Microsoft Defender for Identity 角色组
Microsoft Defender for Identity提供基于角色的安全性,根据组织的特定安全性和合规性需求来保护数据。 建议使用角色组来管理对 Defender for Identity 的访问权限,在安全团队中分离责任,并仅授予用户执行其作业所需的访问权限量。
统一的基于角色的访问控制 (RBAC)
租户Microsoft Entra ID上已是全局管理员或安全管理员的用户也会自动是 Defender for Identity 管理员。 Microsoft Entra全局和安全管理员不需要额外的权限来访问 Defender for Identity。
对于其他用户,启用并使用 Microsoft 365 基于角色的访问控制 (RBAC) 创建自定义角色,并默认支持更多 Entra ID 角色(例如安全作员或安全读取者)来管理对 Defender for Identity 的访问。
重要
从 2025 年 3 月 2 日开始,新Microsoft Defender for Identity租户只能通过统一 Role-Based 访问控制 (RBAC) Microsoft Defender XDR 配置权限。 在此日期之前分配或导出了角色的租户将保留其当前配置。
创建自定义角色时,请确保应用下表中列出的权限:
| Defender for Identity 访问级别 | 最低要求Microsoft 365 个统一 RBAC 权限 |
|---|---|
| 管理员 | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| 用户 | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| 查看者 | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
有关详细信息,请参阅针对Microsoft Defender XDR的基于角色的访问控制中的自定义角色和使用统一 RBAC Microsoft Defender XDR创建自定义角色。
注意
Defender for Cloud Apps活动日志中包含的信息可能仍包含 Defender for Identity 数据。 此内容遵循现有Defender for Cloud Apps权限。
异常:如果在 Microsoft Defender for Cloud Apps 中为Microsoft Defender for Identity警报配置了作用域部署,则这些权限不会延续,并且必须显式授予相关门户的安全作 \安全数据 \ 安全数据基础知识 (读取) 权限用户。
Microsoft Defender XDR 中所需的权限 Defender for Identity
下表详细介绍了 Microsoft Defender XDR 中 Defender for Identity 活动所需的特定权限。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
| 活动 | 最低要求的权限 |
|---|---|
| 载入 Defender for Identity (创建工作区) | 安全管理员 |
| 配置 Defender for Identity 设置 | 以下Microsoft Entra角色之一: - 安全管理员 - 安全作员 Or 以下 统一 RBAC 权限: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| 查看 Defender for Identity 设置 | Microsoft Entra角色: - 安全读取器 Or 以下 统一 RBAC 权限: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| 管理 Defender for Identity 安全警报和活动 | 以下Microsoft Entra角色之一: - 安全作员 Or 以下 统一 RBAC 权限: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
查看 Defender for Identity 安全评估 (现在是Microsoft安全功能分数) 的一部分 |
访问Microsoft安全功能分数的权限 And 以下 统一 RBAC 权限: Security operations/Security data /Security data basics (Read) |
| 查看“资产/标识”页 | 访问Defender for Cloud Apps的权限 Or Microsoft Defender XDR所需的Microsoft Entra角色之一 |
| 执行 Defender for Identity 响应作 | 使用响应 (管理) 的权限定义的自定义角色 Or 以下Microsoft Entra角色之一: - 安全作员 |
Defender for Identity 安全组
重要
从 3 月 2 日开始,Defender for Identity 将不再创建Microsoft Entra ID安全组。 租户仍可以通过Microsoft Defender XDR统一 Role-Based 访问控制 (RBAC) 配置相同的权限
Defender for Identity 提供以下安全组来帮助管理对 Defender for Identity 资源的访问:
- Azure ATP (工作区名称) 管理员
- Azure ATP (工作区名称) 用户
- Azure ATP (工作区名称) 查看者
下表列出了每个安全组可用的活动:
| 活动 | Azure ATP (工作区名称) 管理员 | Azure ATP (工作区名称) 用户 | Azure ATP (工作区名称) 查看者 |
|---|---|---|---|
| 更改运行状况问题状态 | 可用 | 不可用 | 不可用 |
| 更改安全警报状态 (重新打开、关闭、排除、取消) | 可用 | 可用 | 不可用 |
| 删除工作区 | 可用 | 不可用 | 不可用 |
| 下载报表 | 可用 | 可用 | 可用 |
| 登录 | 可用 | 可用 | 可用 |
| 通过电子邮件共享/导出安全警报 (、获取链接、下载详细信息) | 可用 | 可用 | 可用 |
| 更新 Defender for Identity 配置 (更新) | 可用 | 不可用 | 不可用 |
| (实体标记更新 Defender for Identity 配置,包括敏感和蜜标) | 可用 | 可用 | 不可用 |
| 更新 Defender for Identity 配置 (排除) | 可用 | 可用 | 不可用 |
| 更新 Defender for Identity 配置 (语言) | 可用 | 可用 | 不可用 |
| 更新 Defender for Identity 配置 (通知,包括电子邮件和 syslog) | 可用 | 可用 | 不可用 |
| 更新 Defender for Identity 配置 (预览检测) | 可用 | 可用 | 不可用 |
| 更新 Defender for Identity 配置 (计划报表) | 可用 | 可用 | 不可用 |
| (数据源更新 Defender for Identity 配置 ,包括目录服务、SIEM、VPN、Defender for Endpoint) | 可用 | 不可用 | 不可用 |
| 更新 Defender for Identity 配置 (传感器管理,包括下载软件、重新生成密钥、配置、删除) | 可用 | 不可用 | 不可用 |
| 查看实体配置文件和安全警报 | 可用 | 可用 | 可用 |
添加和删除用户
Defender for Identity 使用Microsoft Entra安全组作为角色组的基础。
从Azure 门户的“组管理”页上管理角色组。 只能向安全组添加或删除Microsoft Entra用户。