在 Microsoft Defender 入口網站中Microsoft適用於 Office 365 的 Defender 許可權
提示
您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
Microsoft Entra ID 中的全域角色可讓您管理所有 Microsoft 365 中功能的許可權和存取權,其中也包含適用於 Office 365 的 Microsoft Defender。 但是,如果您只需要在適用於 Office 365 的 Defender 中將許可權和功能限制為安全性功能,您可以在 Microsoft Defender 入口網站中指派 電子郵件 & 共同 作業許可權。
若要在 Microsoft Defender 入口網站中管理適用於 Office 365 的 Defender 許可權,請移至> [許可權電子郵件 & 共同作業角色角色>],或直接移至 。https://security.microsoft.com/emailandcollabpermissions
您必須是 Microsoft Entra ID 中的 全域管理員* 角色成員,或是適用於 Office 365 的 Defender 中 組織管理 角色群組的成員。 具體而言,適用於 Office 365 的 Defender 角色管理 角色可讓用戶檢視、建立及修改適用於 Office 365 的 Defender 角色群組。 根據預設,該角色只會指派給 組織管理 角色群組 (而全域系統管理員) 。
- 某些適用於 Office 365 的 Defender 功能需要 Exchange Online 的其他許可權。 如需詳細資訊,請參閱 Exchange Online 中的權限。
- Microsoft Defender XDR 具有自己的整合角色型訪問控制 (RBAC) 。 此模型在一個中央位置提供單一許可權管理體驗,系統管理員可以在其中控制不同安全性解決方案的許可權。 這些許可權與本文所述的許可權不同。 如需詳細資訊, 請參閱 Microsoft Defender XDR 角色型存取控制 (RBAC) 。
- 如果您啟用適用於電子郵件的 Defender XDR RBAC & 共同作業,則 Defender 入口網站不再提供 的許可權頁面https://security.microsoft.com/emailandcollabpermissions。
- 有關 Microsoft Purview 合規性入口網站中權限的詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
成員、角色和角色群組的關係
Microsoft Defender 入口網站中適用於 Office 365 的 Defender 許可權是以角色型存取控制 (RBAC) 許可權模型為基礎。 RBAC 是大部分Microsoft 365 服務所使用的相同許可權模型,因此如果您熟悉這些服務中的許可權結構,請熟悉在 Microsoft Defender 入口網站中授與許可權。
角色 會授予執行工作集的權限。
角色群組是一組角色,可讓使用者在 Microsoft Defender 入口網站中執行其工作。
Microsoft Defender 入口網站中的適用於 Office 365 的 Defender 許可權包含您需要指派之最常見工作和函式的預設角色群組。 通常,我們建議您只要將個別使用者新增為預設角色群組的 成員。
Microsoft Defender 入口網站中的角色和角色群組
在 Defenderhttps://security.microsoft.com/securitypermissions入口網站的 [許可權] 頁面上,可以使用下列類型的角色和角色群組:
Microsoft Entra 角色:您可以檢視角色和指派的使用者,但無法直接在 Microsoft Defender 入口網站中管理這些角色。 Microsoft Entra 角色是為 所有 Microsoft 365 服務指派許可權的中央角色。
電子郵件 & 共同作業角色:您可以直接在 Microsoft Defender 入口網站中檢視和管理這些角色群組。 這些許可權專屬於 Microsoft Defender 入口網站和 Microsoft Purview 合規性入口網站。 這些許可權並未涵蓋您在其他Microsoft 365 工作負載中所需的所有許可權。
![Microsoft Defender 入口網站中的 [許可權 & 角色] 頁面](media/m365-sc-permissions-and-roles-page.png#lightbox)
在 Microsoft Defender 入口網站中Microsoft Entra 角色
Microsoft本節所述的 Entra 角色可在 Defender 入口網站>>的 [許可權] Microsoft Entra ID>角色中取得,或直接在 https://security.microsoft.com/aadpermissions中取得。
當您選取角色時,會開啟詳細數據飛出視窗,其中包含角色和使用者指派的描述。 但若要管理這些指派,您必須選取飛出視窗底部 的 [Microsoft Entra ID ] 中的 [管理成員]。
如需詳細資訊,請 參閱將 Microsoft Entra 角色指派給使用者 和 使用 Microsoft Entra 全域角色管理 Microsoft Defender XDR 的存取權。
| 角色 | 描述 |
|---|---|
| 全域管理員 | 可以存取所有 Microsoft 365 服務中的所有系統管理功能。 只有全域管理員才能指派其他系統管理員角色。 如需詳細資訊,請參閱全域系統管理員/公司系統管理員。 |
| 合規性資料系統管理員 | 可以追蹤 Microsoft 365 中的組織資料,確保其受到保護,並深入了解任何問題以協助降低風險。 如需詳細資訊,請參閱合規性資料系統管理員。 |
| 合規性系統管理員 | 可幫助您的組織遵守任何法規要求、管理電子文件探索案例,並維護 Microsoft 365 各個位置、身分和應用程式的資料監管原則。 如需詳細資訊,請參閱 合規性系統管理員。 |
| 安全性操作員 | 可檢視、調查和回應 Microsoft 365 使用者、裝置和內容所受的主動威脅。 如需詳細資訊,請參閱 安全性運算子。 |
| 安全性讀取者 | 檢視和調查您Microsoft 365 使用者、裝置和內容的作用中威脅,但 (不同於安全性操作員) 他們無權採取動作來回應。 如需詳細資訊,請參閱 安全性讀取者。 |
| 安全性系統管理員 | 可透過管理安全性原則、檢視 Microsoft 365 各項產品的安全性分析和報告,以及在威脅環境中保持最新速度,來控制組織的整體安全性。 如需詳細資訊,請參閱 安全性系統管理員。 |
| 全域讀取者 | 全域系統管理員 角色的唯讀版本。 在 Microsoft 365 中檢視所有設定和管理資訊。 如需詳細資訊,請參閱 全域讀取者。 |
| 攻擊模擬系統管理員 | 建立和管理 攻擊模擬系統 創建、模擬的啟動/排程,以及模擬結果審查的所有方面。 詳細資訊,請參閲 攻擊模擬系統管理員。 |
| 攻擊承載作者 | 建立攻擊承載,但不實際啟動或排程它們。 如需詳細資訊,請參閱 攻擊承載作者。 |
Microsoft Defender 入口網站中的電子郵件 & 共同作業角色
在 Defender 入口網站和 Purview 合規性入口網站中,可以使用相同的角色群組和角色:
- Defender 入口網站:許可權>電子郵件 & 共同作業角色角色>或直接在https://security.microsoft.com/emailandcollabpermissions
- Purview 合規性入口網站:角色 & 範圍>>許可權Microsoft Purview 解決方案>角色或直接在https://compliance.microsoft.com/compliancecenterpermissions
如需這些角色群組的完整資訊,請參 閱 Microsoft Defender XDR 和 Microsoft Purview 合規性入口網站中的角色和角色群組
下列動作適用於 Defender 入口網站中的電子郵件 & 共同作業角色群組:
- 建立角色群組
- 複製角色群組
- 修改角色群組成員資格
- 僅 (自定義角色群組修改角色指派)
- 僅 (自定義角色群組移除角色群組)
在 Microsoft Defender 入口網站中建立電子郵件 & 共同作業角色群組
在 Microsoft Defender 入口網站中 https://security.microsoft.com,移至 [權 限>電子郵件 & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,選取 [
建立] 以啟動新的角色群組精靈。在 [ 為您的角色群組命名 ] 頁面上,輸入下列資訊:
- 名稱:輸入角色群組的唯一名稱。
- 描述:輸入角色群組的選擇性描述。
當您在 [ 為角色群組命名 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 選擇角色] 頁面上,選取 [選擇角色]。
在開啟的 [ 選擇角色 ] 飛出視窗中,選取飛出視窗頂端的 [ 新增 ]。
在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用
[搜尋 ] 方塊來尋找角色。選取一或多個要新增的角色之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇角色 ] 飛出視窗,您新增的角色會列在頁面上。 若要新增更多角色,請重複上一個步驟。 您已選取的角色會呈現灰色。
若要移除角色,請選取 [ 移除]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色,然後選取 [ 移除]。
當您完成原始的 [選擇角色 ] 飛出視窗時,請選取 [ 完成]。
回到 [ 選擇角色 ] 頁面,角色會顯示在 [ 選取的角色 ] 區段中。
當您在 [ 選擇角色 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 選擇成員] 頁面上,選取 [選擇成員]。
在開啟的 [ 選擇成員 ] 飛出視窗中,選取飛出視窗頂端的 [ 新增 ]。
在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱 ] 或 [ 電子郵件位址] 排序列表,或使用
[搜尋 ] 方塊來尋找使用者。選取一或多個要新增的用戶之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇成員 ] 飛出視窗,您新增的成員會列在頁面上。 若要新增更多成員,請重複上一個步驟。 您已選取的成員會呈現灰色。
若要移除成員,請選取 [ 移除]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個成員,然後選取 [ 移除]。
當您完成原始的 [選擇角色 ] 飛出視窗時,請選取 [ 完成]。
回到 [ 選擇成員] 頁面,成員會顯示在 [ 選取的成員 ] 區段中。
當您在 [ 選擇成員 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱您的設定] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
當您在 [ 檢閱您的設定 ] 頁面上完成時,請選取 [ 建立角色群組]。
回到 [權 限] 頁面上,會列出新的角色群組。
在 Microsoft Defender 入口網站中複製電子郵件 & 共同作業角色群組
在 Microsoft Defender 入口網站中 https://security.microsoft.com,移至 [權 限>電子郵件 & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 使用 [名稱] 數據行標頭依名稱排序列表,或
使用 [搜尋] 方塊來尋找角色群組。在開啟的角色群組詳細數據飛出視窗中,選取飛出視窗頂端的 [ 複製角色群組 ]。
新的角色群組精靈隨即開啟,如先前所述,用於 建立新的角色群組。
新角色群組的預設名稱是原始角色組名>的<複本,但您可以變更它。
角色和成員會填入您要複製之角色的值,但您可以變更這些值。
在 Microsoft Defender 入口網站中修改電子郵件 & 共同作業角色群組成員資格
在 Microsoft Defender 入口網站中 https://security.microsoft.com,移至 [權 限>電子郵件 & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 使用 [名稱] 數據行標頭依名稱排序列表,或
使用 [搜尋] 方塊來尋找角色群組。在開啟的角色群組詳細資料飛出視窗中,執行下列其中一個步驟:
- 選取
飛出視窗頂端的 [編輯角色群組]。 在開啟的編輯角色群組精靈中,選取 [ 選擇成員] 索引 標籤。 - 在飛出視窗的 [ 成員 ] 區段中,選取 [ 編輯]。
- 選取
在開啟之編輯角色群組精靈的 [ 選擇成員 ] 索引卷標上,執行下列其中一個步驟:
- 如果沒有角色群組成員,請選取 [選擇成員]。
- 如果有現有的角色群組成員,請選取 [編輯]
在開啟的 [ 選擇成員 ] 飛出視窗中,執行下列其中一個步驟:
新增成員:選取飛出視窗頂端的 [ 新增 ]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱 ] 或 [ 電子郵件位址] 排序列表,或使用
[搜尋 ] 方塊來尋找使用者。選取一或多個要新增的用戶之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇成員 ] 飛出視窗,新增的用戶會顯示在 [ 成員 ] 區段中。
拿掉成員:選取飛出視窗頂端的 [ 移除 ]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱 ] 或 [ 電子郵件位址] 排序列表,或使用
[搜尋 ] 方塊來尋找使用者。選取一或多個要移除的用戶之後,請選取 [ 移除]。
回到原始的 [選擇成員 ] 飛出視窗,移除的使用者不會再顯示在 [ 成員 ] 區段中。
當您在原始的 [ 選擇成員 ] 飛出視窗中完成時,請選取 [ 完成]。
回到精靈的 [ 選擇成員 ] 索引標籤,選取 [ 儲存]。
回到角色群組詳細數據飛出視窗,選取 [ 完成]。
在 Microsoft Defender 入口網站中修改電子郵件 & 共同作業角色群組角色指派
注意事項
您只能修改自定義角色群組的角色指派。 您無法修改內建角色群組的角色指派。
在 Microsoft Defender 入口網站中 https://security.microsoft.com,移至 [權 限>電子郵件 & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用
[搜尋 ] 方塊來尋找角色群組。在開啟的角色群組詳細資料飛出視窗中,執行下列其中一個步驟:
- 選取飛出視窗頂端的 [編輯角色群組]。 在開啟的編輯角色群組精靈中,選取 [ 選擇角色] 索引標籤 。
- 在飛出視窗的 [ 指派的角色 ] 區段中,選取 [ 編輯]。
- 選取
在開啟之編輯角色群組精靈的 [ 選擇角色 ] 索引卷標上,執行下列其中一個步驟:
- 如果沒有指派的角色,請選取 [選擇角色]。
- 如果有指派的現有角色,請選取 [編輯]
在開啟的 [ 選擇角色 ] 飛出視窗中,執行下列其中一個步驟:
新增角色:選取飛出視窗頂端的 [ 新增 ]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 已指派的角色會呈現灰色。選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用
[搜尋 ] 方塊來尋找角色。選取一或多個要新增的角色之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇角色 ] 飛出視窗,新增的角色會顯示在 [ 角色 ] 區段中。
拿掉角色:選取飛出視窗頂端的 [ 移除 ]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 選取數據行標頭,依 [名稱] 排序列表,或使用
[搜尋 ] 方塊來尋找角色。選取一或多個要移除的角色之後,請選取 [ 移除]。
回到原始的 [選擇角色 ] 飛出視窗,移除的角色將不再顯示在 [ 角色 ] 區段中。
當您在原始的 [ 選擇角色 ] 飛出視窗中完成時,請選取 [ 完成]。
回到精靈的 [ 選擇角色 ] 索引標籤,選取 [ 儲存]。
回到角色群組詳細數據飛出視窗,選取 [ 完成]。
在 Microsoft Defender 入口網站中移除電子郵件 & 共同作業角色群組
注意事項
您只能移除自訂角色群組。 您無法移除內建的角色群組。
在 Microsoft Defender 入口網站中 https://security.microsoft.com,移至 [權 限>電子郵件 & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用
[搜尋 ] 方塊來尋找角色群組。在開啟的角色群組詳細數據飛出視窗中,選取飛出視窗頂端的 [ 刪除角色群組 ]。
在開啟的警告對話框中選取 [ 是 ]。
回到 [權 限] 頁面,不再列出角色群組。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: