Microsoft Defender门户中的Microsoft Defender for Office 365权限

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Entra ID 中的全局角色允许你管理所有 Microsoft 365 中的权限和对功能的访问权限,其中还包括Microsoft Defender for Office 365。 但是,如果需要将权限和功能限制为仅Defender for Office 365中的安全功能,则可以在Microsoft Defender门户中分配Email &协作权限。

若要在Microsoft Defender门户中管理Defender for Office 365权限,请转到“权限Email &>协作角色>”“角色”或直接转到 https://security.microsoft.com/emailandcollabpermissions

你需要是 Microsoft Entra ID 中的全局管理员*角色的成员,或者是具有Defender for Office 365权限的组织管理角色组的成员。 具体而言,Defender for Office 365 中的角色管理角色允许用户查看、创建和修改Defender for Office 365角色组。 默认情况下,该角色仅分配给 组织管理 角色组 (,按扩展,全局管理员) 。

重要

* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

成员、角色和角色组之间的关系

Microsoft Defender门户中Defender for Office 365权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 与大多数 Microsoft 365 服务使用的权限模型相同,因此,如果你熟悉这些服务中的权限结构,则应熟悉在 Microsoft Defender 门户中授予权限。

角色授予执行一组任务的权限。

角色组是一组角色,允许用户在Microsoft Defender门户中完成其工作。

Microsoft Defender门户中Defender for Office 365权限包括需要分配的最常见任务和函数的默认角色组。 通常,我们建议你只需将单个用户作为 成员 添加到默认角色组。

角色组与其角色和成员的关系

Microsoft Defender门户中的角色和角色组

在 Defender 门户中https://security.microsoft.com/securitypermissions“权限”页上,可以使用以下类型的角色和角色组:

  • Microsoft Entra角色:可以查看角色和分配的用户,但不能直接在Microsoft Defender门户中对其进行管理。 Microsoft Entra角色是为所有Microsoft 365 服务分配权限的中心角色。

  • Email &协作角色:可以直接在Microsoft Defender门户中查看和管理这些角色组。 这些权限特定于Microsoft Defender门户和Microsoft Purview 合规门户。 这些权限并不涵盖其他 Microsoft 365 工作负载所需的所有权限。

Microsoft Defender门户中的“权限 & 角色”页

Microsoft Defender门户中Microsoft Entra角色

Microsoft Entra本部分中介绍的角色可在 Defender 门户>权限>Microsoft Entra ID>Roles 或直接在 https://security.microsoft.com/aadpermissions中获取。

选择角色时,将打开一个详细信息浮出控件,其中包含角色和用户分配的说明。 但若要管理这些分配,需要选择浮出控件底部Microsoft Entra ID中的“管理成员”。

用于在 Microsoft Entra ID 中管理权限的链接

有关详细信息,请参阅向用户分配Microsoft Entra角色使用Microsoft Entra全局角色管理对Microsoft Defender XDR的访问权限

Role 说明
全局管理员 访问所有 Microsoft 365 服务中的所有管理功能的权限。 只有全局管理员才能分配其他管理员角色。 更多信息,请参阅全局管理员/公司管理员
合规性数据管理员 在 Microsoft 365 中跟踪组织的数据,确保数据受到保护,并深入了解任何问题以帮助缓解风险。 有关详细信息,请参阅合规性数据管理员
合规性管理员 帮助组织遵守任何法规要求,管理电子数据展示案例,并维护 Microsoft 365 位置、标识和应用中的数据治理策略。 有关详细信息,请参阅合规性管理员
安全操作员 查看、调查和响应对 Microsoft 365 用户、设备和内容的活动威胁。 有关详细信息,请参阅安全操作员
安全读取器 查看和调查对 Microsoft 365 用户、设备和内容的活动威胁,但 (与安全操作员不同,) 他们无权通过采取行动做出响应。 有关详细信息,请参阅安全信息读取者
安全管理员 通过管理安全策略、查看 Microsoft 365 产品中的安全分析和报告以及及时了解威胁形势来控制组织的总体安全。 有关详细信息,请参阅安全管理员
全局读取器 只读版本的全局管理员角色。 查看 Microsoft 365 中所有设置和管理信息。 有关详细信息,请参阅 全局信息读取者
攻击模拟管理员 创建和管理 攻击模拟 创建、启动/安排模拟以及审查模拟结果的各个方面。 有关详细信息,请参阅 攻击模拟管理员
攻击有效负载作者 创建攻击负载,但不真正开始或计划其目标。 有关详细信息,请参阅攻击有效负载作者

Email & Microsoft Defender门户中的协作角色

Defender 门户和 Purview 合规性门户中提供了相同的角色组和角色:

有关这些角色组的完整信息,请参阅 Microsoft Defender XDR 和 Microsoft Purview 合规性门户中的角色和角色组

注意

Microsoft Defender门户中可用的Defender for Office 365数据不受Microsoft Purview 合规门户中配置的自适应范围的影响。 有关自适应范围的详细信息,请参阅 自适应范围

以下操作适用于 Defender 门户中Email &协作角色组:

在Microsoft Defender门户中创建Email &协作角色组

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。

  2. “权限”页上,选择“创建以启动新角色组向导。

  3. “命名角色组 ”页上,输入以下信息:

    • 名称:输入角色组的唯一名称。
    • 说明:输入角色组的可选说明。

    在“ 为角色组命名 ”页上完成后,选择“ 下一步”。

  4. “选择角色 ”页上,选择“ 选择角色”。

    1. 在打开 的“选择角色” 浮出控件中,选择浮出控件顶部的“ 添加 ”。

    2. 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色。 选择“名称”列标题以按名称对列表进行排序,或使用搜索”框查找角色。

      选择要添加的一个或多个角色后,选择浮出控件底部的“ 添加 ”。

      回到原始的 “选择角色” 浮出控件中,你添加的角色将列在页面上。 若要添加更多角色,请重复上一步。 已选择的角色灰显。

      若要删除角色,请选择“ 删除”。 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色,然后选择“ 删除”。

    3. 完成原始“ 选择角色” 浮出控件后,选择“ 完成”。

    返回“ 选择角色 ”页,角色显示在 “所选角色 ”部分中。

    完成“ 选择角色 ”页后,选择“ 下一步”。

  5. “选择成员 ”页上,选择“ 选择成员”。

    1. 在打开 的“选择成员 ”浮出控件中,选择浮出控件顶部的“ 添加 ”。

    2. 在打开的新 “选择成员” 浮出控件中,选择一个或多个用户。 选择列标题以按名称Email地址对列表进行排序,或使用“搜索”框查找用户。

      选择要添加的一个或多个用户后,选择浮出控件底部的“ 添加 ”。

      回到原始的 “选择成员” 浮出控件上,你添加的成员将列在页面上。 若要添加更多成员,请重复上一步。 已选择的成员灰显。

      若要删除成员,请选择“ 删除”。 在打开的新 “选择成员” 浮出控件中,选择一个或多个成员,然后选择“ 删除”。

    3. 完成原始“ 选择角色” 浮出控件后,选择“ 完成”。

    返回“ 选择成员 ”页,成员显示在 “所选成员 ”部分中。

    完成“ 选择成员 ”页后,选择“ 下一步”。

  6. “查看设置” 页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。

    完成“ 查看设置 ”页后,选择“ 创建角色组”。

返回“ 权限” 页,将列出新角色组。

在Microsoft Defender门户中复制Email &协作角色组

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。

  2. “权限” 页上,从列表中选择角色组。 使用 “名称” 列标题按名称对列表进行排序,或使用 “搜索 ”框查找角色组。

  3. 在打开的角色组详细信息浮出控件中,选择浮出控件顶部的“ 复制角色组 ”。

此时会打开“新建角色组”向导,如前面所述,用于 创建新角色组

新角色组的默认名称是原始角色组名称>的副本<,但你可以更改它。

角色和成员使用要复制的角色中的值填充,但你可以更改它们。

在Microsoft Defender门户中修改Email &协作角色组成员身份

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。

  2. “权限” 页上,从列表中选择角色组。 使用 “名称” 列标题按名称对列表进行排序,或使用 “搜索 ”框查找角色组。

  3. 在打开的角色组详细信息浮出控件中,执行以下步骤之一:

    • 选择浮出控件顶部的“ 编辑角色组 ”。 在打开的编辑角色组向导中,选择“ 选择成员 ”选项卡。
    • 在浮出控件的“ 成员 ”部分中,选择“ 编辑”。
  4. 在打开的编辑角色组向导的“ 选择成员 ”选项卡上,执行以下步骤之一:

    • 如果没有角色组成员,请选择“ 选择成员”。
    • 如果存在现有角色组成员,请选择 “编辑”
  5. 在打开 的“选择成员” 浮出控件中,执行以下步骤之一:

    • 添加成员:选择浮出控件顶部的“ 添加 ”。 在打开的新 “选择成员” 浮出控件中,选择一个或多个用户。 选择列标题以按名称Email地址对列表进行排序,或使用“搜索”框查找用户。

      选择要添加的一个或多个用户后,选择浮出控件底部的“ 添加 ”。

      回到原始的 “选择成员” 浮出控件中,添加的用户将显示在“ 成员 ”部分中。

    • 删除成员:选择浮出控件顶部的 “删除 ”。 在打开的新 “选择成员” 浮出控件中,选择一个或多个用户。 选择列标题以按名称Email地址对列表进行排序,或使用“搜索”框查找用户。

      选择要删除的一个或多个用户后,选择“ 删除”。

      回到原始的 “选择成员” 浮出控件,已删除的用户不再显示在“ 成员 ”部分中。

    完成原始“ 选择成员” 浮出控件后,选择“ 完成”。

  6. 返回向导的“ 选择成员 ”选项卡,选择“ 保存”。

  7. 返回角色组详细信息浮出控件,选择“ 完成”。

在Microsoft Defender门户中修改Email &协作角色组角色分配

注意

只能修改自定义角色组的角色分配。 无法修改内置角色组的角色分配。

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。

  2. “权限” 页上,从列表中选择角色组。 选择“名称”列标题以按名称对列表进行排序,或使用搜索”框查找角色组。

  3. 在打开的角色组详细信息浮出控件中,执行以下步骤之一:

    • 选择浮出控件顶部的“ 编辑角色组 ”。 在打开的编辑角色组向导中,选择“ 选择角色 ”选项卡。
    • 在浮出控件的“ 分配的角色 ”部分中,选择 “编辑”。
  4. 在打开的编辑角色组向导的“ 选择 角色”选项卡上,执行以下步骤之一:

    • 如果没有分配的角色,请选择“ 选择角色”。
    • 如果分配了现有角色,请选择“编辑
  5. 在打开 的“选择角色” 浮出控件中,执行以下步骤之一:

    • 添加角色:选择浮出控件顶部的“ 添加 ”。 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色。 已分配的角色灰显。选择“名称”列标题以按名称对列表进行排序,或使用搜索”框查找角色。

      选择要添加的一个或多个角色后,选择浮出控件底部的“ 添加 ”。

      回到原始的 “选择角色” 浮出控件中,添加的角色显示在 “角色” 部分中。

    • 删除角色:选择浮出控件顶部的“ 删除 ”。 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色。 选择列标题以按 名称对列表进行排序,或使用 “搜索 ”框查找角色。

      选择要删除的一个或多个角色后,选择“ 删除”。

      回到原始的 “选择角色” 浮出控件,已删除的角色不再显示在 “角色” 部分中。

    完成原始“ 选择角色” 浮出控件后,选择“ 完成”。

  6. 返回向导的“ 选择角色 ”选项卡,选择“ 保存”。

  7. 返回角色组详细信息浮出控件,选择“ 完成”。

在Microsoft Defender门户中删除Email &协作角色组

注意

只能删除自定义角色组。 无法删除内置角色组。

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。

  2. “权限” 页上,从列表中选择角色组。 选择“名称”列标题以按名称对列表进行排序,或使用搜索”框查找角色组。

  3. 在打开的角色组详细信息浮出控件中,选择浮出控件顶部的“ 删除角色组 ”。

  4. 在打开的警告对话框中选择 “是 ”。

返回到 “权限” 页,角色组不再列出。