共用方式為

適用於身分識別的 Microsoft Defender 角色群組

  • 發行項

適用於身分識別的 Microsoft Defender 提供以角色為基礎的安全性,以根據貴組織的特定安全性和合規性需求來保護數據。 建議您使用角色群組來管理適用於身分識別的 Defender 的存取權、隔離安全性小組中的責任,以及只授與使用者執行其工作所需的存取權數量。

整合角色型訪問控制 (RBAC)

在租使用者 Microsoft Entra ID 上已經是全域管理員或安全性系統管理員的使用者,也會自動成為適用於身分識別的 Defender 系統管理員。 Microsoft Entra 全域和安全性系統管理員不需要額外的許可權即可存取適用於身分識別的Defender。

對於其他使用者,請啟用並使用 Microsoft 365 角色型訪問控制 (RBAC) 來建立自定義角色,並默認支援更多 Entra ID 角色,例如安全性操作員或安全性讀取者,以管理適用於身分識別的 Defender 的存取權。

建立自訂角色時,請確定您套用下表所列的許可權:

適用於身分識別的 Defender 存取層級 最小必要Microsoft 365 統一 RBAC 許可權
系統管理員 - Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
- Security operations/Security data/Alerts (manage)
-Security operations/Security data /Security data basics (Read)
- Authorization and settings/Authorization/All permissions
- Authorization and settings/Authorization/Read
使用者 - Security operations/Security data /Security data basics (Read)
- Authorization and settings/System settings/Read
- Authorization and settings/Security settings/Read
- Security operations/Security data/Alerts (manage)
- microsoft.xdr/configuration/security/manage
檢視者 - Security operations/Security data /Security data basics (Read)
- Authorization and settings / System settings (Read and manage)
- Authorization and settings / Security setting (All permissions)

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 的角色型訪問控制中的自定義角色使用 Microsoft Defender 全面偵測回應 Unified RBAC 建立自定義角色

注意事項

Defender for Cloud Apps 活動記錄中包含的資訊可能仍包含適用於身分識別的 Defender 數據。 此內容遵守現有的 Defender for Cloud Apps許可權。

例外狀況:如果您已在 Microsoft Defender for Cloud Apps 中設定 適用於身分識別的 Microsoft Defender 警示的範圍部署,這些許可權不會繼續,您必須明確地授與安全性作業 \ 安全性數據 \ 安全性數據基本概念, (讀取相關入口網站使用者的) 許可權。

Microsoft Defender 全面偵測回應 中適用於身分識別的Defender必要許可權

下表詳細說明 Microsoft Defender 全面偵測回應 中適用於身分識別的Defender活動所需的特定許可權

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

活動 最少的必要許可權
將適用於身分識別的Defender上 線 (建立工作區) 安全性系統管理員
設定適用於身分識別的Defender設定 下列其中一個 Microsoft Entra 角色:
- 安全性系統管理員
- 安全性操作員

下列 整合 RBAC 權限
- Authorization and settings/Security settings/Read
- Authorization and settings/Security settings/All permissions
- Authorization and settings/System settings/Read
- Authorization and settings/System settings/All permissions
檢視適用於身分識別的Defender設定 下列其中一個 Microsoft Entra 角色:
- 全域讀取者
- 安全性讀取者

下列 整合 RBAC 權限
- Authorization and settings/Security settings/Read
- Authorization and settings/System settings/Read
管理適用於身分識別的Defender安全性警示和活動 下列其中一個 Microsoft Entra 角色:
- 安全性操作員

下列 整合 RBAC 權限
- Security operations/Security data/Alerts (Manage)
- Security operations/Security data /Security data basics (Read)
檢視適用於身分識別的Defender安全性評估
(現在屬於Microsoft安全分數) 		存取 安全分數Microsoft許可權
And
下列 整合 RBAC 權限Security operations/Security data /Security data basics (Read)
檢視資產/身分識別頁面 取 Defender for Cloud Apps 的許可權

Microsoft Defender 全面偵測回應 所需的其中一個 Microsoft Entra 角色
執行適用於身分識別的Defender回應動作 使用回應 (管理) 許可權定義的自定義角色

下列其中一個 Microsoft Entra 角色:
- 安全性操作員

適用於身分識別的Defender安全組

適用於身分識別的 Defender 提供下列安全組,以協助管理適用於身分識別的 Defender 資源的存取權:

  • 系統管理員) Azure ATP (工作區名稱
  • Azure ATP (工作區名稱) 使用者
  • 檢視者) Azure ATP (工作區名稱

下表列出每個安全組可用的活動:

活動 系統管理員) Azure ATP (工作區名稱 Azure ATP (工作區名稱) 使用者 Azure ATP (工作區名稱) 檢視者
變更健康情況問題狀態 可以使用
在重新開啟、關閉、排除、隱藏) (變更安全性警示狀態 提供 提供
刪除工作區 可以使用
下載報表 提供 提供 提供
登入 提供 提供 提供
透過電子郵件共用/匯出安全性警示 (、取得鏈接、下載詳細數據) 提供 提供 提供
更新適用於身分識別的Defender 設定 (更新) 可以使用
更新適用於身分識別的Defender 設定 (實體標籤,包括敏感性和 honeytoken) 提供 提供
更新適用於身分識別的Defender 設定 (排除專案) 提供 提供
更新適用於身分識別的Defender 設定 (語言) 提供 提供
更新適用於身分識別的 Defender 設定 (通知,包括電子郵件和 syslog) 提供 提供
更新適用於身分識別的Defender設定 (預覽偵測) 提供 提供
更新適用於身分識別的Defender 設定 (排程報表) 提供 提供
更新適用於身分識別的 Defender 設定 (數據源,包括目錄服務、SIEM、VPN、適用於端點的 Defender) 可以使用
更新適用於身分識別的 Defender 設定 (感測器管理,包括下載軟體、重新產生密鑰、設定、刪除) 可以使用
檢視實體配置檔和安全性警示 提供 提供 提供

新增和移除使用者

適用於身分識別的Defender會使用 Microsoft Entra安全組作為角色群組的基礎。

Azure 入口網站 的 [管理] 頁面 群組 管理角色群組。 只有 Microsoft Entra 使用者可以從安全組新增或移除。

下一步

設定 適用於身分識別的 Microsoft Defender 的目錄服務帳戶 »