適用於身分識別的 Microsoft Defender 角色群組

  • 文章

適用於身分識別的 Microsoft Defender 提供角色型安全性,以根據貴組織的特定安全性和合規性需求來保護數據。 我們建議您使用角色群組來管理適用於身分識別的 Defender 存取權、隔離安全性小組的責任,以及只授與使用者執行其工作所需的存取權數量。

統一角色型存取控制 (RBAC)

是租使用者 Microsoft Entra 識別碼上的全域 管理員 管理員或安全性 管理員 istrators 的使用者,也會自動成為身分識別系統管理員的 Defender。 Microsoft Entra Global and Security 管理員 istrators 不需要額外的許可權來存取適用於身分識別的 Defender。

對於其他使用者,請使用 Microsoft 365 角色型訪問控制 (RBAC) 來建立自定義角色,以及管理適用於身分識別的 Defender 存取權。

建立自訂角色時,請確定您套用下表所列的許可權:

適用於身分識別的 Defender 存取層級 最低必要 Microsoft 365 統一 RBAC 許可權
管理員 istrators - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
使用者 - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
觀眾 - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 的角色型訪問控制中的自定義角色和使用 Microsoft Defender 全面偵測回應 Unified RBAC 建立自定義角色。

注意

適用於雲端的 Defender Apps 活動記錄中包含的資訊可能仍包含適用於身分識別的 Defender 數據。 此內容遵守現有的 適用於雲端的 Defender Apps 許可權。

例外狀況:如果您已在 適用於雲端的 Microsoft Defender Apps 入口網站中設定 適用於身分識別的 Microsoft Defender 警示的範圍部署,這些許可權不會繼續,而且您必須明確授與相關入口網站使用者的安全性作業 \ 安全性數據基本概念 (讀取) 許可權。

Microsoft Defender 全面偵測回應 中適用於身分識別的必要許可權 Defender

下表詳細說明 Microsoft Defender 全面偵測回應適用於身分識別的Defender活動所需的特定許可權。

活動 所需的權限
將適用於身分識別 的 Defender 上線 (建立工作區) 下列其中一個 Microsoft Entra 角色:
- 全域管理員
- 安全性系統管理員
設定適用於身分識別的Defender設定 下列其中一個 Microsoft Entra 角色:
- 全域管理員
- 安全性系統管理員
Or
下列 整合 RBAC 權限
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
檢視適用於身分識別的Defender設定 下列其中一個 Microsoft Entra 角色:
- 全域讀取器
- 安全性讀取者
Or
下列 整合 RBAC 權限
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
管理適用於身分識別的Defender安全性警示和活動 Microsoft Defender 全面偵測回應 所需的其中一個 Microsoft Entra 角色
Or
下列 整合 RBAC 權限
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
檢視適用於身分識別的Defender安全性評估
(現在是 Microsoft 安全分數的一部分)		 存取 Microsoft 安全分數的許可權
And
下列 整合 RBAC 權限Security operations/Security data /Security data basics (Read)
檢視 [資產/ 身分識別] 頁面 存取 適用於雲端的 Defender 應用程式的許可權
Or
Microsoft Defender 全面偵測回應 所需的其中一個 Microsoft Entra 角色
執行適用於身分識別的Defender回應動作 定義具有回應權限的自訂角色(管理)
Or
Microsoft Defender 全面偵測回應 所需的其中一個 Microsoft Entra 角色

適用於身分識別的Defender安全組

適用於身分識別的 Defender 提供下列安全組,協助管理適用於身分識別資源的 Defender 存取權:

  • Azure ATP (工作區名稱) 管理員 istrators
  • Azure ATP (工作區名稱) 使用者
  • Azure ATP (工作區名稱) 檢視者

下表列出每個安全組可用的活動:

活動 Azure ATP (工作區名稱) 管理員 istrators Azure ATP (工作區名稱) 使用者 Azure ATP (工作區名稱) 查看器
變更健康情況問題狀態 可以使用 無法使用
變更安全性警示狀態 (重新開啟、關閉、排除、隱藏) 可用 可用 無法使用
刪除工作區 可以使用 無法使用
下載報表 可用 可用 可用
登入 可用 可用 可用
共用/匯出安全性警示 (透過電子郵件、取得連結、下載詳細資料) 可用 可用 可用
適用於身分識別的更新 Defender 設定 (更新) 可以使用 無法使用
更新適用於身分識別的Defender 設定 (實體標籤,包括敏感性和 honeytoken) 可用 可用 無法使用
更新適用於身分識別的 Defender 設定 (排除專案) 可用 可用 無法使用
更新適用於身分識別的 Defender 設定 (語言) 可用 可用 無法使用
更新適用於身分識別的 Defender 設定 (通知,包括電子郵件和 syslog) 可用 可用 無法使用
更新適用於身分識別的 Defender 設定 (預覽偵測) 可用 可用 無法使用
更新適用於身分識別的 Defender 設定 (排程報告) 可用 可用 無法使用
更新適用於身分識別的 Defender 設定 (資料源,包括目錄服務、SIEM、VPN、適用於端點的 Defender) 可以使用 無法使用
更新適用於身分識別的 Defender 設定 (感測器管理,包括下載軟體、重新產生密鑰、設定、刪除) 可以使用 無法使用
檢視實體配置檔和安全性警示 可用 可用 可用

新增和移除使用者

適用於身分識別的 Defender 會使用 Microsoft Entra 安全組作為角色群組的基礎。

Azure 入口網站 的 [群組管理] 頁面管理您的角色群組。 只有 Microsoft Entra 使用者可以從安全組新增或移除。

後續步驟

設定 適用於身分識別的 Microsoft Defender 的目錄服務帳戶 »