status der Sicherheitswarnung (erneutes Öffnen, Schließen, Ausschließen, Unterdrücken) Verfügbar Verfügbar Nicht verfügbar
Löschen des Arbeitsbereichs Verfügbar Nicht verfügbar Nicht verfügbar
Herunterladen eines Berichts Verfügbar Verfügbar Verfügbar
Anmelden Verfügbar Verfügbar Verfügbar
Freigabe-/Exportsicherheitswarnungen (per E-Mail, Link abrufen, Downloaddetails) Verfügbar Verfügbar Verfügbar
Update Defender for Identity Configuration (Updates) Verfügbar Nicht verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity-Konfiguration (Entitätstags, einschließlich vertraulicher und Honeytoken) Verfügbar Verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity Konfiguration (Ausschlüsse) Verfügbar Verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity-Konfiguration (Sprache) Verfügbar Verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity-Konfiguration (Benachrichtigungen, einschließlich E-Mail und Syslog) Verfügbar Verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity-Konfiguration (Vorschauerkennungen) Verfügbar Verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity Konfiguration (geplante Berichte) Verfügbar Verfügbar Nicht verfügbar
Aktualisieren der Microsoft Defender for Identity-Konfiguration (Datenquellen, einschließlich Verzeichnisdienste, SIEM, VPN, Defender für Endpunkt) Verfügbar Nicht verfügbar Nicht verfügbar
Aktualisieren der Defender for Identity-Konfiguration (Sensorverwaltung, einschließlich Herunterladen von Software, Generieren von Schlüsseln, Konfigurieren, Löschen) Verfügbar Nicht verfügbar Nicht verfügbar
Anzeigen von Entitätsprofilen und Sicherheitswarnungen Verfügbar Verfügbar Verfügbar

Hinzufügen und Entfernen von Benutzern

Defender for Identity verwendet Microsoft Entra-Sicherheitsgruppen als Grundlage für Rollengruppen.

Verwalten Sie Ihre Rollengruppen auf der Seite Gruppenverwaltung im Azure-Portal. Nur Microsoft Entra-Benutzer können aus Sicherheitsgruppen hinzugefügt oder daraus entfernt werden.

Nächster Schritt