在 適用於企業的 Microsoft Defender 中指派安全性角色和許可權

  • 發行項

本文說明如何在商務用Defender中指派安全性角色和許可權。

描述步驟 3 的視覺效果 - 在商務用 Defender 中指派安全性角色和許可權。

貴組織的安全性小組需要特定許可權才能執行工作,例如

  • 設定商務用Defender
  • 將 (上線或移除) 裝置
  • 檢視裝置和威脅偵測的相關報告
  • 檢視事件和警示
  • 針對偵測到的威脅採取回應動作

許可權是透過 Microsoft Entra ID 中的特定角色授與。 這些角色可以在 Microsoft 365 系統管理中心 或 Microsoft Entra 系統管理中心 中指派。

處理方式

  1. 瞭解適用於企業的 Defender 中的角色
  2. 檢視或編輯安全性小組角色指派
  3. 繼續進行至下一個步驟

適用於企業的 Defender 中的角色

下表說明可在適用於企業的 Defender 中指派的三個角色。 深入了解系統管理員角色

權限層級 描述
全域系統管理員 (也稱為全域管理員)

最佳做法是限制全域系統管理員的數量。 請參閱 指派角色的安全性指導方針		 全域系統管理員可以執行各種工作。 根據預設,註冊 Microsoft 365 或商務用 Defender 公司的人是全域系統管理員。 全域系統管理員通常會在商務用Defender中完成設定和設定程式,包括將裝置上線。

全域系統管理員可以修改所有 Microsoft 365 入口網站的設定,例如:
- Microsoft 365 系統管理中心(https://admin.microsoft.com)
- Microsoft Defender 入口網站 (https://security.microsoft.com)
安全性系統管理員 (也稱為安全性管理員) 安全性管理員可以執行下列工作:
- 檢視並管理安全性原則
- 檢視、回應和管理警示
- 對偵測到威脅的裝置採取回應動作
- 檢視安全性資訊及報告

一般而言,安全性系統管理員會使用 Microsoft Defender 入口網站 (https://security.microsoft.com) 來執行安全性工作。
安全性讀取者 安全性讀取者可以執行下列工作:
- 檢視已上線裝置的清單
- 檢視安全性原則
- 檢視警示和偵測到的威脅
- 檢視安全性資訊及報告

安全性讀取者無法新增或編輯安全策略,也無法將裝置上線。

檢視和編輯角色指派

重要事項

Microsoft 建議您只授與人員執行其工作所需的存取權。 我們將這個概念稱為權限[最小權限]。 若要深入了解,請參閱應用程式最小存取權限的最佳作法

您可以使用 Microsoft 365 系統管理中心 或 Microsoft Entra 系統管理中心 來檢視和編輯角色指派。

  1. 移至 Microsoft 365 系統管理中心 (https://admin.microsoft.com) 並登入。

  2. 在瀏覽窗格中,移至 [ 使用者>] [作用中使用者]

  3. 選取使用者帳戶以開啟其飛出視窗窗格。

  4. 在 [ 帳戶] 索引 標籤的 [ 角色] 下,選取 [ 管理角色]

  5. 若要新增或移除角色,請使用下列其中一個程式:

    工作 程序
    將角色新增至用戶帳戶 1.選取 [管理員 中心存取],向下捲動,然後展開 [依類別顯示全部]

    2.選取下列其中一個角色:

    - 全域管理員 (列在 全域)
    - 安全性系統管理員 (列在 安全性 & 合規性)
    - 安全性讀取器 (列在 唯讀)

    3.選取 [儲存變更]
    從用戶帳戶移除角色 1.選取 [ 使用者 (沒有系統管理中心存取權) 以移除 所有 系統管理員角色,或清除一或多個指派角色旁的複選框。

    2.選取 [儲存變更]

後續步驟