Verwenden von grundlegenden Berechtigungen für den Zugriff auf das Portal

Gilt für:

• Microsoft Entra-ID
• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn Sie die grundlegende Berechtigungsverwaltung für das Microsoft Defender-Portal verwenden möchten, denken Sie daran, dass Berechtigungen entweder auf Vollzugriff oder schreibgeschützt festgelegt sind. Verwenden Sie für eine präzise Steuerung der Berechtigungen die rollenbasierte Zugriffssteuerung.

Zuweisen des Benutzerzugriffs mithilfe von Microsoft Graph PowerShell

Sie können Benutzer mit einer der folgenden Berechtigungsstufen zuweisen:

• Vollzugriff (Lesen und Schreiben)
• Schreibgeschützter Zugriff

Bevor Sie beginnen

• Installieren Sie Microsoft Graph PowerShell. Weitere Informationen finden Sie unter Installieren von Microsoft Graph PowerShell.

  Hinweis

  Sie müssen die PowerShell-Cmdlets in einer Befehlszeile mit erhöhten Rechten ausführen.

• Stellen Sie eine Verbindung mit Ihrem Microsoft Entra ID her. Weitere Informationen finden Sie unter Connect-MgGraph.

  • Vollzugriff: Benutzer mit Vollzugriff können sich anmelden, alle Systeminformationen anzeigen und Warnungen auflösen, Dateien zur eingehenden Analyse übermitteln und das Onboardingpaket herunterladen. Das Zuweisen von Vollzugriffsrechten erfordert das Hinzufügen der Benutzer zu einer Rolle, z. B. Sicherheitsadministrator, mithilfe Microsoft Entra integrierten Rollen.

  • Schreibgeschützter Zugriff: Benutzer mit schreibgeschütztem Zugriff können sich anmelden, alle Warnungen und zugehörigen Informationen anzeigen.

    Sie können keine Warnungszustände ändern, Dateien zur eingehenden Analyse übermitteln oder Zustandsänderungsvorgänge ausführen.

    Zum Zuweisen schreibgeschützter Zugriffsrechte müssen die Benutzer der integrierten Rolle "Sicherheitsleseberechtigter" Microsoft Entra hinzugefügt werden.

Führen Sie die folgenden Schritte aus, um Sicherheitsrollen zuzuweisen:

• Weisen Sie Benutzern für Lese- und Schreibzugriff die Rolle "Sicherheitsadministrator" zu, indem Sie den folgenden Befehl verwenden:

  $Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Administrator'"
  $UserId = (Get-MgUser -UserId "secadmin@Contoso.onmicrosoft.com").Id
  
  $DirObject = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId"
  }
  
  New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObject
  

• Weisen Sie benutzern für den schreibgeschützten Zugriff die Rolle "Sicherheitsleseberechtigter" zu, indem Sie den folgenden Befehl verwenden:

  $Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Reader'"
  $UserId = (Get-MgUser -UserId "reader@Contoso.onmicrosoft.com").Id
  
  $DirObject = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId"
  }
  
  New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObject
  

Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Gruppenmitgliedern mithilfe von Microsoft Entra ID.

Verwandte Artikel

• Zuweisen von Microsoft Entra Rollen zu Benutzern
• Verwalten des Portalzugriffs mithilfe des RBAC

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.