Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft Defender XDR

  • Artikel

Hinweis

Microsoft Defender XDR Benutzer können jetzt von einer zentralisierten Berechtigungsverwaltungslösung profitieren, um den Benutzerzugriff und die Berechtigungen für verschiedene Microsoft-Sicherheitslösungen zu steuern. Erfahren Sie mehr über die Microsoft Defender XDR vereinheitlichte rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC).

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Gilt für:

  • Microsoft Defender XDR

Es gibt zwei Arten von Rollen, die für den Zugriff auf Microsoft Defender XDR verwendet werden können:

  • Globale Microsoft Entra-Rollen
  • Benutzerdefinierte Rollen

Der Zugriff auf Microsoft Defender XDR kann gemeinsam verwaltet werden, indem globale Rollen in Microsoft Entra ID

Wenn Sie mehr Flexibilität und Kontrolle über den Zugriff auf bestimmte Produktdaten benötigen, kann Microsoft Defender XDR Zugriff auch mit der Erstellung von benutzerdefinierten Rollen über jedes jeweilige Sicherheitsportal verwaltet werden.

Eine benutzerdefinierte Rolle, die über Microsoft Defender for Endpoint erstellt wird, ermöglicht beispielsweise den Zugriff auf die relevanten Produktdaten, einschließlich Endpunktdaten im Microsoft Defender-Portal. Ebenso ermöglicht eine über Microsoft Defender for Office 365 erstellte benutzerdefinierte Rolle den Zugriff auf die relevanten Produktdaten, einschließlich Email & Zusammenarbeitsdaten im Microsoft Defender-Portal.

Benutzer mit vorhandenen benutzerdefinierten Rollen können im Microsoft Defender-Portal gemäß ihren vorhandenen Workloadberechtigungen auf Daten zugreifen, ohne dass eine zusätzliche Konfiguration erforderlich ist.

Create und Verwalten benutzerdefinierter Rollen

Benutzerdefinierte Rollen und Berechtigungen können über jedes der folgenden Sicherheitsportale erstellt und einzeln verwaltet werden:

Jede benutzerdefinierte Rolle, die über ein einzelnes Portal erstellt wird, ermöglicht den Zugriff auf die Daten des relevanten Produktportals. Beispielsweise lässt eine benutzerdefinierte Rolle, die über Microsoft Defender for Endpoint erstellt wird, nur den Zugriff auf Defender für Endpunkt-Daten zu.

Tipp

Auf Berechtigungen und Rollen kann auch über das Microsoft Defender-Portal zugegriffen werden, indem Sie im Navigationsbereich Berechtigungen & Rollen auswählen. Der Zugriff auf Microsoft Defender for Cloud Apps wird über das Defender for Cloud Apps-Portal verwaltet und steuert auch den Zugriff auf Microsoft Defender for Identity. Siehe Microsoft Defender for Cloud Apps

Hinweis

Benutzerdefinierte Rollen, die in Microsoft Defender for Cloud Apps erstellt wurden, haben auch Zugriff auf Microsoft Defender for Identity Daten. Benutzer mit Rollen "Benutzergruppenadministrator" oder "App/instance-Administrator" Microsoft Defender for Cloud Apps können nicht über das Microsoft Defender-Portal auf Microsoft Defender for Cloud Apps Daten zugreifen.

Verwalten von Berechtigungen und Rollen im Microsoft Defender-Portal

Berechtigungen und Rollen können auch im Microsoft Defender-Portal verwaltet werden:

  1. Melden Sie sich unter security.microsoft.com beim Microsoft Defender-Portal an.
  2. Wählen Sie im Navigationsbereich Berechtigungen und Rollen aus.
  3. Wählen Sie im Header Berechtigungen die Option Rollen aus.

Hinweis

Dies gilt nur für Defender for Office 365 und Defender für Endpunkt. Der Zugriff für andere Workloads muss in ihren relevanten Portalen erfolgen.

Erforderliche Rollen und Berechtigungen

In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die für den Zugriff auf die einzelnen einheitlichen Funktionen in jeder Workload erforderlich sind. In der folgenden Tabelle definierte Rollen beziehen sich auf benutzerdefinierte Rollen in einzelnen Portalen und sind nicht mit globalen Rollen in Microsoft Entra ID verbunden, auch wenn sie ähnlich benannt sind.

Hinweis

Für die Vorfallverwaltung sind Verwaltungsberechtigungen für alle Produkte erforderlich, die Teil des Vorfalls sind.

Microsoft Defender XDR Workload Eine der folgenden Rollen ist für Defender für Endpunkt erforderlich: Für die Defender for Office 365 ist eine der folgenden Rollen erforderlich. Eine der folgenden Rollen ist für Defender for Cloud Apps erforderlich:
Anzeigen von Untersuchungsdaten:
  • Warnungsseite
  • Benachrichtigungswarteschlange
  • Vorfälle
  • Incidentwarteschlange
  • Info-Center
 Anzeigen von Daten: Sicherheitsvorgänge
  • Warnungen nur anzeigen verwalten
  • Organisationskonfiguration
  • Überwachungsprotokolle
  • Nur Anzeigen von Überwachungsprotokollen
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Globaler Leser
Anzeigen von Huntingdaten, Speichern, Bearbeiten und Löschen von Huntingabfragen und -funktionen Anzeigen von Daten: Sicherheitsvorgänge
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Globaler Leser
Verwalten von Warnungen und Vorfällen Untersuchung von Warnungen
  • Verwalten von Warnungen
  • Sicherheitsadministrator
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
Wartung im Info-Center Aktive Wartungsaktionen – Sicherheitsvorgänge Search und bereinigen
Festlegen benutzerdefinierter Erkennungen Sicherheitseinstellungen verwalten
  • Verwalten von Warnungen
  • Sicherheitsadministrator
  • Globaler Administrator
  • Sicherheitsadministrator
  • Compliance-Administrator
  • Sicherheitsoperator
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Globaler Leser
Bedrohungsanalyse Warnungen und Incidentdaten:
  • Anzeigen von Daten: Sicherheitsvorgänge
Defender-Sicherheitsrisikoverwaltungs-Entschärfungen:
  • Anzeigen von Daten: Bedrohungs- und Sicherheitsrisikomanagement
 Warnungen und Incidentdaten:
  • Warnungen nur anzeigen verwalten
  • Verwalten von Warnungen
  • Organisationskonfiguration
  • Überwachungsprotokolle
  • Nur Anzeigen von Überwachungsprotokollen
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
Verhinderte E-Mail-Versuche:
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger
 Nicht verfügbar für Defender for Cloud Apps- oder MDI-Benutzer

Wenn Sie beispielsweise Huntingdaten aus Microsoft Defender for Endpoint anzeigen möchten, sind Berechtigungen zum Anzeigen von Datensicherheitsvorgängen erforderlich.

Ebenso benötigen Benutzer eine der folgenden Rollen, um Suchdaten aus Microsoft Defender for Office 365 anzuzeigen:

  • Anzeigen von Datensicherheitsvorgängen
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Sicherheitsadministrator
  • Nur anzeigende Empfänger

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.