分配用户访问权限

适用于：

• Microsoft Entra ID
• Office 365
• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

Defender for Endpoint 支持两种管理权限的方法：

• 基本权限管理：将权限设置为完全访问权限或只读权限。 请参阅 使用基本权限访问门户。

• 基于角色的访问控制 (RBAC) ：通过定义角色、将Microsoft Entra用户组分配给角色以及授予用户组对设备组的访问权限来设置精细权限。 有关 RBAC 的详细信息，请参阅 使用基于角色的访问控制管理门户访问。

从基本权限更改为 RBAC

如果已分配基本权限，可以随时切换到 RBAC。 在进行切换之前，请考虑以下事项：

• 具有完全访问权限的用户 (在 Microsoft Entra ID) 中分配了全局管理员或安全管理员目录角色的用户将自动分配默认的 Defender for Endpoint 管理员角色，该角色也具有完全访问权限。
• 切换到 RBAC 后，可将其他Microsoft Entra用户组分配给 Defender for Endpoint 管理员角色。
• 只有分配有 Defender for Endpoint 管理员角色的用户才能使用 RBAC 管理权限。
• (安全读取者具有只读访问权限的用户) 失去对门户的访问权限，直到他们被分配了角色。 在 RBAC 下，只能为Microsoft Entra用户组分配角色。
• 切换到 RBAC 后，无法切换回使用基本权限管理。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

相关文章

• 创建和管理设备组
• 使用Microsoft Defender for Endpoint零信任

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。