Microsoft Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender許可權

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

Microsoft Entra ID 中的全域角色可讓您管理所有 Microsoft 365 中功能的許可權和存取權,其中也包含 適用於 Office 365 的 Microsoft Defender。 但是,如果您只需要在 適用於 Office 365 的 Defender 中將許可權和功能限製為安全性功能,您可以在 Microsoft Defender入口網站中指派 Email & 共同作業許可權。

若要在 Microsoft Defender 入口網站中管理 適用於 Office 365 的 Defender 許可權,請移至> [許可權 Email & 共同作業角色角色>],或直接移至 。https://security.microsoft.com/emailandcollabpermissions

您必須是 Microsoft Entra ID 中的全域管理員角色成員,或 適用於 Office 365 的 Defender 許可權的組織管理角色群組成員。 具體而言,適用於 Office 365 的 Defender 中的角色管理角色可讓用戶檢視、建立和修改 適用於 Office 365 的 Defender 角色群組。 根據預設,該角色只會指派給 組織管理 角色群組 (而全域系統管理員) 。

注意事項

某些 適用於 Office 365 的 Defender 功能在 Exchange Online 中需要額外的許可權。 如需詳細資訊,請參閱 Exchange Online 中的權限

Microsoft Defender 全面偵測回應 具有自己的整合角色型訪問控制 (RBAC) 。 此模型在一個中央位置提供單一許可權管理體驗,系統管理員可以在其中控制不同安全性解決方案的許可權。 這些許可權與本文所述的許可權不同。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 角色型訪問控制 (RBAC)

如果您啟用 Defender 全面偵測回應 RBAC 以進行 Email & 共同作業,則 Defender 入口網站中沒有可用的許可權頁面https://security.microsoft.com/emailandcollabpermissions

有關 Microsoft Purview 合規性入口網站中權限的詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限

成員、角色和角色群組的關係

Microsoft Defender 入口網站中的 適用於 Office 365 的 Defender 許可權是以角色型訪問控制 (RBAC) 許可權模型為基礎。 RBAC 是大部分 Microsoft 365 服務所使用的相同許可權模型,因此如果您熟悉這些服務中的許可權結構,應該會熟悉在 Microsoft Defender 入口網站中授與許可權。

角色 會授予執行工作集的權限。

角色群組是一組角色,可讓人員在 Microsoft Defender 入口網站中執行其工作。

Microsoft Defender 入口網站中的 適用於 Office 365 的 Defender 許可權包含您需要指派之最常見工作和函式的預設角色群組。 通常,我們建議您只要將個別使用者新增為預設角色群組的 成員

角色群組與角色和成員之間的關係

Microsoft Defender 入口網站中的角色和角色群組

在 Defenderhttps://security.microsoft.com/securitypermissions入口網站的 [許可權] 頁面上,可以使用下列類型的角色和角色群組:

  • Microsoft Entra 角色:您可以檢視角色和指派的使用者,但無法直接在 Microsoft Defender 入口網站中管理這些角色。 Microsoft Entra 角色是指派所有 Microsoft 365 服務許可權的中央角色。

  • Email & 共同作業角色:您可以直接在 Microsoft Defender 入口網站中檢視和管理這些角色群組。 這些許可權專屬於 Microsoft Defender 入口網站和 Microsoft Purview 合規性入口網站。 這些許可權並未涵蓋您在其他 Microsoft 365 工作負載中所需的所有許可權。

Microsoft Defender 入口網站中的 [許可權 & 角色] 頁面

Microsoft Defender 入口網站中的 Microsoft Entra 角色

本節所述 Microsoft Entra 角色可在 Defender> 入口網站權>中取得 Microsoft Entra ID>Roles 或直接在 https://security.microsoft.com/aadpermissions

當您選取角色時,會開啟詳細數據飛出視窗,其中包含角色和使用者指派的描述。 但若要管理這些指派,您必須選取飛出視窗底部 Microsoft Entra ID 中管理成員

在 Microsoft Entra ID 中管理許可權的連結

如需詳細資訊,請參閱將 Microsoft Entra 角色指派給使用者使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權

角色 描述
全域管理員 可以存取所有 Microsoft 365 服務中的所有系統管理功能。 只有全域管理員才能指派其他系統管理員角色。 如需詳細資訊,請參閱全域系統管理員/公司系統管理員
合規性資料系統管理員 可以追蹤 Microsoft 365 中的組織資料,確保其受到保護,並深入了解任何問題以協助降低風險。 如需詳細資訊,請參閱合規性資料系統管理員
合規性系統管理員 可幫助您的組織遵守任何法規要求、管理電子文件探索案例,並維護 Microsoft 365 各個位置、身分和應用程式的資料監管原則。 如需詳細資訊,請參閱 合規性系統管理員
安全性操作員 可檢視、調查和回應 Microsoft 365 使用者、裝置和內容所受的主動威脅。 如需詳細資訊,請參閱 安全性運算子
安全性讀取者 檢視和調查 Microsoft 365 使用者、裝置和內容的作用中威脅,但 (不同於安全性操作員) 他們無權採取動作來回應。 如需詳細資訊,請參閱 安全性讀取者
安全性系統管理員 可透過管理安全性原則、檢視 Microsoft 365 各項產品的安全性分析和報告,以及在威脅環境中保持最新速度,來控制組織的整體安全性。 如需詳細資訊,請參閱 安全性系統管理員
全域讀取者 全域系統管理員 角色的唯讀版本。 在 Microsoft 365 中檢視所有設定和管理資訊。 如需詳細資訊,請參閱 全域讀取者
攻擊模擬系統管理員 建立和管理 攻擊模擬系統 創建、模擬的啟動/排程,以及模擬結果審查的所有方面。 詳細資訊,請參閲 攻擊模擬系統管理員
攻擊承載作者 建立攻擊承載,但不實際啟動或排程它們。 如需詳細資訊,請參閱 攻擊承載作者

在 Microsoft Defender 入口網站中 Email & 共同作業角色

在 Defender 入口網站和 Purview 合規性入口網站中,可以使用相同的角色群組和角色:

如需這些角色群組的完整資訊,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Purview 合規性入口網站中的角色和角色群組

下列動作適用於 Defender 入口網站中 Email & 共同作業角色群組:

在 Microsoft Defender 入口網站中 Create Email & 共同作業角色群組

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions

  2. 在 [許可權] 頁面上,選取 [Create] 以啟動新的角色群組精靈。

  3. 在 [ 為您的角色群組命名 ] 頁面上,輸入下列資訊:

    • 名稱:輸入角色群組的唯一名稱。
    • 描述:輸入角色群組的選擇性描述。

    當您在 [ 為角色群組命名 ] 頁面上完成時,請選取 [ 下一步]

  4. 在 [ 選擇角色] 頁面上,選取 [選擇角色]

    1. 在開啟的 [ 選擇角色 ] 飛出視窗中,選取飛出視窗頂端的 [ 新增 ]。

    2. 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 選取 [名稱] 資料行標頭,依名稱排序列表,或使用 [搜尋] 方塊來尋找角色。

      選取一或多個要新增的角色之後,請選取飛出視窗底部的 [ 新增 ]。

      回到原始的 [選擇角色 ] 飛出視窗,您新增的角色會列在頁面上。 若要新增更多角色,請重複上一個步驟。 您已選取的角色會呈現灰色。

      若要移除角色,請選取 [ 移除]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色,然後選取 [ 移除]

    3. 當您完成原始的 [選擇角色 ] 飛出視窗時,請選取 [ 完成]

    回到 [ 選擇角色 ] 頁面,角色會顯示在 [ 選取的角色 ] 區段中。

    當您在 [ 選擇角色 ] 頁面上完成時,請選取 [ 下一步]

  5. 在 [ 選擇成員] 頁面上,選取 [選擇成員]

    1. 在開啟的 [ 選擇成員 ] 飛出視窗中,選取飛出視窗頂端的 [ 新增 ]。

    2. 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱] 或 [Email 位址] 排序列表,或使用 [搜尋] 方塊來尋找使用者。

      選取一或多個要新增的用戶之後,請選取飛出視窗底部的 [ 新增 ]。

      回到原始的 [選擇成員 ] 飛出視窗,您新增的成員會列在頁面上。 若要新增更多成員,請重複上一個步驟。 您已選取的成員會呈現灰色。

      若要移除成員,請選取 [ 移除]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個成員,然後選取 [ 移除]

    3. 當您完成原始的 [選擇角色 ] 飛出視窗時,請選取 [ 完成]

    回到 [ 選擇成員] 頁面,成員會顯示在 [ 選取的成員 ] 區段中。

    當您在 [ 選擇成員 ] 頁面上完成時,請選取 [ 下一步]

  6. 在 [ 檢閱您的設定] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。

    當您在 [檢閱設定] 頁面上完成時,請選取 [Create 角色群組]

回到 [權 限] 頁面上,會列出新的角色群組。

在 Microsoft Defender 入口網站中複製 Email & 共同作業角色群組

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions

  2. 在 [ 許可權] 頁面上,從清單中選取角色群組。 使用 [名稱] 數據行標頭,依名稱排序列表,或使用 [搜尋] 方塊來尋找角色群組。

  3. 在開啟的角色群組詳細數據飛出視窗中,選取飛出視窗頂端的 [ 複製角色群組 ]。

新的角色群組精靈隨即開啟,如先前所述,用於 建立新的角色群組

新角色群組的預設名稱是原始角色組名>的<複本,但您可以變更它。

角色和成員會填入您要複製之角色的值,但您可以變更這些值。

在 Microsoft Defender 入口網站中修改 Email & 共同作業角色群組成員資格

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions

  2. 在 [ 許可權] 頁面上,從清單中選取角色群組。 使用 [名稱] 數據行標頭,依名稱排序列表,或使用 [搜尋] 方塊來尋找角色群組。

  3. 在開啟的角色群組詳細資料飛出視窗中,執行下列其中一個步驟:

    • 選取飛出視窗頂端的 [編輯角色群組]。 在開啟的編輯角色群組精靈中,選取 [ 選擇成員] 索引 標籤。
    • 在飛出視窗的 [ 成員 ] 區段中,選取 [ 編輯]

  4. 在開啟之編輯角色群組精靈的 [ 選擇成員 ] 索引卷標上,執行下列其中一個步驟:

    • 如果沒有角色群組成員,請選取 [選擇成員]
    • 如果有現有的角色群組成員,請選取 [編輯]

  5. 在開啟的 [ 選擇成員 ] 飛出視窗中,執行下列其中一個步驟:

    • 新增成員:選取飛出視窗頂端的 [ 新增 ]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱] 或 [Email 位址] 排序列表,或使用 [搜尋] 方塊來尋找使用者。

      選取一或多個要新增的用戶之後,請選取飛出視窗底部的 [ 新增 ]。

      回到原始的 [選擇成員 ] 飛出視窗,新增的用戶會顯示在 [ 成員 ] 區段中。

    • 拿掉成員:選取飛出視窗頂端的 [ 移除 ]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱] 或 [Email 位址] 排序列表,或使用 [搜尋] 方塊來尋找使用者。

      選取一或多個要移除的用戶之後,請選取 [ 移除]

      回到原始的 [選擇成員 ] 飛出視窗,移除的使用者不會再顯示在 [ 成員 ] 區段中。

    當您在原始的 [ 選擇成員 ] 飛出視窗中完成時,請選取 [ 完成]

  6. 回到精靈的 [ 選擇成員 ] 索引標籤,選取 [ 儲存]

  7. 回到角色群組詳細數據飛出視窗,選取 [ 完成]

在 Microsoft Defender 入口網站中修改 Email & 共同作業角色群組角色指派

注意事項

您只能修改自定義角色群組的角色指派。 您無法修改內建角色群組的角色指派。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions

  2. 在 [ 許可權] 頁面上,從清單中選取角色群組。 選取 [名稱] 資料行標頭,依名稱排序列表,或使用 [搜尋] 方塊來尋找角色群組。

  3. 在開啟的角色群組詳細資料飛出視窗中,執行下列其中一個步驟:

    • 選取飛出視窗頂端的 [編輯角色群組]。 在開啟的編輯角色群組精靈中,選取 [ 選擇角色] 索引標籤
    • 在飛出視窗的 [ 指派的角色 ] 區段中,選取 [ 編輯]

  4. 在開啟之編輯角色群組精靈的 [ 選擇角色 ] 索引卷標上,執行下列其中一個步驟:

    • 如果沒有指派的角色,請選取 [選擇角色]
    • 如果有指派的現有角色,請選取 [編輯]

  5. 在開啟的 [ 選擇角色 ] 飛出視窗中,執行下列其中一個步驟:

    • 新增角色:選取飛出視窗頂端的 [ 新增 ]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 已指派的角色會呈現灰色。選取 [名稱] 資料行標頭,依名稱排序列表,或使用 [搜尋] 方塊來尋找角色。

      選取一或多個要新增的角色之後,請選取飛出視窗底部的 [ 新增 ]。

      回到原始的 [選擇角色 ] 飛出視窗,新增的角色會顯示在 [ 角色 ] 區段中。

    • 拿掉角色:選取飛出視窗頂端的 [ 移除 ]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 選取數據行標頭,依 [名稱] 排序列表,或使用 [搜尋] 方塊來尋找角色。

      選取一或多個要移除的角色之後,請選取 [ 移除]

      回到原始的 [選擇角色 ] 飛出視窗,移除的角色將不再顯示在 [ 角色 ] 區段中。

    當您在原始的 [ 選擇角色 ] 飛出視窗中完成時,請選取 [ 完成]

  6. 回到精靈的 [ 選擇角色 ] 索引標籤,選取 [ 儲存]

  7. 回到角色群組詳細數據飛出視窗,選取 [ 完成]

在 Microsoft Defender 入口網站中移除 Email & 共同作業角色群組

注意事項

您只能移除自訂角色群組。 您無法移除內建的角色群組。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions

  2. 在 [ 許可權] 頁面上,從清單中選取角色群組。 選取 [名稱] 資料行標頭,依名稱排序列表,或使用 [搜尋] 方塊來尋找角色群組。

  3. 在開啟的角色群組詳細數據飛出視窗中,選取飛出視窗頂端的 [ 刪除角色群組 ]。

  4. 在開啟的警告對話框中選取 [ ]。

回到 [權 限] 頁面,不再列出角色群組。