Microsoft Defender XDR统一的基于角色的访问控制 (RBAC)

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender for Identity
• Microsoft Defender for Office 365 计划 2
• Microsoft Defender 漏洞管理
• Microsoft Defender for Cloud

Microsoft Defender XDR在单个门户中跨终结点、电子邮件、标识、应用程序和数据提供集成的威胁防护、检测和响应。 控制用户查看数据或完成任务的权限对于组织来说至关重要，这样才能将与未经授权的访问相关的风险降到最低。

Microsoft Defender XDR基于角色的统一访问控制 (RBAC) 模型提供单一权限管理体验，为管理员提供一个中心位置，以便跨不同的安全解决方案控制用户权限。

Microsoft Defender XDR统一 RBAC 模型支持的内容

以下解决方案支持集中式权限管理：

解决方案	说明
Microsoft Defender XDR	针对Microsoft Defender XDR体验的集中权限管理。
Microsoft Defender for Endpoint	对所有终结点数据和操作的完全支持。 所有角色都与设备组页上定义的设备组范围兼容。
Microsoft Defender 漏洞管理	所有 Defender 漏洞管理功能的集中权限管理。
Microsoft Defender for Office 365	完全支持由Email &协作角色控制的所有数据和操作方案，以及由Exchange Online权限控制的方案。 注意： Microsoft Defender XDR RBAC 模型最初仅适用于具有计划 2 许可证Microsoft Defender for Office 365的组织。 使用试用许可证的用户无法使用此功能。 不支持 (GDAP) 的精细委派管理员权限。 允许在 Exchange Online PowerShell 和安全性 & 合规性 PowerShell 继续使用旧的 RBAC 模型，并且不受统一 RBAC Microsoft Defender XDR的影响。 Azure B2B 邀请的来宾不受以前低于 RBAC Exchange Online 的体验的支持。
Microsoft Defender for Identity	完全支持所有标识数据和操作。 注意：Defender for Identity 体验还遵循从 Microsoft Defender for Cloud Apps 授予的权限。 有关详细信息，请参阅Microsoft Defender for Identity角色组。
Microsoft Defender for Cloud	支持Microsoft Defender门户中提供的所有 Defender for Cloud 数据的访问管理。
Microsoft 安全功能分数	完全支持安全功能分数 中包含的产品中的所有安全功能分数数据。

注意

由合规性权限控制的方案和体验仍Microsoft Purview 合规门户进行管理。

此产品/服务当前不适用于 cloudApps Microsoft Defender。

准备工作

本部分提供有关开始使用统一 RBAC Microsoft Defender XDR之前需要了解的内容的有用信息。

权限先决条件

• 必须是Microsoft Entra ID中的全局管理员或安全管理员，才能：

  • 在 Microsoft Defender 门户中获取对权限和角色的初始访问权限。

  • 在统一 RBAC 中管理Microsoft Defender XDR角色和权限。

  • Create自定义角色，该角色可以向安全组或单个用户授予访问权限，以在统一 Microsoft Defender XDR的 RBAC 中管理角色和权限。 这样就无需Microsoft Entra全局角色来管理权限。 为此，需要在统一 RBAC Microsoft Defender XDR 分配授权权限。 有关如何分配授权权限的详细信息，请参阅Create角色来访问和管理角色和权限。

• 当你为部分或所有工作负载（即全局管理员保留分配的管理员权限）激活Microsoft Defender XDR统一 RBAC 模型时，Microsoft Defender XDR安全解决方案会继续尊重现有Microsoft Entra全局角色。

迁移现有角色和权限

新的 Microsoft Defender XDR 统一 RBAC 模型可以轻松地将各个受支持的统一 RBAC 模型中的现有权限迁移到新的 RBAC 模型。

Microsoft Defender XDR统一 RBAC 模型中列出的所有权限都与单个 RBAC 模型中的权限保持一致，以确保向后兼容。 有关权限如何一致的详细信息，请参阅映射Microsoft Defender XDR统一的基于角色的访问控制中的权限 (RBAC) 。

激活Microsoft Defender XDR统一 RBAC 模型

必须激活 Microsoft Defender XDR 中的工作负载才能使用 Microsoft Defender XDR 统一 RBAC 模型。 在激活之前，Microsoft Defender XDR将继续遵循现有的 RBAC 模型。 有关详细信息，请参阅激活Microsoft Defender XDR统一 RBAC。

激活部分或全部工作负载以使用新的权限模型时，这些工作负载的角色和权限完全由Microsoft Defender门户中的统一 RBAC 模型Microsoft Defender XDR控制。

开始使用Microsoft Defender XDR统一 RBAC 模型

使用以下步骤作为开始使用统一 RBAC 模型Microsoft Defender XDR指南：

1. 从现有 RBAC 角色模型创建自定义角色和导入角色入门

   • 创建自定义角色
   • 导入现有 RBAC 角色
   • 查看、编辑和删除 RBAC 角色

2. 使用Microsoft Defender XDR统一 RBAC 模型激活和管理角色

   • 激活 Microsoft Defender XDR Unified RBAC

3. 详细了解Microsoft Defender XDR统一 RBAC 模型

   • Microsoft Defender XDR统一 RBAC 权限
   • 将现有 RBAC 角色映射到Microsoft Defender XDR统一 RBAC 角色

观看以下视频，了解前面的操作步骤：

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。