使用者角色和權限
適用於雲端的 Microsoft Defender 用法Azure 角色型訪問控制 (Azure RBAC) 提供內建角色。 您可以將這些角色指派給 Azure 中的使用者、群組和服務,根據角色中定義的存取權,讓使用者存取資源。
適用於雲端的 Defender 評估資源的設定,以識別安全性問題和弱點。 在 適用於雲端的 Defender 中,只有在您為訂用帳戶或資源群組指派下列其中一個角色時,才會看到與資源相關的資訊:擁有者、參與者或讀者。
除了內建角色之外,還有兩個特定角色 適用於雲端的 Defender:
- 安全性讀取者:屬於此角色的使用者具有 適用於雲端的 Defender 的只讀存取權。 使用者可以檢視建議、警示、安全策略和安全性狀態,但無法進行變更。
- 安全性 管理員:屬於此角色的使用者具有與安全性讀取者相同的存取權,也可以更新安全策略,以及關閉警示和建議。
我們建議您指派所需的最寬鬆角色,以便使用者完成其工作。 例如,將讀者角色指派給只需要檢視資源安全性健康情況的相關信息,但不採取動作的使用者,例如套用建議或編輯原則。
角色和允許的動作
下表顯示 適用於雲端的 Defender 中的角色和允許的動作。
| 動作 | 安全性讀取者 / 讀取者 |
安全性系統管理員 | 參與者 / 擁有者 | 參與者 | 擁有者 |
|---|---|---|---|---|---|
| (資源群組層級) | (訂用帳戶層級) | (訂用帳戶層級) | |||
| 新增/指派計劃(包括) 法規合規性標準) | - | ✔ | - | - | ✔ |
| 編輯安全策略 | - | ✔ | - | - | ✔ |
| 啟用/停用 Microsoft Defender 方案 | - | ✔ | - | ✔ | ✔ |
| 關閉警示 | - | ✔ | - | ✔ | ✔ |
| 套用資源 的安全性建議 (並使用 修正) |
- | - | ✔ | ✔ | ✔ |
| 檢視警示和建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 豁免安全性建議 | - | ✔ | - | - | ✔ |
部署監視元件所需的特定角色取決於您部署的擴充功能。 深入瞭解 監視元件。
用來自動布建代理程式和擴充功能的角色
若要允許安全性 管理員 角色自動布建 適用於雲端的 Defender 方案中所使用的代理程式和擴充功能,適用於雲端的 Defender 使用原則補救的方式與 Azure 原則 類似。 若要使用補救,適用於雲端的 Defender 需要建立服務主體,也稱為在訂用帳戶層級指派角色的受控識別。 例如,適用於容器的Defender方案的服務主體如下:
| Service Principal | 角色 |
|---|---|
| 適用於容器的Defender布建 AKS 安全性設定檔 | • Kubernetes 擴充功能參與者 •貢獻 • Azure Kubernetes Service 參與者 • Log Analytics 參與者 |
| 適用於容器的Defender布建已啟用Arc的 Kubernetes | • Azure Kubernetes Service 參與者 • Kubernetes 擴充功能參與者 •貢獻 • Log Analytics 參與者 |
| 適用於容器的Defender布建適用於 Kubernetes 的 Azure 原則 | • Kubernetes 擴充功能參與者 •貢獻 • Azure Kubernetes Service 參與者 |
| 適用於容器的Defender布建已啟用Arc的 Kubernetes 原則延伸模組 | • Azure Kubernetes Service 參與者 • Kubernetes 擴充功能參與者 •貢獻 |
下一步
本文說明 適用於雲端的 Defender 如何使用 Azure RBAC 將許可權指派給使用者,並識別每個角色的允許動作。 既然您已熟悉監視訂用帳戶安全性狀態、編輯安全策略及套用建議所需的角色指派,請瞭解如何: