Microsoft Defender for Identity 角色组
Microsoft Defender for Identity 提供基于角色的安全性,可根据组织的特定安全性和合规性需求保护数据。 建议使用角色组来管理对 Defender for Identity 的访问权限,在整个安全团队中隔离职责,并仅授予用户完成工作所需的访问权限。
统一的基于角色的访问控制 (RBAC)
在租户的 Microsoft Entra ID 上已经是全局管理员或安全管理员的用户也会自动成为 Defender for Identity 管理员。 Microsoft Entra 全局管理员和安全管理员无需额外权限即可访问 Defender for Identity。
对于其他用户,请启用并使用 Microsoft 365 基于角色的访问控制 (RBAC),以便创建自定义角色并在默认情况下支持更多 Entra ID 角色(例如,安全操作员或安全读取者),从而管理对 Defender for Identity 的访问权限。
创建自定义角色时,请确保应用下表中列出的权限:
Defender for Identity 访问级别 | 最低要求的 Microsoft 365 统一 RBAC 权限 |
---|---|
管理员 | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions - Security operations/Security data/Alerts (manage) - Security operations/Security data /Security data basics (Read) - Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
用户 | - Security operations/Security data /Security data basics (Read) - Authorization and settings/System settings/Read - Authorization and settings/Security settings/Read - Security operations/Security data/Alerts (manage) - microsoft.xdr/configuration/security/manage |
查看员 | - Security operations/Security data /Security data basics (Read) - Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
有关详细信息,请参阅 Microsoft Defender XDR 的基于角色的访问控制中的自定义角色,以及使用 Microsoft Defender XDR Unified RBAC 创建自定义角色。
注意
Defender for Cloud Apps 活动日志中包含的信息可能仍包含 Defender for Identity 数据。 此内容遵循现有的 Defender for Cloud Apps 权限。
例外:如果在 Microsoft Defender for Cloud Apps 门户中为 Microsoft Defender for Identity 警报配置了作用域内部署,则这些权限不会延续,你必须明确授予相关门户用户的安全操作\安全数据\安全数据基础(读取)权限。
Microsoft Defender XDR 中的 Defender for Identity 所需的权限
下表详细介绍了 Microsoft Defender XDR 中 Defender for Identity 活动所需的特定权限。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
活动 | 所需最低权限 |
---|---|
加入 Defender for Identity(创建工作区) | 安全管理员 |
配置 Defender for Identity 设置 | 以下 Microsoft Entra 角色之一: - 安全管理员 - 安全操作员 Or 以下统一 RBAC 权限: - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions |
查看 Defender for Identity 设置 | 以下 Microsoft Entra 角色之一: - 全局读取者 - 安全读取者 Or 以下统一 RBAC 权限: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
管理 Defender for Identity 安全警报和活动 | 以下 Microsoft Entra 角色之一: - 安全操作员 Or 以下统一 RBAC 权限: - Security operations/Security data/Alerts (Manage) - Security operations/Security data /Security data basics (Read) |
查看 Defender for Identity 安全评估 (现在是 Microsoft 安全功能分数的一部分) |
访问 Microsoft 安全功能分数的权限 And 以下统一 RBAC 权限: Security operations/Security data /Security data basics (Read) |
查看“资产/标识”页 | 访问 Defender for Cloud Apps 的权限 Or Microsoft Defender XDR 所需的 Microsoft Entra 角色之一 |
执行 Defender for Identity 响应操作 | 自定义角色为响应(管理)定义的权限 Or 以下 Microsoft Entra 角色之一: - 安全操作员 |
Defender for Identity 安全组
Defender for Identity 提供以下安全组,以帮助管理对 Defender for Identity 资源的访问:
- Azure ATP(工作区名称)管理员
- Azure ATP(工作区名称)用户
- Azure ATP(工作区名称)查看者
下表列出了每个安全组可用的活动:
活动 | Azure ATP(工作区名称)管理员 | Azure ATP(工作区名称)用户 | Azure ATP(工作区名称)查看者 |
---|---|---|---|
更改运行状况问题状态 | 可用 | 不可用 | 不可用 |
更改安全警报状态(重新打开、关闭、排除、禁止) | 可用 | 可用 | 不可用 |
删除工作区 | 可用 | 不可用 | 不可用 |
下载报表 | 可用 | 可用 | 可用 |
登录 | 可用 | 可用 | 可用 |
共享/导出安全警报(通过电子邮件、获取链接、下载详细信息) | 可用 | 可用 | 可用 |
更新 Defender for Identity 配置(更新) | 可用 | 不可用 | 不可用 |
更新 Defender for Identity 配置(实体标记,包括敏感标记和蜜标) | 可用 | 可用 | 不可用 |
更新 Defender for Identity 配置(排除) | 可用 | 可用 | 不可用 |
更新 Defender for Identity 配置(语言) | 可用 | 可用 | 不可用 |
更新 Defender for Identity 配置(通知,包括电子邮件和系统日志) | 可用 | 可用 | 不可用 |
更新 Defender for Identity 配置(预览检测) | 可用 | 可用 | 不可用 |
更新 Defender for Identity 配置(计划的报告) | 可用 | 可用 | 不可用 |
更新 Defender for Identity 配置(数据源,包括目录服务、SIEM、VPN、Defender for Endpoint) | 可用 | 不可用 | 不可用 |
更新 Defender for Identity 配置(传感器管理,包括下载软件、重新生成密钥、配置、删除) | 可用 | 不可用 | 不可用 |
查看实体配置文件和安全警报 | 可用 | 可用 | 可用 |
添加和删除用户
Defender for Identity 使用 Microsoft Entra 安全组作为角色组的基础。
从 Azure 门户上的“组管理”页管理角色组。 只能从安全组中添加或移除 Microsoft Entra 用户。