分享方式:

使用角色型訪問控制來管理入口網站存取

  • 文章

注意事項

如果您執行 Microsoft Defender XDR 預覽程式,您現在可以體驗新的 Microsoft Defender 365 整合角色型存取控制 (RBAC) 模型。 如需詳細資訊, 請參閱 Microsoft Defender 365 Unified 角色型訪問控制 (RBAC)

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

使用角色型訪問控制 (RBAC) ,您可以在安全性作業小組內建立角色和群組,以授與對入口網站的適當存取權。 根據您建立的角色和群組,您可以更精細地控制具有入口網站存取權的使用者可查看和執行的動作。

重要事項

Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

大型異地分散式安全性作業小組通常會採用以階層為基礎的模型,以指派及授權安全性入口網站的存取權。 一般層包含下列三個層級:

層級 描述
第 1 層 本機安全性作業小組 / IT 小組
此小組通常會對其地理位置內包含的警示進行分級和調查,並在需要主動補救的情況下呈報至第 2 層。
第 2 層 區域安全性作業小組
此小組可以查看其區域的所有裝置,並執行補救動作。
第3層 全域安全性作業小組
此小組是由安全性專家所組成,並有權從入口網站查看和執行所有動作。

注意事項

針對第 0 層資產,請參閱安全性系統管理員的特殊許可權身分識別 管理 ,以提供適用於端點的 Microsoft Defender 和 Microsoft Defender XDR 的更細微控制。

適用於端點的 Defender RBAC 旨在支援您選擇的層級或角色型模型,並可讓您更細微地控制哪些角色可以看到哪些角色、他們可以存取的裝置,以及他們可以採取的動作。 RBAC 架構是以下列控件為中心:

  • 控制誰可以採取特定動作
    • 建立自定義角色,並控制他們可透過數據粒度存取的適用於端點的 Defender 功能。
  • 控制誰可以查看特定裝置群組或群組的資訊

    • 依特定準則建立裝置群組,例如名稱、標籤、網域和其他專案,然後使用特定Microsoft Entra 使用者群組授與角色存取權。

      注意事項

      適用於端點的Defender方案1和方案2支援裝置群組建立。

若要實作角色型存取,您必須定義系統管理員角色、指派對應的許可權,以及指派Microsoft指派給角色的 Entra 使用者群組。

開始之前

在使用 RBAC 之前,請務必瞭解可授與許可權的角色,以及開啟 RBAC 的後果。

警告

啟用此功能之前,請務必在 Microsoft Entra ID 中具有全域管理員角色或安全性系統管理員角色,而且您已準備好Microsoft Entra 群組,以降低遭到鎖定入口網站的風險。

當您第一次登入 Microsoft Defender 入口網站時,系統會授與您完整存取權或只讀存取權。 在 Microsoft Entra ID 中,將完整訪問許可權授與具有安全性系統管理員或全域管理員角色的使用者。 唯讀存取權會授與在 Microsoft Entra ID 中具有安全性讀取者角色的使用者。

具有適用於端點的 Defender 全域管理員角色的人員,不論其裝置群組關聯和 Microsoft Entra 使用者群組指派為何,都能不受限制地存取所有裝置。

警告

一開始,只有具有 Microsoft 全域管理員或安全性系統管理員許可權的人員,才能在 Microsoft Defender 入口網站中建立及指派角色;因此,請務必在 Microsoft Entra ID 中備妥正確的群組。

開啟角色型訪問控制會導致具有唯讀許可權的使用者 (例如,指派給 Microsoft Entra Security 讀取者角色的使用者) 失去存取權,直到指派給角色為止。

具有系統管理員許可權的用戶會自動獲指派具有完整許可權的預設內建適用於端點的Defender全域管理員角色。 選擇使用 RBAC 之後,您可以將未Microsoft Entra Global Administrators 或安全性系統管理員的其他使用者指派給適用於端點的 Defender 全域管理員角色。

加入加入使用 RBAC 之後,就無法還原為第一次登入入口網站時的初始角色。

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。