你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

规划 Defender for Servers 的角色和权限

本文帮助你了解如何控制对 Defender for Servers 部署的访问权限。

Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。

准备阶段

本文是 Defender for Servers 规划指南系列中的第三篇文章。 在开始之前，请查看前面的文章：

1. 开始规划部署
2. 了解数据的存储位置和 Log Analytics 工作区要求

确定所有权和访问权限

在复杂的企业中，不同的团队管理组织中的不同安全功能。

确定组织中服务器的所有权和终结点安全性至关重要。 组织孤岛中未定义或隐藏的所有权会增加组织的风险。 需要在整个企业中识别并跟踪威胁的安全运营 (SecOps) 团队的工作将受到阻碍。 部署可能会延迟或者变得不安全。

安全领导应确定负责制定和实施有关服务器安全决定的团队、角色和个人。

通常，责任由中心 IT 团队与云基础结构和终结点安全团队分担。 这些团队中的个人需要 Azure 访问权限才能管理和使用 Defender for Cloud。 作为规划的一部分，请根据 Defender for Cloud 的基于角色的访问控制 (RBAC) 模型，确定个人的正确访问级别。

Defender for Cloud 应用

除了 Azure 订阅和资源组的内置“所有者”、“参与者”和“读取者”角色外，Defender for Cloud 还提供了内置角色用于控制 Defender for Cloud 访问权限：

• 安全读取者：提供 Defender for Cloud 建议、警报、安全策略和状态的查看权限。 此角色无法更改 Defender for Cloud 设置。
• 安全管理员：提供安全读取者权限，以及更新安全策略、消除警报和建议以及应用建议的功能。

详细了解允许的角色操作。

后续步骤

完成这些规划步骤后，确定哪个 Defender for Servers 计划适合你的组织。