使用角色型訪問控制來管理入口網站存取

注意

如果您執行 Microsoft Defender 全面偵測回應 預覽程式,您現在可以體驗新的 Microsoft Defender 365 整合角色型訪問控制 (RBAC) 模型。 如需詳細資訊,請參閱 Microsoft Defender RBAC) (365 整合角色型訪問控制

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

使用角色型訪問控制 (RBAC) ,您可以在安全性作業小組內建立角色和群組,以授與對入口網站的適當存取權。 根據您建立的角色和群組,您可以更精細地控制具有入口網站存取權的使用者可查看和執行的動作。

重要

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

大型異地分散式安全性作業小組通常會採用以階層為基礎的模型,以指派及授權安全性入口網站的存取權。 一般層包含下列三個層級:

層級 描述
第 1 層 本機安全性作業小組 / IT 小組
此小組通常會對其地理位置內包含的警示進行分級和調查,並在需要主動補救的情況下呈報至第 2 層。
第 2 層 區域安全性作業小組
此小組可以查看其區域的所有裝置,並執行補救動作。
第3層 全域安全性作業小組
此小組是由安全性專家所組成,並有權從入口網站查看和執行所有動作。

注意

針對第 0 層資產,請參閱安全性系統管理員的 Privileged Identity Management,以提供更細微的 適用於端點的 Microsoft Defender 和 Microsoft Defender 全面偵測回應 控制。

適用於端點的 Defender RBAC 旨在支援您選擇的層級或角色型模型,並可讓您更細微地控制哪些角色可以看到哪些角色、他們可以存取的裝置,以及他們可以採取的動作。 RBAC 架構是以下列控件為中心:

  • 控制誰可以採取特定動作
    • 建立自定義角色,並控制他們可透過數據粒度存取的適用於端點的 Defender 功能。
  • 控制誰可以查看特定裝置群組或群組的資訊
    • 依特定準則建立裝置群組,例如名稱、標籤、網域和其他專案,然後使用特定 Microsoft Entra 使用者群組授與角色存取權。

      注意

      適用於端點的Defender方案1和方案2支援裝置群組建立。

若要實作角色型存取,您必須定義系統管理員角色、指派對應的許可權,以及指派 Microsoft Entra 指派給角色的使用者群組。

開始之前

在使用 RBAC 之前,請務必瞭解可授與許可權的角色,以及開啟 RBAC 的後果。

警告

啟用此功能之前,請務必具備適當的角色,例如 Microsoft Entra ID 中指派的安全性系統管理員,而且您已準備好 Microsoft Entra 群組,以降低遭到鎖定入口網站的風險。

當您第一次登入 Microsoft Defender 入口網站時,您會獲得完整存取權或只讀存取權。 系統會將完整訪問許可權授與在 Microsoft Entra ID 中具有安全性系統管理員角色的使用者。 唯讀存取權會授與在 Microsoft Entra ID 中具有安全性讀取者角色的使用者。

具有適用於端點的 Defender 全域系統管理員角色的人員,不論其裝置群組關聯和 Microsoft Entra 使用者群組指派,都能不受限制地存取所有裝置。

警告

一開始,只有具有 Microsoft Entra 全域管理員或安全性系統管理員許可權的人員可以在 Microsoft Defender 入口網站中建立及指派角色;因此,在 Microsoft Entra ID 中準備好正確的群組非常重要。

開啟角色型訪問控制會導致具有唯讀許可權的使用者 (例如,指派給 Microsoft Entra 安全性讀取者角色的使用者) 失去存取權,直到指派給角色為止。

具有系統管理員許可權的用戶會自動獲指派具有完整許可權的預設內建適用於端點的Defender全域管理員角色。 選擇使用 RBAC 之後,您可以將其他未 Microsoft Entra 全域管理員或安全性系統管理員的使用者指派給適用於端點的 Defender 全域管理員角色。

加入加入使用 RBAC 之後,就無法還原為第一次登入入口網站時的初始角色。

提示

想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。