共用方式為


使用者角色和權限

適用於雲端的 Microsoft Defender 會使用 Azure 角色型存取控制 (Azure RBAC),以提供內建角色。 您可以將這些角色指派給 Azure 中的使用者、群組和服務,以根據角色中定義的存取權,為使用者提供資源存取權。

適用於雲端的 Defender 會評估資源的設定,以識別安全性問題與弱點。 在適用於雲端的 Defender,只有當您獲指派為資源所屬的訂用帳戶或資源群組的其中一個角色時,才能看到與資源相關的資訊:擁有者、參與者或讀者。

除了這些內建角色,還有兩個特定的「適用於雲端的 Defender」角色:

  • 安全性讀者:屬於此角色的使用者擁有適用於雲端的 Defender 的唯讀權限。 使用者可以檢視建議、警示、安全性原則和安全性狀態,但無法進行變更。
  • 安全性管理員:屬於此角色的使用者具有與「安全性讀者」相同的存取權,而且還能更新安全性原則,以及解除警示和建議。

我們建議您指派所需的最寬鬆角色,以便使用者完成其工作。 例如,將「讀取者」角色指派給只需要檢視資源安全性狀態的相關資訊,但不採取行動的使用者,例如套用建議或編輯原則。

角色和允許的動作

下表會顯示適用於雲端的 Microsoft Defender 的角色和允許的動作。

動作 安全性讀取者 /
讀取者
安全性系統管理員 參與者 / 擁有者 參與者 擁有者
(資源群組層級) (訂閱層級) (訂閱層級)
新增/指派方案 (包括法規遵循標準) - - -
編輯安全性原則 - - -
啟用/停用 Microsoft Defender 方案 - -
解除警示 - -
針對資源
套用安全性建議 (使用修正)
- -
檢視警示和建議
豁免安全性建議 - - -
設定電子郵件通知 -

注意

若要啟用和停用 Defender 方案,上述三個角色應已足夠,但若要啟用方案的所有功能,則需要擁有者角色。

部署監視元件所需的特定角色取決於您要部署的延伸模組。 深入了解監視元件

用來自動佈建代理程式和延伸模組的角色

若要允許安全性管理員角色自動佈建適用於雲端的 Defender 方案中使用的代理程式和延伸模組,適用於雲端的 Defender 會以與 Azure 原則類似的方式使用原則補救。 若要使用補救,適用於雲端的 Defender 必須建立服務主體,服務主體也稱為在訂用帳戶層級指派角色的受控識別。 例如,適用於容器的 Defender 方案之服務主體如下:

Service Principal 角色
佈建 AKS 安全性設定檔之適用於容器的 Defender • Kube 延伸模組參與者
• 參與者
• Azure Kubernetes Service 參與者
• Log Analytics 參與者
佈建已啟用 Arc 的 Kube 所需的適用於容器的 Defender • Azure Kubernetes Service 參與者
• Kube 延伸模組參與者
• 參與者
• Log Analytics 參與者
佈建 Kubernetes 的 Azure 原則時所需的適用於容器的 Defender • Kube 延伸模組參與者
• 參與者
• Azure Kubernetes Service 參與者
為已啟用 Arc 的 Kubernetes 佈建原則延伸模組之適用於容器的 Defender • Azure Kubernetes Service 參與者
• Kube 延伸模組參與者
• 參與者

下一步

本文說明適用於雲端的 Microsoft Defender 如何使用 Azure RBAC,將權限指派給使用者,並識別每個角色允許的動作。 現在,您已熟悉監視您的訂用帳戶的安全性狀態所需的角色指派,編輯安全性原則和套用建議,接著了解如何︰