使用基于角色的访问控制管理门户访问
注意
如果运行的是 Microsoft Defender XDR 预览版程序,现在可以体验新的 Microsoft Defender 365 统一基于角色的访问控制 (RBAC) 模型。 有关详细信息,请参阅 Microsoft Defender 365 统一基于角色的访问控制 (RBAC) 。
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Entra ID
- Office 365
希望体验 Defender for Endpoint? 注册免费试用版。
使用基于角色的访问控制 (RBAC) ,可以在安全运营团队中创建角色和组,以授予对门户的适当访问权限。 根据创建的角色和组,可以精细控制有权访问门户的用户可以查看和执行的操作。
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
大型异地分布式安全运营团队通常采用基于层的模型来分配和授权对安全门户的访问权限。 典型的层包括以下三个级别:
层 | 说明 |
---|---|
第 1 层 |
本地安全运营团队/IT 团队 此团队通常会会审并调查其地理位置中包含的警报,并在需要主动修正的情况下升级到第 2 层。 |
第 2 层 |
区域安全运营团队 此团队可以查看其所在区域的所有设备并执行修正操作。 |
第 3 层 |
全球安全运营团队 此团队由安全专家组成,有权从门户查看和执行所有操作。 |
注意
对于第 0 层资产,请参阅适用于安全管理员的 Privileged Identity Management ,以更精细地控制 Microsoft Defender for Endpoint 和 Microsoft Defender XDR。
Defender for Endpoint RBAC 旨在支持所选的基于层或基于角色的模型,让你可以精细控制角色可以看到哪些角色、可以访问的设备以及可以执行的操作。 RBAC 框架以以下控件为中心:
-
控制谁可以采取特定操作
- 创建自定义角色并控制他们可以以粒度访问的 Defender for Endpoint 功能。
-
控制谁可以查看有关特定设备组的信息
按名称、标记、域等特定条件创建设备组,然后使用特定的Microsoft Entra 用户组授予对这些组的角色访问权限。
注意
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
若要实现基于角色的访问,需要定义管理员角色、分配相应的权限,并分配分配给角色的 Entra 用户组Microsoft。
开始之前
在使用 RBAC 之前,请务必了解可以授予权限的角色以及启用 RBAC 的后果。
警告
在启用该功能之前,请务必在 Entra ID Microsoft具有全局管理员角色或安全管理员角色,并且准备好Microsoft Entra 组,以降低被锁定在门户外的风险。
首次登录到 Microsoft Defender 门户时,将被授予完全访问权限或只读访问权限。 Microsoft Entra ID 中具有安全管理员或全局管理员角色的用户授予完全访问权限。 Microsoft Entra ID 中具有安全读取者角色的用户授予只读访问权限。
具有 Defender for Endpoint 全局管理员角色的人可以不受限制地访问所有设备,而不管其设备组关联和Microsoft Entra 用户组分配如何。
警告
最初,只有具有 Microsoft Entra 全局管理员或安全管理员权限的人员才能在 Microsoft Defender 门户中创建和分配角色;因此,在 Entra ID Microsoft准备好正确的组非常重要。
启用基于角色的访问控制会导致具有只读权限的用户 (例如,分配给 Microsoft Entra Security 读取者角色的用户) 失去访问权限,直到他们分配到角色。
自动为具有管理员权限的用户分配具有完全权限的默认内置 Defender for Endpoint 全局管理员角色。 选择加入使用 RBAC 后,可以将未Microsoft Entra 全局管理员或安全管理员的其他用户分配到 Defender for Endpoint 全局管理员角色。
选择使用 RBAC 后,无法像首次登录到门户一样还原为初始角色。
相关主题
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。