注意事項
如果您執行Microsoft Defender 全面偵測回應預覽計劃,您現在可以體驗新的 Microsoft Defender 365 Unified 角色型存取控制 (RBAC) 模型。 如需詳細資訊,請參閱 Microsoft Defender 365 Unified role-based access control (RBAC) 。
重要事項
從 2025 年 2 月 16 日開始,新適用於端點的 Microsoft Defender客戶將只能使用統一 Role-Based 存取控制 (URBAC) 。 現有客戶會保留其目前的角色和權限。 如需詳細資訊,請參閱 URBAC Unified Role-Based 存取控制 (URBAC) for 適用於端點的 Microsoft Defender
使用角色型存取控制 (RBAC) ,您可以在安全性作業小組內建立角色和群組,以授與入口網站的適當存取權。 根據您建立的角色和群組,您可以精細控制有權存取入口網站的使用者可以查看和執行的動作。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
大型異地分散式安全性作業小組通常會採用層型模型來指派和授權安全性入口網站的存取權。 一般層級包括下列三個層級:
| 層級 | 描述 |
|---|---|
| 第 1 級 |
本機安全性作業小組 / IT 小組 此小組通常會對其地理位置中包含的警示進行分類和調查,並在需要主動補救的情況下升級至第 2 層。 |
| 第 2 層 |
區域安全性作業小組 此小組可以查看其區域的所有裝置,並執行補救動作。 |
| 第 3 層 |
全域安全性作業小組 該團隊由安全專家組成,並有權查看和執行門戶中的所有操作。 |
注意事項
如需第 0 層資產,請參閱安全性系統管理員的 Privileged Identity Management,以提供適用於端點的 Microsoft Defender 和 Microsoft Defender 全面偵測回應的更細微控制。
適用於端點的 Defender RBAC 旨在支援您選擇的層型或角色型模型,並可讓您細微控制哪些角色可以看到、可以存取的裝置,以及可以採取的動作。 RBAC 架構以下列控制項為中心:
-
控制誰可以採取特定動作
- 建立自訂角色,並控制他們可以細微地存取哪些適用於端點的 Defender 功能。
-
控制誰可以查看特定裝置群組或群組的資訊
依特定準則 (例如名稱、標籤、網域等) 建立裝置群組,然後使用特定的 Microsoft Entra 使用者群組授與角色存取權。
注意事項
適用於端點的 Defender 方案 1 和方案 2 支援裝置群組建立。
若要實作角色型存取,您必須定義系統管理員角色、指派對應的權限,以及指派指派給角色的 Microsoft Entra 使用者群組。
開始之前
在使用 RBAC 之前,請務必瞭解可授與許可權的角色,以及開啟 RBAC 的後果。
警告
在啟用此功能之前,請務必擁有適當的角色,例如 Microsoft Entra ID 中指派的安全性系統管理員,而且您已準備好 Microsoft Entra 群組,以降低被鎖定在入口網站之外的風險。
當您第一次登入 Microsoft Defender 入口網站時,系統會授與您完整存取權或唯讀存取權。 完整存取權限會授與 Microsoft Entra ID 中具有安全性系統管理員角色的使用者。 唯讀存取權會授與 Microsoft Entra ID 中具有安全性讀取者角色的使用者。
具有適用於端點的 Defender 全域系統管理員角色的人員可以不受限制地存取所有裝置,不論其裝置群組關聯和 Microsoft Entra 使用者群組指派為何。
警告
一開始,只有具有 Microsoft Entra 全域管理員或安全性系統管理員許可權的人員才能在 Microsoft Defender 入口網站中建立和指派角色;因此,在 Microsoft Entra ID 中準備好正確的群組很重要。
開啟角色型存取控制會導致具有唯讀權限的使用者 (例如,指派給安全性讀取者角色) Microsoft Entra使用者失去存取權,直到他們被指派給角色為止。
具有系統管理員許可權的使用者會自動指派具有完整許可權的預設內建適用於端點的 Defender 全域系統管理員角色。 選擇加入使用 RBAC 之後,您可以將更多不是 Microsoft Entra 全域系統管理員或安全性系統管理員的使用者指派給適用於端點的 Defender 全域系統管理員角色。
選擇使用 RBAC 之後,您無法還原為第一次登入入口網站時的初始角色。
相關文章
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。