Использование основных разрешений для доступа к порталу

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Чтобы использовать базовое управление разрешениями, ознакомьтесь с приведенными ниже инструкциями.

Можно использовать одно из следующих решений:

  • Microsoft Graph PowerShell
  • Портал Azure

Для детального управления разрешениями переключитесь на управление доступом на основе ролей.

Назначение доступа пользователей с помощью Microsoft Graph PowerShell

Вы можете назначить пользователям один из следующих уровней разрешений:

  • Полный доступ (чтение и запись)
  • Доступ только для чтения

Перед началом работы

  • Установите Microsoft Graph PowerShell. Дополнительные сведения см. в статье Установка Microsoft Graph PowerShell.

    Примечание.

    Командлеты PowerShell необходимо запустить в командной строке с повышенными привилегиями.

  • Подключитесь к Microsoft Entra ID. Дополнительные сведения см. в разделе Connect-MgGraph.

    • Полный доступ. Пользователи с полным доступом могут входить в систему, просматривать все сведения о системе и разрешать оповещения, отправлять файлы для глубокого анализа и скачивать пакет подключения. Чтобы назначить полный доступ, необходимо добавить пользователей в "Администратор безопасности" или "Глобальный администратор" Microsoft Entra встроенные роли.

    • Доступ только для чтения. Пользователи с доступом только для чтения могут входить в систему, просматривать все оповещения и связанную информацию.

      Они не смогут изменять состояния оповещений, отправлять файлы для глубокого анализа или выполнять операции изменения состояния.

      Для назначения прав доступа только для чтения необходимо добавить пользователей в встроенную роль "Читатель безопасности" Microsoft Entra.

Чтобы назначить роли безопасности, выполните следующие действия.

  • Для доступа на чтение и запись назначьте пользователей роли администратора безопасности с помощью следующей команды:

    $Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Administrator'"
$UserId = (Get-MgUser -UserId "secadmin@Contoso.onmicrosoft.com").Id

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId"
}

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObject

  • Для доступа только для чтения назначьте пользователей роли читателя безопасности с помощью следующей команды:

    $Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Reader'"
$UserId = (Get-MgUser -UserId "reader@Contoso.onmicrosoft.com").Id

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId"
}

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObject

Дополнительные сведения см. в статье Добавление или удаление участников группы с помощью Microsoft Entra ID.

Назначение доступа пользователям с помощью портал Azure

Дополнительные сведения см. в статье Назначение ролей администратора и неадминистратора пользователям с Microsoft Entra ID.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.