Microsoft Defender 全面偵測回應 的角色型訪問控制中的自定義角色

  • 發行項

注意事項

Microsoft Defender 全面偵測回應 用戶現在可以利用集中式許可權管理解決方案來控制不同 Microsoft 安全性解決方案的使用者存取權和許可權。 深入瞭解 Microsoft Defender 全面偵測回應整合角色型訪問控制 (RBAC)

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

適用於:

  • Microsoft Defender XDR

有兩種類型的角色可用來存取 Microsoft Defender 全面偵測回應:

  • 全域 Microsoft Entra 角色
  • 自訂角色

您可以在 Microsoft Entra ID 中使用全域角色,共同管理 Microsoft Defender 全面偵測回應 的存取權

如果您需要更大的彈性並控制特定產品數據的存取權,Microsoft Defender 全面偵測回應 存取也可以透過每個個別的安全性入口網站建立自定義角色來管理。

例如,透過適用於端點的 Microsoft Defender 建立的自定義角色會允許存取相關的產品數據,包括 Microsoft Defender 入口網站內的端點數據。 同樣地,透過 適用於 Office 365 的 Microsoft Defender 建立的自定義角色會允許存取相關的產品數據,包括 Microsoft Defender 入口網站內 Email & 共同作業數據。

具有現有自定義角色的使用者可以根據其現有的工作負載許可權,存取 Microsoft Defender 入口網站中的數據,而不需要額外的設定。

Create和管理自定義角色

您可以透過下列每個安全性入口網站來建立及個別管理自訂角色和權限:

透過個別入口網站建立的每個自定義角色都允許存取相關產品入口網站的數據。 例如,透過 適用於端點的 Microsoft Defender 建立的自定義角色只會允許存取適用於端點的 Defender 資料。

提示

您也可以從瀏覽窗格中選取 [許可權 & 角色],透過 Microsoft Defender 入口網站存取許可權和角色。 Microsoft Defender for Cloud Apps的存取權是透過適用於雲端應用程式的Defender入口網站來管理,並控制對適用於身分識別的 Microsoft Defender的存取。 請參閱 Microsoft Defender for Cloud Apps

注意事項

在 Microsoft Defender for Cloud Apps 中建立的自定義角色也可以存取 適用於身分識別的 Microsoft Defender 數據。 具有使用者群組系統管理員或應用程式/實例系統管理員 Microsoft Defender for Cloud Apps 角色的使用者無法透過 Microsoft Defender 入口網站存取 Microsoft Defender for Cloud Apps 資料。

在 Microsoft Defender 入口網站中管理許可權和角色

您也可以在 Microsoft Defender 入口網站中管理權限和角色:

  1. 在 security.microsoft.com 登入 Microsoft Defender 入口網站。
  2. 在功能窗格中,選取 [權限和角色]
  3. 在 [ 許可權] 標頭下,選取 [ 角色]

注意事項

這僅適用於 適用於 Office 365 的 Defender 和適用於端點的 Defender。 其他工作負載的存取必須在其相關入口網站中完成。

必要角色和權限

下表概述存取每個工作負載中每個統一體驗所需的角色和許可權。 下表中定義的角色參照個別入口網站中的自定義角色,即使命名方式類似,也不會連線到 Microsoft Entra ID 中的全域角色。

注意事項

事件管理需要屬於事件一部分之所有產品的管理權限。

Microsoft Defender 全面偵測回應 工作負載 適用於端點的Defender需要下列其中一個角色 適用於 Office 365 的 Defender 需要下列其中一個角色 適用於雲端應用程式的Defender需要下列其中一個角色
檢視調查數據:
  • 警示頁面
  • 警示佇列
  • 事件
  • 事件佇列
  • 控制中心
 檢視資料 - 安全性作業
  • 僅限檢視管理警示
  • 組織組態
  • 稽核記錄
  • 僅檢視稽核記錄
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
  • 全域系統管理員
  • 安全性系統管理員
  • 合規性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 全域讀取者
檢視搜捕數據、儲存、編輯和刪除搜捕查詢和函式 檢視資料 - 安全性作業
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
  • 全域系統管理員
  • 安全性系統管理員
  • 合規性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 全域讀取者
管理警示和事件 警示調查
  • 管理警示
  • 安全性系統管理員
  • 全域系統管理員
  • 安全性系統管理員
  • 合規性系統管理員
  • 安全性操作員
  • 安全性讀取者
控制中心補救 主動補救動作 – 安全性作業 搜尋和清除
設定自定義偵測 管理安全性設定
  • 管理警示
  • 安全性系統管理員
  • 全域系統管理員
  • 安全性系統管理員
  • 合規性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 全域讀取者
威脅分析 警示與事件資料:
  • 檢視資料 - 安全性作業
Defender 弱點管理防護功能:
  • 檢視數據 - 威脅和弱點管理
 警示與事件資料:
  • 僅限檢視管理警示
  • 管理警示
  • 組織組態
  • 稽核記錄
  • 僅檢視稽核記錄
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
防止電子郵件嘗試:
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
 不適用於適用於雲端應用程式的Defender或MDI使用者

例如,若要檢視來自 適用於端點的 Microsoft Defender 的搜捕數據,則需要檢視數據安全性作業許可權。

同樣地,若要檢視來自 適用於 Office 365 的 Microsoft Defender 的搜捕數據,使用者需要下列其中一個角色:

  • 檢視數據安全性作業
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。