Microsoft Defender для Office 365 разрешения на портале Microsoft Defender

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Глобальные роли в Microsoft Entra ID позволяют управлять разрешениями и доступом к возможностям во всех службах Microsoft 365, включая Microsoft Defender для Office 365. Но если вам нужно ограничить разрешения и возможности только функциями безопасности в Defender для Office 365, вы можете назначить Email & разрешения на совместную работу на портале Microsoft Defender.

Чтобы управлять разрешениями Defender для Office 365 на портале Microsoft Defender, перейдите в раздел Разрешения>Email & роли> совместной работы или перейдите непосредственно в .https://security.microsoft.com/emailandcollabpermissions

Необходимо быть членом роли глобального администратора в Microsoft Entra ID или членом группы ролей "Управление организацией" в Defender для Office 365 разрешениях. В частности, роль "Управление ролями" в Defender для Office 365 позволяет пользователям просматривать, создавать и изменять Defender для Office 365 группы ролей. По умолчанию эта роль назначается только группе ролей "Управление организацией" (и, как расширение, глобальным администраторам).

Примечание.

Для некоторых функций Defender для Office 365 требуются дополнительные разрешения в Exchange Online. Дополнительные сведения см. в статье Разрешения в Exchange Online.

Microsoft Defender XDR имеет собственное единое управление доступом на основе ролей (RBAC). Эта модель предоставляет единый интерфейс управления разрешениями в одном центральном расположении, где администраторы могут управлять разрешениями в различных решениях безопасности. Эти разрешения отличаются от разрешений, описанных в этой статье. Дополнительные сведения см. в разделе Microsoft Defender XDR управления доступом на основе ролей (RBAC).

Если вы активируете Defender XDR RBAC для совместной работы Email &, на странице разрешений на https://security.microsoft.com/emailandcollabpermissions портале Defender нет средства ведения журнала.

Сведения о разрешениях на портале соответствия требованиям Microsoft Purview см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.

Связи между участниками, ролями и группами ролей

Defender для Office 365 разрешения на портале Microsoft Defender основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений на портале Microsoft Defender должно быть знакомым.

Роль предоставляет разрешения на выполнение набора задач.

Группа ролей — это набор ролей, который позволяет людям выполнять свою работу на портале Microsoft Defender.

Defender для Office 365 разрешения на портале Microsoft Defender включают группы ролей по умолчанию для наиболее распространенных задач и функций, которые необходимо назначить. Как правило, рекомендуется просто добавить отдельных пользователей в качестве участников в группы ролей по умолчанию.

Связь группы ролей с ее ролями и участниками

Роли и группы ролей на портале Microsoft Defender

На странице Разрешения на портале Defender по адресу https://security.microsoft.com/securitypermissionsдоступны следующие типы ролей и групп ролей:

  • Microsoft Entra ролей. Роли и назначенные пользователи можно просматривать, но управлять ими непосредственно на портале Microsoft Defender нельзя. Microsoft Entra роли являются центральными ролями, которые назначают разрешения для всех служб Microsoft 365.

  • Email & роли совместной работы. Эти группы ролей можно просматривать и управлять ими непосредственно на портале Microsoft Defender. Эти разрешения относятся к порталу Microsoft Defender и Портал соответствия требованиям Microsoft Purview. Эти разрешения не охватывают все разрешения, необходимые для других рабочих нагрузок Microsoft 365.

Страница

Microsoft Entra роли на портале Microsoft Defender

Microsoft Entra роли, описанные в этом разделе, доступны вразделе Разрешения>на портале> Defender Microsoft Entra ID>Роли или непосредственно по адресу https://security.microsoft.com/aadpermissions.

При выборе роли откроется всплывающее окно сведений, содержащее описание роли и назначений пользователей. Но для управления этими назначениями необходимо выбрать Управление участниками в Microsoft Entra ID в нижней части всплывающего элемента.

Ссылка для управления разрешениями в Microsoft Entra ID

Дополнительные сведения см. в разделах Назначение Microsoft Entra ролей пользователям и Управление доступом к Microsoft Defender XDR с помощью Microsoft Entra глобальных ролей.

Role Описание
Глобальный администратор Доступ ко всем возможностям администрирования во всех службах Microsoft 365. Только глобальные администраторы могут назначать другие административные роли. Дополнительные сведения см. в разделе Глобальный администратор / администратор компании.
Администратор данных соответствия требованиям Отслеживание данных вашей организации в службах Microsoft 365, обеспечение их защиты и получение аналитики о любых проблемах для уменьшения рисков. Дополнительные сведения см. в разделе Администратор данных соответствия требованиям.
Администратор соответствия Помощь вашей организации в соблюдении любых нормативных требований, управление делами обнаружения электронных данных и ведение политик управления данными в расположениях, удостоверениях и приложениях Microsoft 365. Дополнительные сведения см. в разделе Администратор соответствия требованиям.
Оператор безопасности Просмотр и изучение активных угроз безопасности пользователей Microsoft 365, устройств, работающих с этой службой, и хранящегося в ней содержимого, а также реагирование на эти угрозы. Дополнительные сведения см. в разделе Оператор безопасности.
Средство чтения безопасности Просматривайте и изучайте активные угрозы для пользователей, устройств и содержимого Microsoft 365, но (в отличие от оператора безопасности) у них нет разрешений на реагирование, принимая меры. Дополнительные сведения см. в разделе Читатель сведений о безопасности.
Администратор безопасности Контроль общей безопасности вашей организации посредством управления политиками безопасности, просмотра аналитики и отчетов о безопасности в различных продуктах Microsoft 365, а также получения последних данных о текущем ландшафте угроз. Дополнительные сведения см. в разделе Администратор безопасности.
Глобальное средство чтения Вариант роли Глобального администратора с правами только чтения. Просмотр всех параметров и административной информации во всех продуктах Microsoft 365. Дополнительные сведения см. в разделе Глобальный читатель.
Администратор имитации атак Создавайте и управляйте всеми аспектами создания симуляции атаки, запуском и планированием симуляции, а также просмотром результатов симуляции. Дополнительные сведения см. в разделе Администраторы симуляции атаки.
Автор полезных данных для атаки Создавайте полезные данные атаки, но не запускайте и не планируйте их. Дополнительные сведения см. в разделе Автор полезных данных атаки.

Email & роли совместной работы на портале Microsoft Defender

Одни и те же группы ролей и роли доступны на портале Defender и на портале соответствия требованиям Purview:

Полные сведения об этих группах ролей см. в статье Роли и группы ролей на порталах соответствия требованиям Microsoft Defender XDR и Microsoft Purview.

Следующие действия доступны для групп ролей Email & совместной работы на портале Defender:

Создание групп ролей Email & совместной работы на портале Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.

  2. На странице Разрешения выберите Создать , чтобы запустить мастер создания группы ролей.

  3. На странице Имя группы ролей введите следующие сведения:

    • Имя. Введите уникальное имя группы ролей.
    • Описание. Введите необязательное описание группы ролей.

    По завершении на странице Имя группы ролей нажмите кнопку Далее.

  4. На странице Выбор ролей выберите Выбрать роли.

    1. Во всплывающем окне Выбранные роли выберите Добавить в верхней части всплывающего окна.

    2. В открывавшемся всплывающем окне Выбор ролей выберите одну или несколько ролей. Выберите заголовок столбца Имя, чтобы отсортировать список по имени, или используйте поле Поиск, чтобы найти роль.

      Выбрав одну или несколько ролей для добавления, выберите Добавить в нижней части всплывающего элемента.

      Вернитесь к исходному всплывающему элементу Выбор ролей , добавленные роли будут перечислены на странице. Чтобы добавить дополнительные роли, повторите предыдущий шаг. Уже выбранные роли неактивны.

      Чтобы удалить роли, нажмите кнопку Удалить. В открывавшемся всплывающем окне Выбор ролей выберите одну или несколько ролей, а затем нажмите кнопку Удалить.

    3. Завершив работу с исходным всплывающий элемент Выбор ролей , нажмите кнопку Готово.

    На странице Выбор ролей роли отображаются в разделе Выбранные роли .

    Завершив работу на странице Выбор ролей , нажмите кнопку Далее.

  5. На странице Выбор участников выберите Выбрать участников.

    1. Во всплывающем окне Выбор участников выберите Добавить в верхней части всплывающего окна.

    2. В открывавшемся всплывающем окне Выбор участников выберите одного или нескольких пользователей. Выберите заголовок столбца, чтобы отсортировать список по имени или Email адресу, или используйте поле Поиск, чтобы найти пользователя.

      Выбрав одного или нескольких пользователей для добавления, нажмите кнопку Добавить в нижней части всплывающего меню.

      Вернитесь к исходному всплывающему элементу Выбор участников , добавленные элементы будут перечислены на странице. Чтобы добавить дополнительные члены, повторите предыдущий шаг. Элементы, которые вы уже выбрали, неактивны.

      Чтобы удалить участников, нажмите кнопку Удалить. Во всплывающем окне Выбор участников выберите одного или нескольких участников, а затем нажмите кнопку Удалить.

    3. Завершив работу с исходным всплывающий элемент Выбор ролей , нажмите кнопку Готово.

    На странице Выбор участников они отображаются в разделе Выбранные члены .

    Завершив работу на странице Выбор участников , нажмите кнопку Далее.

  6. На странице Проверка параметров проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Просмотр параметров , выберите Создать группу ролей.

На странице Разрешения отобразится новая группа ролей.

Копирование Email & групп ролей совместной работы на портале Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.

  2. На странице Разрешения выберите группу ролей из списка. Используйте заголовок столбца Имя для сортировки списка по имени или поле Поиск, чтобы найти группу ролей.

  3. Во всплывающем окне сведений о группе ролей выберите Копировать группу ролей в верхней части всплывающего окна.

Откроется мастер создания группы ролей, как описано ранее для создания новой группы ролей.

Имя новой группы ролей по умолчанию — Копирование исходного <имени> группы ролей, но его можно изменить.

Роли и члены заполняются значениями из роли, которую вы копируете, но их можно изменить.

Изменение членства в группе ролей совместной работы Email & на портале Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.

  2. На странице Разрешения выберите группу ролей из списка. Используйте заголовок столбца Имя для сортировки списка по имени или поле Поиск, чтобы найти группу ролей.

  3. Во всплывающем окне сведений о группе ролей выполните одно из следующих действий.

    • Выберите Изменить группу ролей в верхней части всплывающего окна. В открывавшемся мастере редактирования группы ролей выберите вкладку Выбор участников .
    • В разделе Участники всплывающего меню выберите Изменить.

  4. На вкладке Выбор участников в открывавшемся мастере редактирования группы ролей выполните одно из следующих действий.

    • Если участников группы ролей нет, выберите Выбрать участников.
    • Если есть существующие члены группы ролей, выберите Изменить.

  5. Во всплывающем окне Выбор членов выполните одно из следующих действий.

    • Добавить участников. Выберите Добавить в верхней части всплывающего окна. В открывавшемся всплывающем окне Выбор участников выберите одного или нескольких пользователей. Выберите заголовок столбца, чтобы отсортировать список по имени или Email адресу, или используйте поле Поиск, чтобы найти пользователя.

      Выбрав одного или нескольких пользователей для добавления, нажмите кнопку Добавить в нижней части всплывающего меню.

      В исходном всплывающем окне Выбор участников добавленные пользователи отображаются в разделе Участники .

    • Удалить участников. Выберите Удалить в верхней части всплывающего окна. В открывавшемся всплывающем окне Выбор участников выберите одного или нескольких пользователей. Выберите заголовок столбца, чтобы отсортировать список по имени или Email адресу, или используйте поле Поиск, чтобы найти пользователя.

      Выбрав одного или нескольких пользователей для удаления, нажмите кнопку Удалить.

      Вернувшись к исходному всплывающему элементу Выбор участников , удаленные пользователи больше не отображаются в разделе Участники .

    Завершив работу с исходным всплывающий элемент Выбор участников , нажмите кнопку Готово.

  6. Вернитесь на вкладку Выбор участников мастера и нажмите кнопку Сохранить.

  7. Вернитесь к всплывающему элементу сведений о группе ролей и выберите Готово.

Изменение Email & назначений ролей группы совместной работы на портале Microsoft Defender

Примечание.

Вы можете изменить назначения ролей только для пользовательских групп ролей. Нельзя изменить назначения ролей для встроенных групп ролей.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.

  2. На странице Разрешения выберите группу ролей из списка. Выберите заголовок столбца Имя, чтобы отсортировать список по имени, или используйте поле Поиск, чтобы найти группу ролей.

  3. Во всплывающем окне сведений о группе ролей выполните одно из следующих действий.

    • Выберите Изменить группу ролей в верхней части всплывающего окна. В открывавшемся мастере редактирования группы ролей выберите вкладку Выбор ролей .
    • В разделе Назначенные роли во всплывающем окне выберите Изменить.

  4. На вкладке Выбор ролей в открывавшемся мастере редактирования группы ролей выполните одно из следующих действий:

    • Если назначенные роли отсутствуют, выберите Выбрать роли.
    • Если назначены существующие роли, выберите Изменить.

  5. Во всплывающем окне Выбор ролей выполните одно из следующих действий.

    • Добавить роли. Выберите Добавить в верхней части всплывающего окна. В открывавшемся всплывающем окне Выбор ролей выберите одну или несколько ролей. Роли, которые уже назначены, неактивны. Выберите заголовок столбца Имя, чтобы отсортировать список по имени, или используйте поле Поиск, чтобы найти роль.

      Выбрав одну или несколько ролей для добавления, выберите Добавить в нижней части всплывающего элемента.

      В исходном всплывающем окне Выбор ролей добавленные роли отображаются в разделе Роли .

    • Удалить роли. Выберите Удалить в верхней части всплывающего окна. В открывавшемся всплывающем окне Выбор ролей выберите одну или несколько ролей. Выберите заголовок столбца, чтобы отсортировать список по имени, или используйте поле Поиск, чтобы найти роль.

      Выбрав одну или несколько ролей для удаления, нажмите кнопку Удалить.

      Вернитесь к исходному всплывающему элементу Выбор ролей , удаленные роли больше не отображаются в разделе Роли .

    Завершив работу с исходным всплывающий элемент Выбор ролей , нажмите кнопку Готово.

  6. Вернитесь на вкладку Выбор ролей мастера и нажмите кнопку Сохранить.

  7. Вернитесь к всплывающему элементу сведений о группе ролей и выберите Готово.

Удаление Email & групп ролей совместной работы на портале Microsoft Defender

Примечание.

Удалить можно только настраиваемые группы ролей. Встроенные группы ролей удалить невозможно.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Разрешения>Email & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.

  2. На странице Разрешения выберите группу ролей из списка. Выберите заголовок столбца Имя, чтобы отсортировать список по имени, или используйте поле Поиск, чтобы найти группу ролей.

  3. В открывавшемся всплывающем окне сведений о группе ролей выберите Удалить группу ролей в верхней части всплывающего элемента.

  4. Выберите Да в открывшемся диалоговом окне предупреждения.

На странице Разрешения группа ролей больше не указана.