Mapování Microsoft Defender XDR oprávnění sjednoceného řízení přístupu na základě role (RBAC)
Všechna oprávnění uvedená v modelu Microsoft Defender XDR Unified RBAC odpovídají stávajícím oprávněním v jednotlivých modelech RBAC. Po aktivaci Microsoft Defender XDR sjednoceného modelu RBAC nahradí oprávnění a přiřazení nakonfigurovaná ve vašich importovaných rolích stávající role v jednotlivých modelech RBAC.
Tento článek popisuje, jak existující role a oprávnění v Microsoft Defender for Endpoint, Microsoft Defender Správa zranitelností, Microsoft Defender pro Office 365 Microsoft Defender for Identity a Microsoft Entra role se mapují na role a oprávnění v modelu Microsoft Defender XDR Unified RBAC.
Platí pro:
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365 Plán 2
- Microsoft Defender Správa zranitelností
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Mapování Microsoft Defender XDR sjednocených oprávnění RBAC na existující oprávnění RBAC
V tabulkách v následujících částech se dozvíte více o tom, jak se vaše stávající jednotlivé definice rolí RBAC mapují na nové Microsoft Defender XDR sjednocené role RBAC:
- Mapovat oprávnění Defenderu pro koncový bod a Defender Správa zranitelností
- Mapování oprávnění Defender pro Office 365 na oprávnění Microsoft Defender XDR Unified RBAC
- Mapovat Microsoft Defender for Identity oprávnění
- Microsoft Entra přístup ke globálním rolím
Mapování oprávnění Defenderu pro koncový bod a Defender Správa zranitelností na oprávnění RBAC Microsoft Defender XDR
| Oprávnění defenderu pro koncový bod a Defender Správa zranitelností | Microsoft Defender XDR Sjednocené oprávnění RBAC |
|---|---|
| Zobrazení dat – Operace zabezpečení | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) |
| Zobrazení dat – Defender Správa zranitelností | Stav zabezpečení \ Správa stavu \ Správa ohrožení zabezpečení (čtení) |
| Šetření výstrah | Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) |
| Aktivní nápravné akce – Operace zabezpečení | Operace zabezpečení \ Data zabezpečení \ Reakce (správa) |
| Aktivní nápravné akce – Defender Správa zranitelností – Zpracování výjimek | Stav zabezpečení \ Správa stavu \ Zpracování výjimek (správa) |
| Aktivní nápravné akce – Defender Správa zranitelností – Zpracování nápravy | Stav zabezpečení \ správa stavu \ Zpracování nápravy (správa) |
| Aktivní nápravné akce – Defender Správa zranitelností – Zpracování aplikací | Stav zabezpečení \ Správa stavu \ Zpracování (správa) aplikací |
| Správa ohrožení zabezpečení defenderu – Správa profilů posouzení standardních hodnot zabezpečení | Stav zabezpečení \ správa stavu \ Hodnocení standardních hodnot zabezpečení (správa) |
| Možnosti živé odezvy | Operace zabezpečení \ Základní živá odpověď (správa) |
| Možnosti živé odezvy – pokročilé | Operace zabezpečení \ Rozšířená živá odezva (správa) Operace zabezpečení \ Data zabezpečení \ Shromažďování souborů (správa) |
| Správa nastavení zabezpečení ve službě Security Center | Autorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (správa) Autorizace a nastavení\Nastavení zabezpečení \ Ladění detekce (správa) |
| Správa nastavení systému portálu | Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| Správa nastavení zabezpečení koncových bodů v Microsoft Intune | Nepodporuje se – toto oprávnění se spravuje v Centru pro správu Microsoft Intune. |
Mapování oprávnění Defender pro Office 365 na oprávnění Microsoft Defender XDR Unified RBAC
V následujících tabulkách se dozvíte, jak se vaše stávající oprávnění Email & spolupráce a Exchange Online související s ochranou pro Defender pro Office 365 mapovat na nová oprávnění Microsoft Defender XDR Unified RBAC:
mapování oprávnění ke spolupráci Email &
Nakonfigurovali jste Email & oprávnění ke spolupráci na portálu Defender na adrese https://security.microsoft.com/emailandcollabpermissions.
| Email & oprávnění ke spolupráci | Typ | Microsoft Defender XDR Sjednocené oprávnění RBAC |
|---|---|---|
| Globální čtenář | Skupina rolí | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ metadata Email & spolupráce (čtení) Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Autorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (čtení) Autorizace a nastavení \ Nastavení systému (čtení) |
| Správa organizace | Skupina rolí | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (číst) Operace zabezpečení \ Výstrahy (správa) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ metadata Email & spolupráce (čtení) Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Operace zabezpečení \ Data zabezpečení \ Data zabezpečení \ Email pokročilé akce (správa) Operace zabezpečení \ Data zabezpečení \ Data zabezpečení \ Email karanténa (správa) Autorizace a nastavení \ Autorizace (čtení a správa) Autorizace a nastavení \ Nastavení zabezpečení (Všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| Správce zabezpečení | Skupina rolí | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (číst) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ metadata Email & spolupráce (čtení) Operace zabezpečení \ Reakce (správa) Operace zabezpečení \ Data zabezpečení \ Data zabezpečení \ Email karanténa (správa) Autorizace a nastavení \ Autorizace (čtení) Autorizace a nastavení \ Nastavení zabezpečení (Všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| Čtenář zabezpečení | Skupina rolí | Operace zabezpečení \ Data zabezpečení \Základy dat zabezpečení (čtení) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ metadata Email & spolupráce (čtení) Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Autorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (čtení) Autorizace a nastavení systému \ Nastavení systému (čtení) |
| Protokoly auditu | Role | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) |
| Správa upozornění | Role | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) |
| Náhled | Role | Operace zabezpečení\ Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ obsah Email & spolupráce (čtení) |
| Karanténa | Role | Operace zabezpečení \ Data zabezpečení \ Email karanténa (správa) |
| Správa rolí | Role | Autorizace a nastavení \ Autorizace (čtení a správa) |
| Hledání a vyprázdnění | Role | Operace zabezpečení \ Data zabezpečení \ Email pokročilé akce (správa) |
| View-Only Spravovat výstrahy | Role | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) |
| View-Only příjemci | Role | Operace zabezpečení \ Data zabezpečení \ Základy zabezpečení dat (čtení) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ Email & metadata spolupráce (čtení) |
| Zobrazit pouze protokoly auditu | Role | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) |
mapování oprávnění Exchange Online
Nakonfigurovali jste oprávnění Exchange Online související s ochranou v Centru pro správu Exchange (EAC) na adrese https://admin.exchange.microsoft.com/#/adminRoles.
| Exchange Online oprávnění | Typ | Microsoft Defender XDR Sjednocené oprávnění RBAC |
|---|---|---|
| Management hygieny | Skupina rolí | Operace zabezpečení \ Data zabezpečení \ Email umístit do karantény (spravovat) Autorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (správa) Autorizace a nastavení \ Nastavení zabezpečení \ Ladění detekce (správa) |
| Správa organizace | Skupina rolí | Operace zabezpečení \ Nezpracovaná data (e-mailová & spolupráce) \ Email & metadata spolupráce (čtení) Autorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (správa) Autorizace a nastavení \ Nastavení zabezpečení \ Ladění detekce (správa) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| Správce zabezpečení | Skupina rolí | Autorizace a nastavení \ Nastavení zabezpečení \ Ladění detekce (správa) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| správa organizace View-Only | Skupina rolí | Autorizace a nastavení \ Nastavení zabezpečení (jen pro čtení) Autorizace a nastavení \ Nastavení systému (jen pro čtení) |
| Tenant AllowBlockList Manager | Role | Autorizace a nastavení \ Nastavení zabezpečení \ Ladění detekce (správa) |
| Příjemci jen pro zobrazení | Role | Operace zabezpečení \ Nezpracovaná data (spolupráce & e-mailem) \ metadata Email & spolupráce (čtení) |
Mapování oprávnění Microsoft Defender for Identity na oprávnění Microsoft Defender XDR Unified RBAC
| Oprávnění Defender for Identity | Defender XDR sjednoceného oprávnění RBAC |
|---|---|
| Správce MDI | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Autorizace a nastavení \ Autorizace (čtení a správa) Autorizace a nastavení \ Nastavení zabezpečení (Všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| Uživatel MDI | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Autorizace a nastavení \ Nastavení zabezpečení (Všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení) |
| Prohlížeč MDI | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Autorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (čtení) Autorizace a nastavení \ Nastavení systému (čtení) |
Poznámka
Prostředí Defenderu for Identity budou také dodržovat oprávnění udělená z Microsoft Defender for Cloud Apps. Další informace najdete v tématu Microsoft Defender for Identity skupin rolí. Výjimka: Pokud jste na portálu Microsoft Defender for Cloud Apps nakonfigurovali nasazení s vymezeným oborem pro výstrahy Microsoft Defender for Identity, tato oprávnění se nepřenesou. Příslušným uživatelům portálu musíte explicitně udělit oprávnění Operace zabezpečení \ Data zabezpečení \ Základní informace o zabezpečení (čtení).
Mapování Microsoft Defender for Cloud Apps oprávnění na Microsoft Defender XDR Unified RBAC
Důležité
Zásady správného řízení aplikací podporují Microsoft Entra role popsané v tématu Role v zásadách správného řízení aplikací pro Microsoft Defender for Cloud Apps a nepodporují role definované v integraci Defender for Cloud Apps se sjednoceným řízením přístupu na základě role.
Jakmile aktivujete integraci Defender for Cloud Apps s Microsoft Defender XDR Unified RBAC, následující role nakonfigurované prostřednictvím předdefinovaných rolí s vymezeným oborem na portálu Defender for Cloud Apps už nebudou podporované: správce aplikace/instance, správce skupiny uživatelů, Globální správce Cloud Discovery a správce sestav Cloud Discovery
| Defender for Cloud Apps oprávnění | Defender XDR sjednoceného oprávnění RBAC |
|---|---|
| Místní Globální správce | Operace zabezpečení \ Data zabezpečení \ Základní informace o zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Operace zabezpečení \ Správa stavu \ Bezpečnostní skóre (čtení) Operace zabezpečení \ Správa stavu \ Zabezpečené skóre (správa) Autorizace a nastavení \ Autorizace (všechna oprávnění) Autorizace a nastavení \ Nastavení zabezpečení (všechna oprávnění) Autorizace a nastavení \ Nastavení systému (všechna oprávnění) |
| Místní operátor zabezpečení | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Autorizace a nastavení \ Autorizace (čtení) Autorizace a nastavení \ Nastavení zabezpečení (všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení) |
| Místní čtenář zabezpečení | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Autorizace a nastavení \ Autorizace (čtení) Autorizace a nastavení \ Nastavení zabezpečení \ Nastavení zabezpečení ( všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení) |
| Místní správce dodržování předpisů | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa)</brAuthorizace a nastavení \ Autorizace (čtení) Autorizace a nastavení \ Nastavení zabezpečení \ Nastavení zabezpečení (všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení) |
Microsoft Entra přístup ke globálním rolím
Přístup k portálu Microsoft Defender můžou mít také uživatelé s Microsoft Entra globálními rolemi.
V této tabulce se dozvíte o oprávněních přiřazených ve výchozím nastavení pro jednotlivé úlohy (Defender for Endpoint, Defender Správa zranitelností, Defender for Office a Defender for Identity) v Microsoft Defender XDR Unified RBAC pro každou globální roli Microsoft Entra.
| Microsoft Entra role | Microsoft Defender XDR přiřazená oprávnění Unified RBAC pro všechny úlohy | Microsoft Defender XDR Přiřazená oprávnění Unified RBAC – specifická pro úlohu |
|---|---|---|
| Globální správce | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Stav zabezpečení \ Správa stavu zabezpečení \ Bezpečnostní skóre (čtení) Stav zabezpečení \ Správa stavu zabezpečení \ Správa skóre zabezpečení \ Správa skóre zabezpečení (správa) Autorizace a nastavení \ Autorizace (čtení a správa) Autorizace a nastavení \ Nastavení zabezpečení (všechna oprávnění) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
Oprávnění pouze oprávnění defenderu for Endpoint a Defender Správa zranitelností Operace zabezpečení \ Základní živá reakce (správa) Operace zabezpečení \ Rozšířená živá reakce (správa) Operace zabezpečení \ Data zabezpečení \ Shromažďování souborů (správa) Stav zabezpečení \ Správa stavu zabezpečení \ Správa ohrožení zabezpečení (čtení) Stav zabezpečení \ Správa stavu zabezpečení \ Řízení výjimek (správa) Stav zabezpečení \ Správa stavu stavu \ Správa nápravy (správa) Stav zabezpečení \ Správa stavu zabezpečení \ Správa aplikacíStav zabezpečení \ Správa stavu \ Hodnocení standardních hodnot zabezpečení (správa) Oprávnění pouze Defender pro Office Operace zabezpečení \ Data zabezpečení \ Email karanténa (správa) Operace zabezpečení \ Data zabezpečení \ Email pokročilé akce (správa) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ Email & metadata spolupráce (čtení) |
| Správce zabezpečení | Stejné jako Globální správce | Stejné jako Globální správce |
| Globální čtenář | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Stav zabezpečení \ Správa stavu \ Skóre zabezpečení (čtení) |
Oprávnění pouze oprávnění defenderu for Endpoint a Defender Správa zranitelností Stav zabezpečení \ Správa stavu zabezpečení \ Správa ohrožení zabezpečení (čtení) Oprávnění jenom Defender pro Office: Operace zabezpečení \ Reakce (správa) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ metadata Email & spolupráce (čtení) Autorizace a nastavení \ Autorizace (čtení) Oprávnění jenom Defender for Office a Defender for IdentityAutorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (číst) Autorizace a nastavení \ Nastavení systému (čtení) |
| Čtenář zabezpečení | Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Stav zabezpečení \ Správa stavu \ Skóre zabezpečení (čtení) |
Oprávnění pouze oprávnění defenderu for Endpoint a Defender Správa zranitelností Stav zabezpečení \ Správa stavu zabezpečení \ Správa ohrožení zabezpečení (čtení) Oprávnění jenom Defender pro Office Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ Email & metadata spolupráce (čtení) Jenom oprávnění Defender for Office a Defender for IdentityAutorizace a nastavení \ Nastavení zabezpečení \ Základní nastavení zabezpečení (číst) Autorizace a nastavení \ Nastavení systému (čtení) |
| Operátor zabezpečení | Operace zabezpečení \ Data zabezpečení \ Základní informace o zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) Operace zabezpečení \ Data zabezpečení \ Reakce (správa) Stav zabezpečení \ Správa stavu \ Skóre zabezpečení (čtení) Autorizace a nastavení \ Nastavení zabezpečení (Všechna oprávnění) |
Oprávnění pouze oprávnění defenderu for Endpoint a Defender Správa zranitelností Operace zabezpečení \ Data zabezpečení \ Základní živá reakce (správa) Operace zabezpečení \ Data zabezpečení \ Pokročilá živá odezva (správa) Operace zabezpečení \ Data zabezpečení \ Shromažďování souborů (správa) Stav zabezpečení \ Správa stavu zabezpečení \ Správa ohrožení zabezpečení (čtení) Stav zabezpečení \ Správa stavu zabezpečení \ Správa výjimek (správa) Stav zabezpečení \ Správa stavu \ Správa stavu zabezpečení \ Zpracování nápravy (správa) Oprávnění jenom v Defenderu pro OfficeOperace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ Email & metadata spolupráce (čtení) Autorizace a nastavení \ Nastavení systému (čtení a správa) Oprávnění jenom defender for Identity Autorizace a nastavení \ Nastavení systému (čtení) |
| Správce Exchange | Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (čtení) Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (správa) |
Oprávnění jenom v Defenderu pro OfficeOperace zabezpečení \ Data zabezpečení \ Základní data zabezpečení (čtení) Operace zabezpečení \ Nezpracovaná data (Email & spolupráce) \ metadata Email & spolupráce (čtení) Autorizace a nastavení \ Nastavení systému (čtení a správa) |
| Správce SharePointu | Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (čtení) Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (správa) |
nepoužitelné |
| Správce podpory služeb | Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (čtení) | nepoužitelné |
| Správce uživatelů | Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (čtení) | nepoužitelné |
| Správce helpdesku | Stav zabezpečení \ Správa stavu \ Bezpečnostní skóre (čtení) | nepoužitelné |
| Správce dodržování předpisů | nepoužitelné | Oprávnění jenom v Defenderu pro Office Operace zabezpečení \ Data zabezpečení \ Základy dat zabezpečení (čtení) Operace zabezpečení \ Data zabezpečení \ Výstrahy (správa) |
| Správce dat dodržování předpisů | nepoužitelné | Stejné jako správce dodržování předpisů |
| Správce fakturace | nepoužitelné | nepoužitelné |
Poznámka
Po aktivaci modelu Microsoft Defender XDR Unified RBAC budou mít uživatelé s rolemi Čtenář zabezpečení a Globální čtenář přístup k datům Defenderu for Endpoint.
Další kroky
- Import existujících rolí RBAC
- Aktivace sjednoceného řízení přístupu na základě role v Microsoft Defender XDR
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.