映射 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) 权限
Microsoft Defender XDR 统一 RBAC 模型中列出的所有权限都与单个 RBAC 模型中的现有权限保持一致。 激活 Microsoft Defender XDR 统一 RBAC 模型后,在导入的角色中配置的权限和分配将替换单个 RBAC 模型中的现有角色。
本文介绍 Microsoft Defender for Endpoint、Microsoft Defender 漏洞管理、Microsoft Defender for Office 365、Microsoft Defender for Identity 和 Microsoft Entra 角色中的现有角色和权限如何映射到 Microsoft Defender XDR 统一 RBAC 模型中的角色和权限。
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender for Identity
- Microsoft Defender for Office 365 计划 2
- Microsoft Defender 漏洞管理
- Microsoft Defender for Cloud
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
将 Microsoft Defender XDR 统一 RBAC 权限映射到现有 RBAC 权限
使用以下部分中的表详细了解现有单个 RBAC 角色定义如何映射到新的 Microsoft Defender XDR 统一 RBAC 角色:
- Map Defender for Endpoint 和 Defender 漏洞管理权限
- 将 Defender for Office 365 权限映射到 Microsoft Defender XDR 统一 RBAC 权限
- 映射 Microsoft Defender for Identity 权限
- Microsoft Entra 全局角色访问权限
将 Defender for Endpoint 和 Defender 漏洞管理权限映射到 Microsoft Defender XDR RBAC 权限
| Defender for Endpoint 和 Defender 漏洞管理权限 | Microsoft Defender XDR 统一 RBAC 权限 |
|---|---|
| 查看数据 - 安全操作 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
| 查看数据 - Defender 漏洞管理 | 安全态势 \ 态势管理 \ 漏洞管理 (读取) |
| 警报调查 | 安全操作 \ 安全数据 \ 警报 (管理) |
| 活动修正操作 - 安全操作 | 安全操作 \ 安全数据 \ 响应 (管理) |
| 主动修正操作 - Defender 漏洞管理 - 异常处理 | 安全态势 \ 态势管理 \ 异常处理 (管理) |
| 主动修正操作 - Defender 漏洞管理 - 修正处理 | 安全态势 \ 态势管理 \ 修正处理 (管理) |
| 主动修正操作 - Defender 漏洞管理 - 应用程序处理 | 安全态势 \ 态势管理 \ 应用程序处理 (管理) |
| Defender 漏洞管理 - 管理安全基线评估配置文件 | 安全态势 \ 态势管理 \ 安全基线评估 (管理) |
| 实时响应功能 | 安全操作 \ 基本实时响应 (管理) |
| 实时响应功能 - 高级 | 安全操作 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) |
| 在安全中心管理安全设置 | 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置\安全设置 \ 检测优化 (管理) |
| 管理门户系统设置 | 授权和设置 \ 系统设置 (读取和管理) |
| 在 Microsoft Intune 中管理终结点安全设置 | 不支持 - 此权限在 Microsoft Intune 管理中心进行管理 |
将 Defender for Office 365 权限映射到 Microsoft Defender XDR 统一 RBAC 权限
使用下表了解现有的 Defender for Office 365 电子邮件 & 协作和保护相关 Exchange Online 权限如何映射到新的 Microsoft Defender XDR 统一 RBAC 权限:
电子邮件 & 协作权限映射
你在 Defender 门户中 https://security.microsoft.com/emailandcollabpermissions配置了电子邮件 & 协作权限。
| 电子邮件 & 协作权限 | 类型 | Microsoft Defender XDR 统一 RBAC 权限 |
|---|---|---|
| 全局读取者 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 组织管理 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 安全数据 \ 电子邮件高级操作 (管理) 安全操作 \ 安全数据 \ 电子邮件隔离 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全性设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
| 安全管理员 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 安全数据 \ 电子邮件隔离 (管理) 授权和设置 \ 授权 (读取) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
| 安全信息读取者 | 角色组 | 安全操作 \ 安全数据 \安全数据基础知识 (读取) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 审核日志 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
| 管理通知 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) |
| 预览 | Role | 安全操作\ 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作内容 (读取) |
| Quarantine | Role | 安全操作 \ 安全数据 \ 电子邮件隔离 (管理) |
| 角色管理 | Role | 授权和设置 \ 授权 (读取和管理) |
| 搜索和清除 | Role | 安全操作 \ 安全数据 \ 电子邮件高级操作 (管理) |
| View-Only 管理警报 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
| 仅查看收件人 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) |
| 仅查看审核日志 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
Exchange Online 权限映射
你在 Exchange 管理中心中配置了与保护相关的 Exchange Online 权限, (EAC) 。https://admin.exchange.microsoft.com/#/adminRoles
| Exchange Online 权限 | 类型 | Microsoft Defender XDR 统一 RBAC 权限 |
|---|---|---|
| 安全管理 | 角色组 | 安全操作 \ 安全数据 \ 电子邮件隔离 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理) |
| 组织管理 | 角色组 | 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理) 授权和设置 \ 系统设置 (读取和管理) |
| 安全管理员 | 角色组 | 授权和设置 \ 安全设置 \ 检测优化 (管理) 授权和设置 \ 系统设置 (读取和管理) |
| 仅查看组织管理 | 角色组 | 授权和设置 \ 安全设置 (只读) 授权和设置 \ 系统设置 (只读) |
| Tenant AllowBlockList 管理器 | Role | 授权和设置 \ 安全设置 \ 检测优化 (管理) |
| 仅查看收件人 | Role | 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) |
将 Microsoft Defender for Identity 权限映射到 Microsoft Defender XDR 统一 RBAC 权限
| Defender for Identity 权限 | 统一 RBAC 权限 |
|---|---|
| MDI 管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
| MDI 用户 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取) |
| MDI 查看器 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
注意
Defender for Identity 体验还将遵循 Microsoft Defender for Cloud Apps 授予的权限。 有关详细信息,请参阅 Microsoft Defender for Identity 角色组。
异常:如果在 Microsoft Defender for Cloud Apps 门户中为 Microsoft Defender for Identity 警报配置 了作用域部署 ,则这些权限不会延续。 需要显式授予安全操作 \ 安全数据 \ 安全数据基础知识 (相关门户用户的读取) 权限。
Microsoft Entra 全局角色访问权限
分配有 Microsoft Entra 全局角色的用户还可以访问 Microsoft Defender 门户。
使用此表了解默认情况下为每个工作负载分配的权限, (Defender for Endpoint、Defender 漏洞管理、Defender for Office 和 Defender for Identity) Microsoft Defender XDR Unified RBAC 中为每个全局 Microsoft Entra 角色分配的权限。
| Microsoft Entra 角色 | Microsoft针对所有工作负荷分配的 Defender XDR 统一 RBAC 权限 | Microsoft Defender XDR 统一 RBAC 分配的权限 - 特定于工作负载 |
|---|---|---|
| 全局管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全操作 \ 基本实时响应 (管理) 安全操作 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) 安全态势 \ 态势管理 \ 漏洞管理 (读取) 安全态势 \ 态势管理 \ 异常处理 (管理) 安全态势 \ 态势管理 \ 修正处理 (管理) 安全态势 \ 态势管理 \ 应用程序处理 (管理) 安全态势 \ 态势管理 \ 安全基线评估 (管理) Defender for Office 仅权限 安全操作 \ 安全数据 \ 电子邮件隔离 (管理) 安全操作 \ 安全数据 \ 电子邮件高级操作 (管理) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) |
| 安全管理员 | 与全局管理员相同 | 与全局管理员相同 |
| 全局读取者 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (读取) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全态势 \ 态势管理 \ 漏洞管理 (读取) Defender for Office 仅权限 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 授权和设置 \ 授权 (读取) Defender for Office 和 Defender for Identity 仅权限授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 安全读者 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (读取) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全态势 \ 态势管理 \ 漏洞管理 (读取) Defender for Office 仅权限 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) Defender for Office 和 Defender for Identity 权限授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 安全操作员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全态势 \ 态势管理 \ 安全功能分数 (读取) 授权和设置 \ 安全设置 (所有权限) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全操作 \ 安全数据 \ 基本实时响应 (管理) 安全操作 \ 安全数据 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) 安全态势 \ 态势管理 \ 漏洞管理 (读取) 安全态势 \ 态势管理 \ 异常处理 (管理) 安全态势 \ 态势管理 \ 修正处理 (管理) Defender for Office 仅权限安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 授权和设置 \ 系统设置 (读取和管理) Defender for Identity 仅权限授权和设置 \ 系统设置 (读取) |
| Exchange 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) | Defender for Office 仅限权限安全操作 \ 安全数据 \ 安全数据基本 (读取) 安全操作 \ 原始数据 (电子邮件 & 协作) \ 电子邮件 & 协作元数据 (读取) 授权和设置 \ 系统设置 (读取和管理) |
| SharePoint 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) | 不适用 |
| 服务支持管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
| 用户管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
| HelpDesk 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
| 合规性管理员 | 不适用 | Defender for Office 仅限权限 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) |
| 合规性数据管理员 | 不适用 | 与合规性管理员相同 |
| 帐务管理员 | 不适用 | 不适用 |
注意
通过激活 Microsoft Defender XDR 统一 RBAC 模型,具有安全读取者和全局读取者角色的用户可以访问 Defender for Endpoint 数据。
后续步骤
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈