使用基于角色的访问控制管理门户访问

注意

如果运行的是Microsoft Defender XDR预览版程序,现在可以体验新的 Microsoft Defender 365 统一基于角色的访问控制 (RBAC) 模型。 有关详细信息,请参阅 Microsoft Defender 365 统一的基于角色的访问控制 (RBAC)

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

使用基于角色的访问控制 (RBAC) ,可以在安全运营团队中创建角色和组,以授予对门户的适当访问权限。 根据创建的角色和组,可以精细控制有权访问门户的用户可以查看和执行的操作。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

大型异地分布式安全运营团队通常采用基于层的模型来分配和授权对安全门户的访问权限。 典型的层包括以下三个级别:

说明
第 1 层 本地安全运营团队/IT 团队
此团队通常会会审并调查其地理位置中包含的警报,并在需要主动修正的情况下升级到第 2 层。
第 2 层 区域安全运营团队
此团队可以查看其所在区域的所有设备并执行修正操作。
第 3 层 全球安全运营团队
此团队由安全专家组成,有权从门户查看和执行所有操作。

注意

对于第 0 层资产,请参阅安全管理员Privileged Identity Management,以更精细地控制Microsoft Defender for Endpoint和Microsoft Defender XDR。

Defender for Endpoint RBAC 旨在支持所选的基于层或基于角色的模型,让你可以精细控制角色可以看到哪些角色、可以访问的设备以及可以执行的操作。 RBAC 框架以以下控件为中心:

  • 控制谁可以采取特定操作
    • 创建自定义角色并控制他们可以以粒度访问的 Defender for Endpoint 功能。
  • 控制谁可以查看有关特定设备组的信息
    • 根据名称、标记、域等特定条件创建设备组,然后使用特定的Microsoft Entra用户组授予对这些组的角色访问权限。

      注意

      Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

若要实现基于角色的访问,需要定义管理员角色、分配相应的权限,并分配分配给角色的Microsoft Entra用户组。

开始之前

在使用 RBAC 之前,请务必了解可以授予权限的角色以及启用 RBAC 的后果。

警告

在启用此功能之前,请务必具有适当的角色(例如Microsoft Entra ID中分配的安全管理员),并且准备好Microsoft Entra组,以降低被锁定在门户外的风险。

首次登录到 Microsoft Defender 门户时,将被授予完全访问权限或只读访问权限。 Microsoft Entra ID中具有安全管理员角色的用户授予完全访问权限。 向在 Microsoft Entra ID 中具有安全读取者角色的用户授予只读访问权限。

具有 Defender for Endpoint 全局管理员角色的人可以不受限制地访问所有设备,而不管其设备组关联和Microsoft Entra用户组分配如何。

警告

最初,只有具有Microsoft Entra全局管理员或安全管理员权限的人员才能在Microsoft Defender门户中创建和分配角色;因此,在Microsoft Entra ID中准备好正确的组非常重要。

启用基于角色的访问控制会导致具有只读权限的用户 (例如,分配到Microsoft Entra安全读取者角色的用户) 失去访问权限,直到他们分配到角色。

自动为具有管理员权限的用户分配具有完全权限的默认内置 Defender for Endpoint 全局管理员角色。 选择加入使用 RBAC 后,可以将未Microsoft Entra全局管理员或安全管理员的其他用户分配到 Defender for Endpoint 全局管理员角色。

选择加入以使用 RBAC 后,无法像首次登录到门户一样还原初始角色。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区