Microsoft Defender XDR的基于角色的访问控制中的自定义角色

  • 项目

注意

Microsoft Defender XDR用户现在可以利用集中式权限管理解决方案来控制用户跨不同 Microsoft 安全解决方案的访问权限和权限。 详细了解 Microsoft Defender XDR统一基于角色的访问控制 (RBAC)

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

适用于:

  • Microsoft Defender XDR

有两种类型的角色可用于访问Microsoft Defender XDR:

  • 全局Microsoft Entra角色
  • 自定义角色

通过使用 Microsoft Entra ID 中的全局角色,可以共同管理对Microsoft Defender XDR的访问

如果需要更大的灵活性和控制对特定产品数据的访问,还可以通过每个各自的安全门户创建自定义角色来管理Microsoft Defender XDR访问权限。

例如,通过 Microsoft Defender for Endpoint 创建的自定义角色将允许访问相关的产品数据,包括Microsoft Defender门户中的终结点数据。 同样,通过 Microsoft Defender for Office 365 创建的自定义角色将允许访问相关产品数据,包括Microsoft Defender门户中的Email &协作数据。

具有现有自定义角色的用户可以根据其现有工作负载权限访问Microsoft Defender门户中的数据,无需进行其他配置。

Create和管理自定义角色

可以通过以下每个安全门户创建和单独管理自定义角色和权限:

通过单个门户创建的每个自定义角色都允许访问相关产品门户的数据。 例如,通过 Microsoft Defender for Endpoint 创建的自定义角色将仅允许访问 Defender for Endpoint 数据。

提示

还可以通过Microsoft Defender门户访问权限和角色,方法是从导航窗格中选择“权限 & 角色”。 Microsoft Defender for Cloud Apps的访问权限通过 Defender for Cloud Apps 门户进行管理,并控制对Microsoft Defender for Identity的访问。 请参阅Microsoft Defender for Cloud Apps

注意

在 Microsoft Defender for Cloud Apps 中创建的自定义角色也有权访问Microsoft Defender for Identity数据。 具有用户组管理员或应用/实例管理员Microsoft Defender for Cloud Apps角色的用户无法通过Microsoft Defender门户访问Microsoft Defender for Cloud Apps数据。

在Microsoft Defender门户中管理权限和角色

还可以在 Microsoft Defender 门户中管理权限和角色:

  1. 在 security.microsoft.com 登录到 Microsoft Defender 门户。
  2. 在导航窗格中,选择 权限和角色
  3. “权限” 标头下,选择“ 角色”。

注意

这仅适用于 Defender for Office 365 和 Defender for Endpoint。 必须在其相关门户中访问其他工作负载。

所需角色和权限

下表概述了访问每个工作负载中每个统一体验所需的角色和权限。 下表中定义的角色是指单个门户中的自定义角色,并且未连接到Microsoft Entra ID中的全局角色,即使名称类似。

注意

事件管理需要对属于事件的所有产品进行权限管理。

Microsoft Defender XDR工作负载 Defender for Endpoint 需要以下角色之一 Defender for Office 365需要以下角色之一 Defender for Cloud Apps 需要以下角色之一
查看调查数据:
  • “警报”页
  • 警报队列
  • 事件
  • 事件队列
  • 操作中心
 查看数据 - 安全操作
  • 仅查看管理警报
  • 组织配置
  • 审核日志
  • 仅查看审核日志
  • 安全读者
  • 安全管理员
  • 仅查看收件人
  • 全局管理员
  • 安全管理员
  • 合规性管理员
  • 安全操作员
  • 安全读者
  • 全局读取者
查看搜寻数据、保存、编辑和删除搜寻查询和函数 查看数据 - 安全操作
  • 安全读者
  • 安全管理员
  • 仅查看收件人
  • 全局管理员
  • 安全管理员
  • 合规性管理员
  • 安全操作员
  • 安全读者
  • 全局读取者
管理警报和事件 警报调查
  • 管理警报
  • 安全管理员
  • 全局管理员
  • 安全管理员
  • 合规性管理员
  • 安全操作员
  • 安全读者
操作中心修正 活动修正操作 - 安全操作 搜索和清除
设置自定义检测 管理安全设置
  • 管理警报
  • 安全管理员
  • 全局管理员
  • 安全管理员
  • 合规性管理员
  • 安全操作员
  • 安全读者
  • 全局读取者
威胁分析 警报和事件数据:
  • 查看数据 - 安全操作
Defender 漏洞管理缓解措施:
  • 查看数据 - 威胁和漏洞管理
 警报和事件数据:
  • 仅查看管理警报
  • 管理警报
  • 组织配置
  • 审核日志
  • 仅查看审核日志
  • 安全读者
  • 安全管理员
  • 仅查看收件人
阻止的电子邮件尝试:
  • 安全读者
  • 安全管理员
  • 仅查看收件人
 不适用于 Defender for Cloud Apps 或 MDI 用户

例如,若要查看Microsoft Defender for Endpoint的搜寻数据,需要“查看数据安全操作”权限。

同样,若要查看Microsoft Defender for Office 365的搜寻数据,用户需要以下角色之一:

  • 查看数据安全操作
  • 安全读者
  • 安全管理员
  • 仅查看收件人

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区