Microsoft Defender XDR统一的基于角色的访问控制 (RBAC)

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender for Identity
• Microsoft Defender for Office 365 计划 2
• Microsoft Defender 漏洞管理
• Microsoft Defender for Cloud
• Microsoft 安全风险管理

Microsoft Defender XDR在单个门户中跨终结点、电子邮件、标识、应用程序和数据提供集成的威胁防护、检测和响应。 控制用户查看数据或完成任务的权限对于组织来说至关重要，这样才能将与未经授权的访问相关的风险降到最低。

Microsoft Defender XDR基于角色的统一访问控制 (RBAC) 模型提供单一权限管理体验，为管理员提供一个中心位置，以便跨不同的安全解决方案控制用户权限。

Microsoft Defender XDR统一 RBAC 模型支持的内容

以下解决方案支持集中式权限管理：

解决方案	说明
Microsoft Defender XDR	针对Microsoft Defender XDR体验的集中权限管理。
Microsoft Defender for Endpoint	对所有终结点数据和操作的完全支持。 所有角色都与设备组页上定义的设备组范围兼容。
Microsoft Defender 漏洞管理	所有Defender 漏洞管理功能的集中权限管理。
Microsoft Defender for Office 365	完全支持所有数据和操作。 注意： 最初，Microsoft Defender XDR RBAC 模型仅适用于具有Microsoft Defender for Office 365计划 2 许可证 (不支持) 试用版许可证的组织。 不支持 (GDAP) 的精细委派管理员权限。 Exchange Online PowerShell 和安全 & 合规性 PowerShell 继续使用Exchange Online角色和Email &协作角色。 Microsoft Defender XDR统一 RBAC 不会影响Exchange Online PowerShell 或安全性 & 符合性 PowerShell。 Azure B2B 邀请的来宾不受以前Exchange Online RBAC 下的所有体验的支持。
Microsoft Defender for Identity	完全支持所有标识数据和操作。 注意：Defender for Identity 体验还遵循从 Microsoft Defender for Cloud Apps 授予的权限。 有关详细信息，请参阅Microsoft Defender for Identity角色组。
Microsoft Defender for Cloud	支持Microsoft Defender门户中提供的所有 Defender for Cloud 数据的访问管理。
Microsoft 安全风险管理	完全支持所有曝光管理数据和操作，包括Microsoft安全功能分数数据。

注意

由合规性权限控制的方案和体验仍Microsoft Purview 合规门户进行管理。

此产品/服务当前不适用于 cloudApps Microsoft Defender。

准备工作

本部分提供有关开始使用统一 RBAC Microsoft Defender XDR之前需要了解的内容的有用信息。

权限先决条件

• 必须是Microsoft Entra ID中的全局管理员或安全管理员，才能：

  • 在 Microsoft Defender 门户中获取对权限和角色的初始访问权限。

  • 在统一 RBAC 中管理Microsoft Defender XDR角色和权限。

  • 创建一个自定义角色，该角色可以授予安全组或单个用户的访问权限，以在Microsoft Defender XDR统一 RBAC 中管理角色和权限。 这样就无需Microsoft Entra全局角色来管理权限。 为此，需要在统一 RBAC Microsoft Defender XDR 分配授权权限。 有关如何分配授权权限的详细信息，请参阅 创建用于访问和管理角色和权限的角色。

• 为部分或所有工作负载（即全局管理员保留分配的管理员权限）激活Microsoft Defender XDR统一 RBAC 模型时，Microsoft Defender XDR安全解决方案将继续尊重现有Microsoft Entra全局角色。

重要

全局管理员是一种高特权角色，在无法使用现有角色时，应限制为方案。

迁移现有角色和权限

新的 Microsoft Defender XDR 统一 RBAC 模型可以轻松地将各个受支持的统一 RBAC 模型中的现有权限迁移到新的 RBAC 模型。

Microsoft Defender XDR统一 RBAC 模型中列出的所有权限都与单个 RBAC 模型中的权限保持一致，以确保向后兼容。 有关权限如何一致的详细信息，请参阅映射Microsoft Defender XDR统一的基于角色的访问控制中的权限 (RBAC) 。

激活Microsoft Defender XDR统一 RBAC 模型

必须激活 Microsoft Defender XDR 中的工作负载才能使用 Microsoft Defender XDR 统一 RBAC 模型。 在激活之前，Microsoft Defender XDR将继续遵循现有的 RBAC 模型。 有关详细信息，请参阅激活Microsoft Defender XDR统一 RBAC。

激活部分或全部工作负载以使用新的权限模型时，这些工作负载的角色和权限完全由Microsoft Defender门户中的统一 RBAC 模型Microsoft Defender XDR控制。

开始使用Microsoft Defender XDR统一 RBAC 模型

使用以下步骤作为开始使用统一 RBAC 模型Microsoft Defender XDR指南：

1. 从现有 RBAC 角色模型创建自定义角色和导入角色入门

   • 创建自定义角色
   • 导入现有 RBAC 角色
   • 查看、编辑和删除 RBAC 角色

2. 使用Microsoft Defender XDR统一 RBAC 模型激活和管理角色

   • 激活 Microsoft Defender XDR Unified RBAC

3. 详细了解Microsoft Defender XDR统一 RBAC 模型

   • Microsoft Defender XDR统一 RBAC 权限
   • 将现有 RBAC 角色映射到Microsoft Defender XDR统一 RBAC 角色

观看以下视频，了解前面的操作步骤：

提示

想要了解更多信息？ 请在我们的技术社区中与 Microsoft 安全社区互动：Microsoft Defender XDR 技术社区。