在 Microsoft Defender 商业版 中分配安全角色和权限

本文介绍如何在 Defender for Business 中分配安全角色和权限。

组织的安全团队需要某些权限才能执行任务，例如

• 配置 Defender for Business
• 载入 (或删除) 设备
• 查看有关设备和威胁检测的报告
• 查看事件和警报
• 对检测到的威胁采取响应操作

权限是通过Microsoft Entra ID中的某些角色授予的。 可以在Microsoft 365 管理中心或Microsoft Entra 管理中心中分配这些角色。

需执行的操作

1. 了解 Defender 商业版中的角色。
2. 查看或编辑安全团队的角色分配。
3. 继续执行后续步骤。

Defender for Business 中的角色

下表描述了可在 Defender for Business 中分配的三个角色。 了解有关管理员角色和。

权限级别	说明
全局管理员 (也称为全局管理员) 最佳做法是限制全局管理员的数量。 请参阅 分配角色的安全准则。	全局管理员可以执行各种任务。 默认情况下，将你的公司注册为 Microsoft 365 或 Defender for Business 的人员是全局管理员。 全局管理员通常完成 Defender for Business 中的设置和配置过程，包括载入设备。 全局管理员能够修改所有 Microsoft 365 门户的设置，例如： - Microsoft 365 管理中心 (https://admin.microsoft.com) - Microsoft Defender门户 (https://security.microsoft.com)
安全管理员 (也称为安全管理员)	安全管理员可以执行以下任务： - 查看和管理安全策略 - 查看、响应和管理警报 - 在检测到威胁的设备上执行响应操作 - 查看安全信息和报告 通常，安全管理员使用 Microsoft Defender 门户 (https://security.microsoft.com) 来执行安全任务。
安全信息读取者	安全读取器可以执行以下任务： - 查看已载入设备的列表 - 查看安全策略 - 查看警报和检测到的威胁 - 查看安全信息和报告 安全读取器无法添加或编辑安全策略，也无法载入设备。

查看和编辑角色分配

重要

Microsoft 建议你仅授予用户执行任务所需的访问权限。 我们称此概念 为权限的最小特权 。 若要了解详细信息，请参阅 应用程序最低特权访问的最佳做法。

可以使用Microsoft 365 管理中心或Microsoft Entra 管理中心查看和编辑角色分配。

Microsoft 365 管理中心

1. 转到Microsoft 365 管理中心 (https://admin.microsoft.com) 并登录。

2. 在导航窗格中，转到 “用户>”“活动用户”。

3. 选择用户帐户以打开其浮出控件窗格。

4. 在“ 帐户 ”选项卡上的“ 角色”下，选择“ 管理角色”。

5. 若要添加或删除角色，请使用以下过程之一：

   任务	Procedure
   向用户帐户添加角色	1. 选择“管理员中心访问权限”，向下滚动，然后展开“按类别显示全部”。 2. 选择以下角色之一： - 全局管理员 (全局) 下 列出 - 安全管理员 (安全 & 合规性) 下列出 - 安全读取器 (在 “只读) ”下列出 3.选择 “保存更改”。
   从用户帐户中删除角色	1.选择“ 用户 (无管理中心访问权限) 删除 所有 管理员角色，或清除一个或多个分配的角色旁边的复选框。 2.选择“ 保存更改”。

Microsoft Entra 管理中心

1. 转到Microsoft Entra 管理中心 (https://entra.microsoft.com) 并登录。

2. 在导航窗格中，转到 “用户>”“所有用户”。

3. 选择用户帐户以打开其个人资料。

4. 若要添加或删除角色，请使用以下过程之一：

   任务	Procedure
   向用户帐户添加角色	1.在 “管理”下，选择“ 分配的角色”，然后选择“ + 添加分配”。 2. 搜索以下角色之一，将其选中，然后选择“添加”，将该角色分配给用户帐户。 - 全局管理员 - 安全管理员 - 安全读取器
   从用户帐户中删除角色	1. 在 “管理”下，选择“ 分配的角色”。 2. 选择一个或多个管理角色，然后选择“ X 删除分配”。

后续步骤

• 继续执行步骤 4：为安全团队设置电子邮件通知。
• 步骤 5：将设备载入到Microsoft Defender 商业版