適用於身分識別的 Microsoft Defender 角色群組

適用於身分識別的 Microsoft Defender 提供角色型安全性，以根據貴組織的特定安全性和合規性需求來保護數據。 我們建議您使用角色群組來管理適用於身分識別的 Defender 存取權、隔離安全性小組的責任，以及只授與使用者執行其工作所需的存取權數量。

統一角色型存取控制 （RBAC）

已是 租使用者Microsoft Entra標識碼上的全域管理員 或 安全性系統管理員 的使用者，也會自動成為身分識別系統管理員的 Defender。 Microsoft Entra Global and Security Administrators 不需要額外的許可權，才能存取適用於身分識別的 Defender。

對於其他使用者，啟用並使用 Microsoft 365 角色型訪問控制 （RBAC） 來建立自定義角色，並支援更多專案識別碼角色，例如安全性操作員或安全性讀取者，預設可管理適用於身分識別的 Defender 存取權。

建立自訂角色時，請確定您套用下表所列的許可權：

適用於身分識別的 Defender 存取層級	最低必要Microsoft 365 個統一 RBAC 許可權
管理員	- Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions - Security operations/Security data/Alerts (manage) -Security operations/Security data /Security data basics (Read) - Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read
使用者	- Security operations/Security data /Security data basics (Read) - Authorization and settings/System settings/Read - Authorization and settings/Security settings/Read - Security operations/Security data/Alerts (manage) - microsoft.xdr/configuration/security/manage
檢視人員	- Security operations/Security data /Security data basics (Read) - Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions)

如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 角色型訪問控制中的自定義角色，以及使用 Microsoft Defender 全面偵測回應 Unified RBAC 建立自定義角色。

注意

適用於雲端的 Defender Apps 活動記錄中包含的資訊可能仍包含適用於身分識別的 Defender 數據。 此內容遵守現有的 適用於雲端的 Defender Apps 許可權。

例外狀況：如果您已在 適用於雲端的 Microsoft Defender Apps 入口網站中設定 適用於身分識別的 Microsoft Defender 警示的範圍部署，這些許可權不會繼續，而且您必須明確授與相關入口網站使用者的安全性作業 \ 安全性數據基本概念 （讀取） 許可權。

Microsoft Defender 全面偵測回應 中適用於身分識別的必要許可權 Defender

下表詳細說明 Microsoft Defender 全面偵測回應 中適用於身分識別的Defender活動所需的特定許可權。

重要

Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該受限於緊急案例。

活動	最低必要許可權
將適用於身分識別 的 Defender 上線 （建立工作區）	安全性系統管理員
設定適用於身分識別的Defender設定	下列其中一個Microsoft Entra 角色： - 安全性系統管理員 - 安全性操作員 Or 下列 整合 RBAC 權限： - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions
檢視適用於身分識別的Defender設定	下列其中一個Microsoft Entra 角色： - 全域讀取者 - 安全性讀取者 Or 下列 整合 RBAC 權限： - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read
管理適用於身分識別的Defender安全性警示和活動	下列其中一個Microsoft Entra 角色： - 安全性操作員 Or 下列 整合 RBAC 權限： - Security operations/Security data/Alerts (Manage) - Security operations/Security data /Security data basics (Read)
檢視適用於身分識別的Defender安全性評估 （現在是Microsoft安全分數的一部分）	存取安全分數Microsoft許可權 And 下列 整合 RBAC 權限： Security operations/Security data /Security data basics (Read)
檢視 [資產/ 身分識別] 頁面	存取 適用於雲端的 Defender 應用程式的許可權 Or Microsoft Defender 全面偵測回應 所需的其中一個Microsoft Entra 角色
執行適用於身分識別的Defender回應動作	定義具有回應權限的自訂角色（管理） Or 下列其中一個Microsoft Entra 角色： - 安全性操作員

適用於身分識別的Defender安全組

適用於身分識別的 Defender 提供下列安全組，協助管理適用於身分識別資源的 Defender 存取權：

• Azure ATP （工作區名稱） 系統管理員
• Azure ATP （工作區名稱） 使用者
• Azure ATP （工作區名稱） 檢視者

下表列出每個安全組可用的活動：

活動	Azure ATP （工作區名稱） 系統管理員	Azure ATP （工作區名稱） 使用者	Azure ATP （工作區名稱） 查看器
變更健康情況問題狀態	可以使用	無	無法使用
變更安全性警示狀態 （重新開啟、關閉、排除、隱藏）	可用	可用	無法使用
刪除工作區	可以使用	無	無法使用
下載報表	可用	可用	可用
登入	可用	可用	可用
共用/匯出安全性警示 （透過電子郵件、取得連結、下載詳細資料）	可用	可用	可用
適用於身分識別的更新 Defender 設定 （更新）	可以使用	無	無法使用
更新適用於身分識別的Defender 設定 （實體標籤，包括敏感性和 honeytoken）	可用	可用	無法使用
更新適用於身分識別的 Defender 設定 （排除專案）	可用	可用	無法使用
更新適用於身分識別的 Defender 設定 （語言）	可用	可用	無法使用
更新適用於身分識別的 Defender 設定 （通知，包括電子郵件和 syslog）	可用	可用	無法使用
更新適用於身分識別的 Defender 設定 （預覽偵測）	可用	可用	無法使用
更新適用於身分識別的 Defender 設定 （排程報告）	可用	可用	無法使用
更新適用於身分識別的 Defender 設定 （資料源，包括目錄服務、SIEM、VPN、適用於端點的 Defender）	可以使用	無	無法使用
更新適用於身分識別的 Defender 設定 （感測器管理，包括下載軟體、重新產生密鑰、設定、刪除）	可以使用	無	無法使用
檢視實體配置檔和安全性警示	可用	可用	可用

新增和移除使用者

適用於身分識別的 Defender 會使用 Microsoft Entra 安全組作為角色群組的基礎。

從 Azure 入口網站 的 [群組管理] 頁面管理您的角色群組。 只有Microsoft Entra 使用者才能從安全組新增或移除。

後續步驟

設定 適用於身分識別的 Microsoft Defender 的目錄服務帳戶 »