创建和管理基于角色的访问控制的角色

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

创建角色并将角色分配给Microsoft Entra 组

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

以下步骤指导如何在 Microsoft Defender 门户中创建角色。 它假定你已创建Microsoft Entra 用户组。

  1. 使用分配有安全管理员角色的帐户登录到 Microsoft Defender 门户

  2. 在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。

  3. 选择 “添加角色”。

  4. 输入要分配给角色的角色名称、说明和权限。

  5. 选择“ 下一步 ”将角色分配给Microsoft Entra 安全组。

  6. 使用筛选器选择要添加到此角色Microsoft Entra 组。

  7. 保存并关闭

  8. 应用配置设置。

重要

创建角色后,需要创建设备组,并通过将设备组分配给刚刚创建的角色来提供对设备组的访问权限。

注意

Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

权限选项

  • 查看数据

    • 安全操作 - 在门户中查看所有安全操作数据
    • Defender 漏洞管理 - 在门户中查看 Defender 漏洞管理数据
  • 可用修正操作

    • 安全操作 - 采取响应操作,批准或消除挂起的修正操作,管理允许/阻止的自动化列表和指示器
    • Defender 漏洞管理 - 异常处理 - 创建新异常并管理活动异常
    • Defender 漏洞管理 - 修正处理 - 提交新的修正请求、创建票证和管理现有修正活动
    • Defender 漏洞管理 - 应用程序处理 - 通过阻止易受攻击的应用程序来应用即时缓解操作,作为修正活动的一部分,并管理被阻止的应用并执行取消阻止操作
  • 安全基线

    • Defender 漏洞管理 - 管理安全基线评估配置文件 - 创建和管理配置文件,以便评估设备是否符合安全行业基线。
  • 警报调查 - 管理警报、启动自动调查、运行扫描、收集调查包、管理设备标记,以及仅下载可移植可执行文件 (PE) 文件

  • 管理门户系统设置 - 配置存储设置、SIEM 和威胁 intel API 设置, (全局应用) 、高级设置、自动文件上传、角色和设备组

    注意

    此设置仅在 Microsoft Defender for Endpoint 管理员 (默认) 角色中可用。

  • 在安全中心管理安全设置 - 配置警报抑制设置、管理自动化的文件夹排除、载入和卸载设备、管理电子邮件通知、管理评估实验室以及管理允许/阻止的指示器列表

  • 实时响应功能

    • 基本 命令:
      • 启动实时响应会话
      • 在远程设备上执行只读实时响应命令, (不包括文件复制和执行)
      • 通过实时响应从远程设备下载文件
    • 高级 命令:
      • 从文件页下载 PE 和非 PE 文件
      • 将文件上传到远程设备
      • 从文件库查看脚本
      • 从文件库在远程设备上执行脚本

有关可用命令的详细信息,请参阅 使用实时响应调查设备

编辑角色

  1. 使用分配有安全管理员角色的帐户登录到 Microsoft Defender 门户

  2. 在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。

  3. 选择要编辑的角色。

  4. 单击“编辑”

  5. 修改分配给角色的详细信息或组。

  6. 单击“ 保存并关闭”。

删除角色

  1. 使用分配有安全管理员角色的帐户登录到 Microsoft Defender 门户

  2. 在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。

  3. 选择要删除的角色。

  4. 单击下拉按钮,然后选择“ 删除角色”。

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区