部署適用於端點的 Defender 時的下一個步驟是指派適用於端點的 Defender 部署的角色和許可權。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
角色型存取控制
Microsoft 建議使用最低許可權的概念。 適用於端點的 Defender 會在 Microsoft Entra ID 內套用內建角色。 查看可用的不同角色 並選擇合適的角色來解決您對此應用程序的每個角色的需求。 某些角色可能需要暫時套用,並在部署完成後移除。
Microsoft 建議使用 Privileged Identity Management 來管理您的角色,為具有目錄許可權的使用者提供更多稽核、控制和存取檢閱。
適用於端點的 Defender 支援兩種管理許可權的方式:
基本權限管理:將權限設定為完整存取或唯讀。 具有角色的使用者,例如 Microsoft Entra ID 中的安全性系統管理員,具有完整存取權。 安全性讀取者角色具有唯讀存取權,且不會授與檢視電腦/裝置清查的存取權。
RBAC) (角色型存取控制:透過定義角色、將Microsoft Entra使用者群組指派給角色,以及授予使用者群組對裝置群組的存取權,來設定精細的權限。 欲了解更多信息。 請參閱 使用角色型存取控制管理入口網站存取權。
Microsoft 建議套用 RBAC,以確保只有具有商務理由的使用者才能存取適用於端點的 Defender。
您可以在這裡找到許可權指導方針的詳細數據:建立角色並將角色指派給 Microsoft Entra 群組。
重要事項
從 2025 年 2 月 16 日開始,新適用於端點的 Microsoft Defender客戶將只能使用統一 Role-Based 存取控制 (URBAC) 。 現有客戶會保留其目前的角色和權限。 如需詳細資訊,請參閱 URBAC Unified Role-Based 存取控制 (URBAC) for 適用於端點的 Microsoft Defender
下列範例表格可用來識別環境中的網路防禦作業中心結構,以協助您判斷環境所需的 RBAC 結構。
| 層級 | 描述 | 必要的權限 |
|---|---|---|
| 第 1 級 |
本機安全性作業小組 / IT 小組 此小組通常會對其地理位置中包含的警示進行分類和調查,並在需要主動補救的情況下升級至第 2 層。 |
檢視資料 |
| 第 2 層 |
區域安全性作業小組 此小組可以查看其區域的所有裝置,並執行補救動作。 |
檢視資料 警示調查 作用中的補救動作 |
| 第 3 層 |
全域安全性作業小組 該團隊由安全專家組成,並有權查看和執行門戶中的所有操作。 |
檢視資料 警示調查 作用中的補救動作 管理入口網站系統設定 管理安全性設定 |
下一步
指派角色和許可權來檢視和管理適用於端點的 Defender 之後,就可以進行 步驟 3 - 識別您的架構並選擇您的部署方法。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。