映射Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 权限
Microsoft Defender XDR统一 RBAC 模型中列出的所有权限都与单个 RBAC 模型中的现有权限保持一致。 激活Microsoft Defender XDR统一 RBAC 模型后,在导入的角色中配置的权限和分配将替换单个 RBAC 模型中的现有角色。
本文介绍Microsoft Defender for Endpoint、Microsoft Defender 漏洞管理、Microsoft Defender for Office 365中的现有角色和权限Microsoft Defender for Identity和Microsoft Entra角色映射到Microsoft Defender XDR统一 RBAC 模型中的角色和权限。
适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender for Identity
- Microsoft Defender for Office 365 计划 2
- Microsoft Defender 漏洞管理
- Microsoft Defender for Cloud
将统一 RBAC 权限映射到现有 RBAC 权限Microsoft Defender XDR
使用以下部分中的表详细了解现有的单个 RBAC 角色定义如何映射到新的 Microsoft Defender XDR统一 RBAC 角色:
- Map Defender for Endpoint 和 Defender 漏洞管理权限
- 将Defender for Office 365权限映射到Microsoft Defender XDR统一 RBAC 权限
- 映射Microsoft Defender for Identity权限
- Microsoft Entra全局角色访问权限
将 Defender for Endpoint 和 Defender 漏洞管理权限映射到 Microsoft Defender XDR RBAC 权限
| Defender for Endpoint 和 Defender 漏洞管理权限 | Microsoft Defender XDR统一 RBAC 权限 |
|---|---|
| 查看数据 - 安全操作 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
| 查看数据 - Defender 漏洞管理 | 安全态势 \ 态势管理 \ 漏洞管理 (读取) |
| 警报调查 | 安全操作 \ 安全数据 \ 警报 (管理) |
| 活动修正操作 - 安全操作 | 安全操作 \ 安全数据 \ 响应 (管理) |
| 主动修正操作 - Defender 漏洞管理 - 异常处理 | 安全态势 \ 态势管理 \ 异常处理 (管理) |
| 主动修正操作 - Defender 漏洞管理 - 修正处理 | 安全态势 \ 态势管理 \ 修正处理 (管理) |
| 主动修正操作 - Defender 漏洞管理 - 应用程序处理 | 安全态势 \ 态势管理 \ 应用程序处理 (管理) |
| Defender 漏洞管理 - 管理安全基线评估配置文件 | 安全态势 \ 态势管理 \ 安全基线评估 (管理) |
| 实时响应功能 | 安全操作 \ 基本实时响应 (管理) |
| 实时响应功能 - 高级 | 安全操作 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) |
| 在安全中心管理安全设置 | 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置\安全设置 \ 检测优化 (管理) |
| 管理门户系统设置 | 授权和设置 \ 系统设置 (读取和管理) |
| 在 Microsoft Intune 中管理终结点安全设置 | 不支持 - 此权限在Microsoft Intune管理中心进行管理 |
将Defender for Office 365权限映射到Microsoft Defender XDR统一 RBAC 权限
使用下表了解Defender for Office 365的现有Email &协作和保护相关Exchange Online权限如何映射到新的 Microsoft Defender XDR 统一 RBAC 权限:
Email &协作权限映射
在 的 Defender 门户中https://security.microsoft.com/emailandcollabpermissions配置了Email &协作权限。
| Email &协作权限 | 类型 | Microsoft Defender XDR统一 RBAC 权限 |
|---|---|---|
| 全局读取者 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email 消息头 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 组织管理 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email消息头 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 安全数据 \ Email 高级操作 (管理) 安全操作 \ 安全数据 \ Email 隔离 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
| 安全管理员 | 角色组 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email 消息头 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 安全数据 \ Email隔离 (管理) 授权和设置 \ 授权 (读取) 授权和设置 \ 安全性设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
| 安全信息读取者 | 角色组 | 安全操作 \ 安全数据 \安全数据基础知识 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email消息标头 (读取) 安全操作 \ 安全数据 \ 响应 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 审核日志 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
| 管理通知 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) |
| 预览 | Role | 安全操作\ 安全操作 \ 原始数据 (Email & 协作) \ Email内容 (读取) |
| Quarantine | Role | 安全操作 \ 安全数据 \ Email 隔离 (管理) |
| 角色管理 | Role | 授权和设置 \ 授权 (读取和管理) |
| 搜索和清除 | Role | 安全操作 \ 安全数据 \ Email高级操作 (管理) |
| View-Only 管理警报 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
| 仅查看收件人 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email 消息头 (读取) |
| 仅查看审核日志 | Role | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) |
Exchange Online权限映射
你在 Exchange 管理中心中配置了与保护相关的Exchange Online权限, (EAC) 位于 https://admin.exchange.microsoft.com/#/adminRoles。
| Exchange Online权限 | 类型 | Microsoft Defender XDR统一 RBAC 权限 |
|---|---|---|
| 安全管理 | 角色组 | 安全操作 \ 安全数据 \ Email 隔离 (管理) 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理) |
| 组织管理 | 角色组 | 安全操作 \ 原始数据 (电子邮件 & 协作) \ Email 邮件头 (读取) 授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理) 授权和设置 \ 系统设置 (读取和管理) |
| 安全管理员 | 角色组 | 授权和设置 \ 安全设置 \ 检测优化 (管理) 授权和设置 \ 系统设置 (读取和管理) |
| 仅查看组织管理 | 角色组 | 授权和设置 \ 安全设置 (只读) 授权和设置 \ 系统设置 (只读) |
| Tenant AllowBlockList 管理器 | Role | 授权和设置 \ 安全设置 \ 检测优化 (管理) |
| 仅查看收件人 | Role | 安全操作 \ 原始数据 (电子邮件 & 协作) \ Email 邮件头 (读取) |
将Microsoft Defender for Identity权限映射到Microsoft Defender XDR统一 RBAC 权限
| Defender for Identity 权限 | 统一 RBAC 权限 |
|---|---|
| MDI 管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) |
| MDI 用户 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取) |
| MDI 查看器 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
注意
Defender for Identity 体验还将遵循从 Microsoft Defender for Cloud Apps 授予的权限。 有关详细信息,请参阅Microsoft Defender for Identity角色组。
异常:如果在Microsoft Defender for Cloud Apps门户中为Microsoft Defender for Identity警报配置了作用域内部署,则这些权限不会延续。 需要显式授予安全操作 \ 安全数据 \ 安全数据基础知识 (相关门户用户的读取) 权限。
Microsoft Entra全局角色访问权限
分配有Microsoft Entra全局角色的用户还可以访问Microsoft Defender门户。
使用此表了解默认情况下为每个工作负荷分配的权限, (Defender for Endpoint、Defender 漏洞管理、Defender for Office 和 Defender for Identity) Microsoft Defender XDR Unified RBAC 中为每个全局Microsoft Entra角色分配的权限。
| Microsoft Entra角色 | Microsoft Defender XDR为所有工作负载分配的统一 RBAC 权限 | Microsoft Defender XDR统一 RBAC 分配的权限 - 特定于工作负载 |
|---|---|---|
| 全局管理员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) 授权和设置 \ 授权 (读取和管理) 授权和设置 \ 安全设置 (所有权限) 授权和设置 \ 系统设置 (读取和管理) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全操作 \ 基本实时响应 (管理) 安全操作 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) 安全态势 \ 态势管理 \ 漏洞管理 (读取) 安全态势 \ 态势管理 \ 异常处理 (管理) 安全态势 \ 态势管理 \ 修正处理 (管理) 安全态势 \ 态势管理 \ 应用程序处理 (管理) 安全态势 \ 态势管理 \ 安全基线评估 (管理) Defender for Office 仅权限 安全操作 \ 安全数据 \ Email 隔离 (管理) 安全操作 \ 安全数据 \ Email高级操作 (管理) 安全操作 \ 原始数据 (Email &协作) \ Email邮件头 (读取) |
| 安全管理员 | 与全局管理员相同 | 与全局管理员相同 |
| 全局读取者 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (读取) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全态势 \ 态势管理 \ 漏洞管理 (读取) Defender for Office 仅权限 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email 邮件头 (读取) 授权和设置 \ 授权 (读取) Defender for Office 和 Defender for Identity 权限授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 安全读者 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (读取) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全态势 \ 态势管理 \ 漏洞管理 (读取) Defender for Office 仅权限 安全操作 \ 安全数据 \ 响应 (管理) 安全操作 \ 原始数据 (Email & 协作) \ Email 邮件头 (读取) Defender for Office 和 Defender for Identity 权限授权和设置 \ 安全设置 \ 核心安全设置 (读取) 授权和设置 \ 系统设置 (读取) |
| 安全操作员 | 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) 安全操作 \ 安全数据 \ 响应 (管理) 安全态势 \ 态势管理 \ 安全功能分数 (读取) 授权和设置 \ 安全设置 (所有权限) | Defender for Endpoint 和 Defender 漏洞管理权限仅权限安全操作 \ 安全数据 \ 基本实时响应 (管理) 安全操作 \ 安全数据 \ 高级实时响应 (管理) 安全操作 \ 安全数据 \ 文件收集 (管理) 安全态势 \ 态势管理 \ 漏洞管理 (读取) 安全态势 \ 态势管理 \ 异常处理 (管理) 安全态势 \ 态势管理 \ 修正处理 (管理) Defender for Office 仅权限安全操作 \ 原始数据 (Email & 协作) \ Email 邮件头 (读取) 授权和设置 \ 系统设置 (读取和管理) Defender for Identity 权限授权和设置 \ 系统设置 (读取) |
| Exchange 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) | Defender for Office 仅限权限安全操作 \ 安全数据 \ 安全数据基本 (读取) 安全操作 \ 原始数据 (Email & 协作) \ Email 消息头 (读取) 授权和设置 \ 系统设置 (读取和管理) |
| SharePoint 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) 安全态势 \ 态势管理 \ 安全功能分数 (管理) | 不适用 |
| 服务支持管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
| 用户管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
| HelpDesk 管理员 | 安全态势 \ 态势管理 \ 安全功能分数 (读取) | 不适用 |
| 合规性管理员 | 不适用 | Defender for Office 仅限权限 安全操作 \ 安全数据 \ 安全数据基础知识 (读取) 安全操作 \ 安全数据 \ 警报 (管理) |
| 合规性数据管理员 | 不适用 | 与合规性管理员相同 |
| 帐务管理员 | 不适用 | 不适用 |
注意
通过激活Microsoft Defender XDR统一 RBAC 模型,具有安全读取者和全局读取者角色的用户将有权访问 Defender for Endpoint 数据。
后续步骤
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈