为Microsoft Defender for Endpoint部署分配角色和权限

适用于：

希望体验 Microsoft Defender for Endpoint？注册免费试用版。

部署 Defender for Endpoint 的下一步是为 Defender for Endpoint 部署分配角色和权限。

重要

Microsoft 建议使用权限最少的角色。这有助于提高组织的安全性。全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

基于角色的访问控制

Microsoft建议使用最小特权的概念。 Defender for Endpoint 在 Microsoft Entra ID 内应用内置角色。查看可用的不同角色，并选择适当的角色来解决此应用程序每个角色的需求。部署完成后，可能需要暂时应用和删除某些角色。

Microsoft建议使用Privileged Identity Management来管理角色，以便为具有目录权限的用户提供更多审核、控制和访问评审。

Defender for Endpoint 支持两种管理权限的方法：

基本权限管理：将权限设置为完全访问权限或只读权限。具有角色的用户（例如Microsoft Entra ID中的安全管理员）具有完全访问权限。安全读取者角色具有只读访问权限，不授予查看计算机/设备清单的权限。
基于角色的访问控制 (RBAC) ：通过定义角色、将Microsoft Entra用户组分配给角色以及授予用户组对设备组的访问权限来设置精细权限。有关详细信息。请参阅使用基于角色的访问控制管理门户访问。

Microsoft建议应用 RBAC，以确保只有具有业务理由的用户才能访问 Defender for Endpoint。

可在此处找到有关权限准则的详细信息：创建角色并将角色分配给Microsoft Entra组。

重要

从 2025 年 2 月 16 日开始，新Microsoft Defender for Endpoint客户将只能访问统一 Role-Based 访问控制 (URBAC) 。现有客户保留其当前角色和权限。有关详细信息，请参阅 urBAC Unified Role-Based 访问控制 (URBAC) for Microsoft Defender for Endpoint

以下示例表用于标识环境中的网络防御运营中心结构，该结构将帮助你确定环境所需的 RBAC 结构。

层	说明	所需的权限
第 1 层	本地安全运营团队/IT 团队此团队通常会会审并调查其地理位置中包含的警报，并在需要主动修正的情况下升级到第 2 层。	查看数据
第 2 层	区域安全运营团队此团队可以查看其所在区域的所有设备并执行修正作。	查看数据警报调查可用修正操作
第 3 层	全球安全运营团队此团队由安全专家组成，有权从门户查看和执行所有作。	查看数据警报调查可用修正操作管理门户系统设置管理安全设置

分配角色和权限以查看和管理 Defender for Endpoint 后，接下来可以执行步骤 3 - 标识体系结构并选择部署方法。

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。