映射Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 权限
Microsoft Defender XDR统一 RBAC 模型中列出的所有权限都与单个 RBAC 模型中的现有权限保持一致。 激活Microsoft Defender XDR统一 RBAC 模型后,在导入的角色中配置的权限和分配将替换单个 RBAC 模型中的现有角色。
本文介绍Microsoft Defender for Endpoint、Microsoft Defender 漏洞管理、Microsoft Defender for Office 365中的现有角色和权限Microsoft Defender for Identity和Microsoft Entra角色映射到Microsoft Defender XDR统一 RBAC 模型中的角色和权限。
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender for Identity
- Microsoft Defender for Office 365 计划 2
- Microsoft Defender 漏洞管理
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
使用以下部分中的表详细了解现有的单个 RBAC 角色定义如何映射到新的 Microsoft Defender XDR统一 RBAC 角色:
- 映射 Defender for Endpoint 和Defender 漏洞管理权限
- 将Defender for Office 365权限映射到Microsoft Defender XDR统一 RBAC 权限
- 映射Microsoft Defender for Identity权限
- Microsoft Entra全局角色访问权限
Defender for Endpoint 和Defender 漏洞管理权限 | Microsoft Defender XDR统一 RBAC 权限 |
---|---|
查看数据 - 安全操作 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
查看数据 - Defender 漏洞管理 | 安全态势 \ 态势管理 \ 漏洞管理 (读取) |
警报调查 | 安全操作 \ 安全数据 \ 警报 (管理) |
活动修正操作 - 安全操作 | 安全操作 \ 安全数据 \ 响应 (管理) |
活动修正操作 - Defender 漏洞管理 - 异常处理 | 安全态势 \ 态势管理 \ 异常处理 (管理) |
活动修正操作 - Defender 漏洞管理 - 修正处理 | 安全态势 \ 态势管理 \ 修正处理 (管理) |
活动修正操作 - Defender 漏洞管理 - 应用程序处理 | 安全态势 \ 态势管理 \ 应用程序处理 (管理) |
Defender 漏洞管理 - 管理安全基线评估配置文件 | 安全态势 \ 态势管理 \ 安全基线评估 (管理) |
实时响应功能 | 安全操作 \ 基本实时响应 (管理) |
实时响应功能 - 高级 | 安全操作 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) |
在安全中心管理安全设置 | 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置\安全设置 \ 检测优化 (管理) |
管理门户系统设置 | 授权和设置 \ 系统设置 (读取和管理) |
在 Microsoft Intune 中管理终结点安全设置 | 不支持 - 此权限在Microsoft Intune管理中心进行管理 |
使用下表了解Defender for Office 365的现有Email &协作和保护相关Exchange Online权限如何映射到新的 Microsoft Defender XDR 统一 RBAC 权限:
在 的 Defender 门户中https://security.microsoft.com/emailandcollabpermissions配置了Email &协作权限。
Email &协作权限 | 类型 | Microsoft Defender XDR统一 RBAC 权限 |
---|---|---|
全局读取者 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email &协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
组织管理 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email & 协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 安全数据 \ Email高级操作 (管理) 安全操作 \ 安全数据 \ Email 隔离 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
安全管理员 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email &协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 安全数据 \ Email 隔离 (管理) 授权和设置 \ 授权 (读取) 授权和设置 \ 安全性设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
安全信息读取者 | 角色组 | 安全操作 \ 安全数据 \安全数据基础知识 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email &协作元数据 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
审核日志 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
管理通知 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) |
预览 | Role | 安全操作\ 安全操作 \ 原始数据 (Email & 协作) \ Email &协作内容 (读取) |
Quarantine | Role | 安全操作 \ 安全数据 \ Email 隔离 (管理) |
角色管理 | Role | 授权和设置 \ 授权 (读取和管理) |
搜索和清除 | Role | 安全操作 \ 安全数据 \ Email高级操作 (管理) |
View-Only 管理警报 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
仅查看收件人 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email & 协作元数据 (读取) |
仅查看审核日志 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
你在 Exchange 管理中心中配置了与保护相关的Exchange Online权限, (EAC) 位于 https://admin.exchange.microsoft.com/#/adminRoles。
Exchange Online权限 | 类型 | Microsoft Defender XDR统一 RBAC 权限 |
---|---|---|
安全管理 | 角色组 | 安全操作 \ 安全数据 \ Email 隔离 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理) |
组织管理 | 角色组 | 安全操作 \ 原始数据 (电子邮件 & 协作) \ Email &协作元数据 (读取) 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理) 授权和设置 \ 系统设置 (读取和管理) |
安全管理员 | 角色组 | 授权和设置 \ 安全设置 \ 检测优化 (管理) 授权和设置 \ 系统设置 (读取和管理) |
仅查看组织管理 | 角色组 | 授权和设置 \ 安全设置 (只读) 授权和设置 \ 系统设置 (只读) |
Tenant AllowBlockList 管理器 | Role | 授权和设置 \ 安全设置 \ 检测优化 (管理) |
仅查看收件人 | Role | 安全操作 \ 原始数据 (电子邮件 & 协作) \ Email & 协作元数据 (读取) |
Defender for Identity 权限 | Defender XDR统一 RBAC 权限 |
---|---|
MDI 管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
MDI 用户 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取) |
MDI 查看器 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
备注
Defender for Identity 体验还将遵循从 Microsoft Defender for Cloud Apps 授予的权限。 有关详细信息,请参阅Microsoft Defender for Identity角色组。 异常:如果在Microsoft Defender for Cloud Apps门户中为Microsoft Defender for Identity警报配置了作用域内部署,则这些权限不会延续。 需要显式授予安全操作 \ 安全数据 \ 安全数据基础知识 (相关门户用户的读取) 权限。
重要
应用治理支持Microsoft Entra角色,如Microsoft Defender for Cloud Apps应用治理中的角色中所述,不支持Defender for Cloud Apps与统一 RBAC 集成中定义的角色。
激活Defender for Cloud Apps与 Microsoft Defender XDR Unified RBAC 的集成后,将不再支持通过Defender for Cloud Apps门户中的内置作用域角色配置的以下角色:应用/实例管理员、用户组管理员、 Cloud Discovery 全局管理员和 Cloud Discovery 报表管理员。
Defender for Cloud Apps权限 | Defender XDR统一 RBAC 权限 |
---|---|
本地全局管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 态势管理 \ 安全功能分数 (读取) 安全操作 \ 态势管理 \ 安全功能分数 (管理) 授权和设置 \ 授权 (所有权限) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (所有权限) |
本地安全操作员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 授权 (读取) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取) |
本地安全读取器 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 授权和设置 \ 授权 (读取) 授权和设置 \ 安全设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取) |
本地合规性管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) </brAuthorization and settings \ Authorization (read) Authorization and settings \ Security settings \ Security settings (所有权限) 授权和设置 \ 系统设置 (读取) |
分配有Microsoft Entra全局角色的用户还可以访问Microsoft Defender门户。
使用此表了解默认情况下为每个工作负载分配的权限, (Defender for Endpoint、Defender 漏洞管理、Defender for Office 和 Defender for Identity) Microsoft Defender XDR Unified RBAC 中为每个全局Microsoft Entra角色分配的权限。
Microsoft Entra角色 | Microsoft Defender XDR为所有工作负载分配的统一 RBAC 权限 | Microsoft Defender XDR统一 RBAC 分配的权限 - 特定于工作负载 |
---|---|---|
全局管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
Defender for Endpoint 和仅Defender 漏洞管理权限权限 安全操作 \ 基本实时响应 (管理) 安全操作 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) 安全态势 \ 态势管理 \ 漏洞管理 (读取) 安全态势 \ 态势管理 \ 异常处理 (管理) 安全态势 \ 态势管理 \ 修正处理 (管理) 安全态势 \ 态势管理 \ 应用程序处理 (管理) 安全态势 \ 态势管理 \ 安全基线评估 (管理) Defender for Office 仅权限 安全操作 \ 安全数据 \ Email 隔离 (管理) 安全操作 \ 安全数据 \ Email高级操作 (管理) 安全操作 \ 原始数据 (Email &协作) \ Email &协作元数据 (读取) |
安全管理员 | 与全局管理员相同 | 与全局管理员相同 |
全局读取者 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (读取) |
Defender for Endpoint 和仅Defender 漏洞管理权限权限 安全态势 \ 态势管理 \ 漏洞管理 (读取) Defender for Office 仅权限 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email & 协作元数据 (读取) 授权和设置 \ 授权 (读取) Defender for Office 和 Defender for Identity 仅权限 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
安全读者 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (读取) |
Defender for Endpoint 和仅Defender 漏洞管理权限权限 安全态势 \ 态势管理 \ 漏洞管理 (读取) Defender for Office 仅权限 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email & 协作元数据 (读取) Defender for Office 和 Defender for Identity 权限 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
安全操作员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全态势 \ 态势管理 \ 安全功能分数 (读取) 授权和设置 \ 安全设置 (所有权限) |
Defender for Endpoint 和仅Defender 漏洞管理权限权限 安全操作 \ 安全数据 \ 基本实时响应 (管理) 安全操作 \ 安全数据 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) 安全态势 \ 态势管理 \ 漏洞管理 (读取) 安全态势 \ 态势管理 \ 异常处理 (管理) 安全态势 \ 态势管理 \ 修正处理 (管理) Defender for Office 仅权限 安全操作 \ 原始数据 (Email & 协作) \ Email &协作元数据 (读取) 授权和设置 \ 系统设置 (读取和管理) Defender for Identity 权限 授权和设置 \ 系统设置 (读取) |
Exchange 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) |
Defender for Office 仅限权限 安全操作 \ 安全数据 \ 安全数据基本 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email &协作元数据 (读取) 授权和设置 \ 系统设置 (读取和管理) |
SharePoint 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) |
不适用 |
服务支持管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
用户管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
HelpDesk 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
合规性管理员 | 不适用 |
Defender for Office 仅限权限 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) |
合规性数据管理员 | 不适用 | 与合规性管理员相同 |
帐务管理员 | 不适用 | 不适用 |
备注
通过激活Microsoft Defender XDR统一 RBAC 模型,具有安全读取者和全局读取者角色的用户可以访问 Defender for Endpoint 数据。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。