Управление доступом к Microsoft 365 Defender с Azure Active Directory глобальными ролямиManage access to Microsoft 365 Defender with Azure Active Directory global roles

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Существует два способа управления доступом к Microsoft 365 DefenderThere are two ways to manage access to Microsoft 365 Defender

  • Роли Azure Active Directory (AD)Global Azure Active Directory (AD) roles
  • Пользовательский доступ к ролиCustom role access

Учетные записи, задав следующие роли глобальной Azure Active Directory (AD), могут получать доступ к Microsoft 365 и данным Defender:Accounts assigned the following Global Azure Active Directory (AD) roles can access Microsoft 365 Defender functionality and data:

  • Глобальный администраторGlobal administrator
  • Администратор безопасностиSecurity administrator
  • Оператор безопасностиSecurity Operator
  • Глобальный читательGlobal Reader
  • Читатель сведений о безопасностиSecurity Reader

Чтобы просмотреть учетные записи с этими ролями, см. раздел Разрешения в Центре безопасности Microsoft 365.To review accounts with these roles, view Permissions in the Microsoft 365 security center.

Пользовательский доступ к роли — это новая возможность в Microsoft 365 Defender и позволяет управлять доступом к определенным данным, задачам и возможностям в Microsoft Defender 365.Custom role access is a new capability in Microsoft 365 Defender and allows you to manage access to specific data, tasks, and capabilities in Microsoft Defender 365. Настраиваемые роли предоставляют больше управления, чем глобальные роли Azure AD, предоставляя пользователям только необходимый доступ с наименьшими допустимыми ролями.Custom roles offer more control than global Azure AD roles, providing users only the access they need with the least-permissive roles necessary. Кроме глобальных ролей Azure AD можно создавать настраиваемые роли.Custom roles can be created in addition to global Azure AD roles. Дополнительные информацию о настраиваемой роли.Learn more about custom roles.

! [ПРИМЕЧАНИЕ] Эта статья применяется только к управлению глобальными Azure Active Directory ролей.![NOTE] This article applies only to managing global Azure Active Directory roles. Дополнительные сведения об использовании настраиваемого управления доступом на основе ролей см. в пользовательских ролях для управления доступом на основе ролей.For more information about using custom role-based access control, see Custom roles for role-based access control

Доступ к функциямAccess to functionality

Доступ к определенным функциям зависит от роли Azure AD.Access to specific functionality is determined by your Azure AD role. Обратитесь к глобальному администратору, если вам нужен доступ к определенным функциям, для которых вам или вашей группе пользователей требуется назначить новую роль.Contact a global administrator if you need access to specific functionality that requires you or your user group be assigned a new role.

Утверждение ожидающих автоматизированных задачApprove pending automated tasks

Автоматический анализ угроз и защита от атак может выполнять действия с сообщениями электронной почты, пересылая правила, файлы, механизмы сохраняемости и другие артефакты, обнаруженные во время анализа.Automated investigation and remediation can take action on emails, forwarding rules, files, persistence mechanisms, and other artifacts found during investigations. Чтобы утвердить или отклонить ожидающие действия, требующие явного утверждения, вам необходимы определенные роли, назначенные в Microsoft 365.To approve or reject pending actions that require explicit approval, you must have certain roles assigned in Microsoft 365. Дополнительные сведения см. в статье Разрешения центра уведомлений.To learn more, see Action center permissions.

Доступ к даннымAccess to data

Доступ к Microsoft 365 Defender можно контролировать с помощью области, назначенной группам пользователей в Microsoft Defender для управления доступом на основе ролей конечных точек (RBAC).Access to Microsoft 365 Defender data can be controlled using the scope assigned to user groups in Microsoft Defender for Endpoint role-based access control (RBAC). Если доступ к определенному набору устройств в конечной точке Defender для конечной точки не установлен, вы будете иметь полный доступ к данным в Microsoft 365 Defender.If your access has not been scoped to a specific set of devices in the Defender for Endpoint, you will have full access to data in Microsoft 365 Defender. Однако если область учетной записи задана, вам будут доступны только данные об устройствах в этой области.However, once your account is scoped, you will only see data about the devices in your scope.

Например, если вы принадлежите только к одной группе пользователей с ролью Microsoft Defender для конечной точки, и эта группа пользователей имеет доступ только к устройствам продаж, в Microsoft 365 Defender.For example, if you belong to only one user group with a Microsoft Defender for Endpoint role and that user group has been given access to sales devices only, you will see only data about sales devices in Microsoft 365 Defender. Дополнительные новости о параметрах RBAC в Microsoft Defender для конечной точкиLearn more about RBAC settings in Microsoft Defender for Endpoint

Элементы управления доступом в Microsoft Cloud App SecurityMicrosoft Cloud App Security access controls

Во время предварительного просмотра Microsoft 365 Defender не применяет элементы управления доступом на основе Cloud App Security параметров.During the preview, Microsoft 365 Defender does not enforce access controls based on Cloud App Security settings. Доступ к Microsoft 365 Defender не зависит от этих параметров.Access to Microsoft 365 Defender data is not affected by these settings.