Microsoft Defender XDR 统一基于角色的访问控制 (RBAC)

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender for Identity
• Microsoft Defender for Office 365 计划 2
• Microsoft Defender 漏洞管理
• Microsoft Defender for Cloud

Microsoft Defender XDR 在单个门户中跨终结点、电子邮件、标识、应用程序和数据提供集成的威胁防护、检测和响应。 控制用户查看数据或完成任务的权限对于组织来说至关重要，这样才能将与未经授权的访问相关的风险降到最低。

Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) 模型提供单一权限管理体验，为管理员提供一个中心位置，以便跨不同的安全解决方案控制用户权限。

Microsoft Defender XDR 统一 RBAC 模型支持的内容

以下解决方案支持集中式权限管理：

解决方案	说明
Microsoft Defender XDR	Microsoft Defender XDR 体验的集中权限管理。
Microsoft Defender for Endpoint	对所有终结点数据和操作的完全支持。 所有角色都与设备组页上定义的设备组范围兼容。
Microsoft Defender 漏洞管理	所有 Defender 漏洞管理功能的集中权限管理。
Microsoft Defender for Office 365	完全支持所有数据和操作。 注意： 最初，Microsoft Defender XDR RBAC 模型仅适用于具有 Microsoft Defender for Office 365 计划 2 许可证的组织，) 不支持试用许可证 (。 不支持 (GDAP) 的精细委派管理员权限。 Exchange Online PowerShell 和安全性 & 合规性 PowerShell 继续使用 Exchange Online 角色 和 电子邮件 & 协作角色。 Microsoft Defender XDR 统一 RBAC 不会影响 Exchange Online PowerShell 或安全性 & 合规性 PowerShell。 之前在 Exchange Online RBAC 下的所有体验都不支持 Azure B2B 邀请的来宾。
Microsoft Defender for Identity	完全支持所有标识数据和操作。 注意： Defender for Identity 体验还遵循 从 Microsoft Defender for Cloud Apps 授予的权限。 有关详细信息，请参阅 Microsoft Defender for Identity 角色组。
Microsoft Defender for Cloud	支持Microsoft Defender 门户中提供的所有 Defender for Cloud 数据的访问管理。
Microsoft 安全功能分数	完全支持安全功能分数 中包含的产品中的所有安全功能分数数据。

注意

仍Microsoft Purview 合规性门户中管理由合规性权限控制的方案和体验。

此产品/服务目前不适用于 Microsoft Defender for CloudApps。

准备工作

本部分提供有关开始使用 Microsoft Defender XDR Unified RBAC 之前需要了解的内容的有用信息。

权限先决条件

• 必须是 Microsoft Entra ID 中的全局管理员或安全管理员才能：

  • 在 Microsoft Defender 门户中获取 对权限和角色 的初始访问权限。

  • 在 Microsoft Defender XDR 统一 RBAC 中管理角色和权限。

  • 创建自定义角色，该角色可以授予安全组或单个用户的访问权限，以在 Microsoft Defender XDR 统一 RBAC 中管理角色和权限。 这样就无需Microsoft Entra 全局角色来管理权限。 为此，需要在 Microsoft Defender XDR Unified RBAC 中分配 授权 权限。 有关如何分配授权权限的详细信息，请参阅 创建用于访问和管理角色和权限的角色。

• 当你为部分或所有工作负载（即全局管理员保留分配的管理员权限）激活 Microsoft Defender XDR 统一 RBAC 模型时，Microsoft Defender XDR 安全解决方案将继续尊重现有的 Microsoft Entra 全局角色。

重要

全局管理员是一种高特权角色，在无法使用现有角色时，应限制为方案。

迁移现有角色和权限

新的 Microsoft Defender XDR 统一 RBAC 模型可以轻松地将各个受支持的统一 RBAC 模型中的现有权限迁移到新的 RBAC 模型。

Microsoft Defender XDR 统一 RBAC 模型中列出的所有权限都与单个 RBAC 模型中的权限保持一致，以确保向后兼容。 有关权限如何一致的详细信息，请参阅 Microsoft Defender XDR 统一基于角色的访问控制中的映射权限 (RBAC) 。

激活 Microsoft Defender XDR 统一 RBAC 模型

必须激活 Microsoft Defender XDR 中的工作负载，才能使用 Microsoft Defender XDR 统一 RBAC 模型。 在激活之前，Microsoft Defender XDR 将继续遵循现有的 RBAC 模型。 有关详细信息，请参阅 激活 Microsoft Defender XDR Unified RBAC。

激活部分或全部工作负载以使用新的权限模型时，这些工作负载的角色和权限完全由 Microsoft Defender 门户中的 Microsoft Defender XDR 统一 RBAC 模型控制。

开始使用 Microsoft Defender XDR 统一 RBAC 模型

使用以下步骤作为开始使用 Microsoft Defender XDR 统一 RBAC 模型的指南：

1. 从现有 RBAC 角色模型创建自定义角色和导入角色入门

   • 创建自定义角色
   • 导入现有 RBAC 角色
   • 查看、编辑和删除 RBAC 角色

2. 使用 Microsoft Defender XDR 统一 RBAC 模型激活和管理角色

   • 激活 Microsoft Defender XDR Unified RBAC

3. 详细了解 Microsoft Defender XDR 统一 RBAC 模型

   • Microsoft Defender XDR 统一 RBAC 权限
   • 将现有 RBAC 角色映射到 Microsoft Defender XDR 统一 RBAC 角色

观看以下视频，了解前面的操作步骤：

提示

想要了解更多信息？ 在我们的技术社区：Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。