在 適用於企業的 Microsoft Defender 中指派安全性角色和許可權
本文說明如何在商務用Defender中指派安全性角色和許可權。
貴組織的安全性小組需要特定許可權才能執行工作,例如
- 設定商務用Defender
- 將 (上線或移除) 裝置
- 檢視裝置和威脅偵測的相關報告
- 檢視事件和警示
- 針對偵測到的威脅採取回應動作
許可權是透過 Microsoft Entra ID 中的特定角色授與。 這些角色可以在 Microsoft 365 系統管理中心 或 Microsoft Entra 系統管理中心 中指派。
處理方式
適用於企業的 Defender 中的角色
下表說明可在適用於企業的 Defender 中指派的三個角色。 深入了解系統管理員角色。
| 權限層級 | 描述 |
|---|---|
|
全域系統管理員 (也稱為全域管理員) 最佳做法是限制全域系統管理員的數量。 請參閱 指派角色的安全性指導方針。 |
全域系統管理員可以執行各種工作。 根據預設,註冊 Microsoft 365 或商務用 Defender 公司的人是全域系統管理員。 全域系統管理員通常會在商務用Defender中完成設定和設定程式,包括將裝置上線。 全域系統管理員可以修改所有 Microsoft 365 入口網站的設定,例如: - Microsoft 365 系統管理中心(https://admin.microsoft.com) - Microsoft Defender 入口網站 (https://security.microsoft.com) |
| 安全性系統管理員 (也稱為安全性管理員) | 安全性管理員可以執行下列工作: - 檢視並管理安全性原則 - 檢視、回應和管理警示 - 對偵測到威脅的裝置採取回應動作 - 檢視安全性資訊及報告 一般而言,安全性系統管理員會使用 Microsoft Defender 入口網站 (https://security.microsoft.com) 來執行安全性工作。 |
| 安全性讀取者 | 安全性讀取者可以執行下列工作: - 檢視已上線裝置的清單 - 檢視安全性原則 - 檢視警示和偵測到的威脅 - 檢視安全性資訊及報告 安全性讀取者無法新增或編輯安全策略,也無法將裝置上線。 |
檢視和編輯角色指派
重要事項
Microsoft 建議您只授與人員執行其工作所需的存取權。 我們將這個概念稱為權限[最小權限]。 若要深入了解,請參閱應用程式最小存取權限的最佳作法。
您可以使用 Microsoft 365 系統管理中心 或 Microsoft Entra 系統管理中心 來檢視和編輯角色指派。
移至 Microsoft 365 系統管理中心 (https://admin.microsoft.com) 並登入。
在瀏覽窗格中,移至 [ 使用者>] [作用中使用者]。
選取使用者帳戶以開啟其飛出視窗窗格。
在 [ 帳戶] 索引 標籤的 [ 角色] 下,選取 [ 管理角色]。
若要新增或移除角色,請使用下列其中一個程式:
工作 程序 將角色新增至用戶帳戶 1.選取 [管理員 中心存取],向下捲動,然後展開 [依類別顯示全部]。
2.選取下列其中一個角色:
- 全域管理員 (列在 全域)
- 安全性系統管理員 (列在 安全性 & 合規性)
- 安全性讀取器 (列在 唯讀)
3.選取 [儲存變更]。從用戶帳戶移除角色 1.選取 [ 使用者 (沒有系統管理中心存取權) 以移除 所有 系統管理員角色,或清除一或多個指派角色旁的複選框。
2.選取 [儲存變更]。