为Microsoft Defender for Endpoint部署分配角色和权限
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
部署 Defender for Endpoint 的下一步是为 Defender for Endpoint 部署分配角色和权限。
基于角色的访问控制
Microsoft 建议使用最小特权的概念。 Defender for Endpoint 利用 Microsoft Entra ID 中的内置角色。 Microsoft 建议 查看可用的不同角色, 并选择适当的角色来解决此应用程序每个角色的需求。 部署完成后,可能需要暂时应用和删除某些角色。
| Personas | 角色 | 如有必要,Microsoft Entra角色 () | 分配到 |
|---|---|---|---|
| 安全管理员 | |||
| 安全分析师 | |||
| 终结点管理员 | |||
| 基础结构管理员 | |||
| 业务所有者/利益干系人 | |||
Microsoft 建议使用Privileged Identity Management来管理角色,以便为具有目录权限的用户提供额外的审核、控制和访问评审。
Defender for Endpoint 支持两种管理权限的方法:
基本权限管理:将权限设置为完全访问权限或只读权限。 Microsoft Entra ID中具有全局管理员或安全管理员角色的用户具有完全访问权限。 安全读取者角色具有只读访问权限,不授予查看计算机/设备清单的权限。
基于角色的访问控制 (RBAC) :通过定义角色、将Microsoft Entra用户组分配给角色以及授予用户组对设备组的访问权限来设置精细权限。 有关详细信息。 请参阅 使用基于角色的访问控制管理门户访问。
Microsoft 建议利用 RBAC 来确保只有具有业务理由的用户才能访问 Defender for Endpoint。
可在此处找到有关权限准则的详细信息:Create角色并将角色分配给Microsoft Entra组。
以下示例表用于标识环境中的网络防御运营中心结构,该结构将帮助你确定环境所需的 RBAC 结构。
| 层 | 说明 | 需要权限 |
|---|---|---|
| 第 1 层 | 本地安全运营团队/IT 团队 此团队通常会会审并调查其地理位置中包含的警报,并在需要主动修正的情况下升级到第 2 层。 |
|
| 第 2 层 | 区域安全运营团队 此团队可以查看其所在区域的所有设备并执行修正操作。 |
查看数据 |
| 第 3 层 | 全球安全运营团队 此团队由安全专家组成,有权从门户查看和执行所有操作。 |
查看数据 警报调查 主动修正操作 警报调查 主动修正操作 管理门户系统设置 管理安全设置 |
后续步骤
分配角色和权限以查看和管理 Defender for Endpoint 后,接下来可以执行 步骤 3 - 标识体系结构并选择部署方法。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈