本文說明如何在 Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (RBAC) 中建立自訂角色。 Microsoft Defender 全面偵測回應統一 RBAC 允許您建立具有特定權限的自訂角色,並將其指派給使用者或群組,讓您能細緻掌控 Microsoft Defender 入口網站體驗的存取權限。
預覽版支援為 Microsoft Sentinel 資料湖建立自訂角色。
必要條件
若要在 Microsoft Defender 全面偵測回應 Unified RBAC 中建立自訂角色,您必須被指派以下其中一個角色或權限:
- Microsoft Entra ID 中的全域管理員或安全管理員。
- 所有授權權限均由 Microsoft Defender 全面偵測回應統一 RBAC。
欲了解更多權限資訊,請參閱 權限前提條件。
提示
Microsoft 建議您使用權限最少的角色。 這種做法有助於提升組織的安全。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
若要使用 Security Operations 或 Data Operations 權限群組為 Microsoft Sentinel 資料湖建立自訂角色,您必須啟用 Microsoft Sentinel 的 Log Analytics 工作空間,並已接入 Defender 入口網站。
建立自訂角色
以下步驟說明如何在 Microsoft Defender 入口網站建立自訂角色。
登入 Microsoft Defender 入口網站。 在側邊的導覽窗格中,往下滑並選擇 權限。
在權限頁面,在 Microsoft Defender 全面偵測回應下,選擇角色,>建立自訂角色。
在開啟的精靈中,在 「基礎 」標籤中輸入角色名稱和可選的描述,然後選擇 「下一步」。
在 「選擇權限 」頁面,請依需求選擇以下一項以設定該區域的權限:
- 安全性作業
- 安全態勢
- 授權與設定
- 資料操作 (預覽) 。 支援 Microsoft Sentinel 資料湖資料收集。
將滑鼠移到每個權限群組的描述欄上,可以詳細說明該群組可用的權限。
每個選擇權限群組都會開啟一個額外的 授權與設定 側邊窗格,你可以選擇要指派給該角色的特定權限。
如果您選擇 「所有唯讀權限」或 「所有閱讀與管理權限」,之後新增到這些類別的權限也會自動歸屬於此角色。
欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (RBAC) 中的權限。
當你為每個權限群組分配好權限後,選擇 「套用 」,然後「 下一 組」繼續前往下一個權限群組。
注意事項
若所有唯讀或全部讀取與管理權限皆被指派,未來新增至此類別的權限將自動以此角色指派。
如果你設定了自訂權限,且新增權限到此類別,你需要重新指派角色並使用新權限。
當你為任何相關權限群組選擇權限後,選擇 「套用 」,然後「 下一 頁」來指派使用者和資料來源。
在 「指派使用者與資料來源 」頁面,選擇 「新增指派」。
在 「新增分配 」面板中,輸入以下細節:
- 作業名稱:輸入作業的描述性名稱。
- 員工:選擇 Microsoft Entra 安全群組或個別使用者,將使用者指派至該角色。
- 資料來源:選擇「 資料來源 」下拉選單,然後選擇分配給使用者的服務,該服務將擁有所選權限。 如果你對單一資料來源(例如 適用於端點的 Microsoft Defender)設定了唯讀權限,該使用者就無法讀取其他服務中的警示,例如 Microsoft Defender for Office 365 或 適用於身分識別的 Microsoft Defender。
選擇「自動納入未來資料來源」以包含所有 Microsoft Defender 統一 RBAC 支援的其他資料來源。 若選擇此選項,未來新增的統一 RBAC 支援資料來源也會自動加入分配。
在「新增指派」側窗格的資料收藏區,預設列出了 Microsoft Sentinel 的預設資料湖。 選擇 編輯 以移除資料湖的存取權,或定義自訂的資料湖選擇。
注意事項
在 Microsoft Defender 全面偵測回應統一 RBAC 中,你可以在同一角色下建立任意數量的指派,並擁有相同權限。 例如,你可以在角色內分配一個能存取所有資料來源的任務,然後為只需存取 Defender for Endpoint 資料來源的 Endpoint 警示的團隊設置一個獨立任務。 這使得角色數量維持最低。
回到 「指派使用者與資料來源 」頁面,選擇 「下一步 」以檢視角色與分配細節。 選擇 提交 以建立該角色。
建立一個角色來存取和管理角色及權限
若要存取和管理角色與權限,無需在 Microsoft Entra ID 中成為全域管理員或安全管理員,請建立一個擁有授權權限的角色。 要創建此職缺:
請以全域管理員或安全管理員身份登入 Microsoft Defender 入口網站。
在導覽窗格中,選擇權限 > Microsoft Defender 全面偵測回應 > 角色 > 建立自訂角色。
輸入你的職務名稱和描述,然後選擇 「下一步」。
選擇 授權與設定,然後在 授權與設定 側窗格中選擇 選擇自訂權限。
在 授權中,請選擇以下選項之一:
- 選擇所有權限。 使用者能夠建立並管理角色與權限。
- 唯讀。 使用者可在唯讀模式下存取及查看角色與權限。
例如:
選擇 「套用」 ,然後「 下一步 」來指派使用者和資料來源。
選擇 新增分配 並輸入 分配名稱。
要選擇被授權權限使用者可存取的資料來源,請選擇以下選項之一:
- 選擇所有資料來源:此功能賦予使用者建立新角色及管理所有資料來源角色的權限。
- 選擇特定資料來源:此功能賦予使用者建立新角色及管理特定資料來源角色的權限。 例如,從下拉選單選擇 適用於端點的 Microsoft Defender,授權使用者僅適用於端點的 Microsoft Defender 資料來源。
- Microsoft Sentinel 資料湖集合:選擇此選項可授予使用者 Microsoft Sentinel 資料湖的授權權限。
在「指派使用者與群組」中,選擇 Microsoft Entra 安全群組或個別使用者來指派角色,並選擇新增。
選擇 「下一步 」以檢視並完成職缺建立,然後選擇 提交。
注意事項
為了讓 Microsoft Defender 全面偵測回應安全入口網站開始強制執行你新角色或匯入角色中已設定的權限與指派,你需要啟用新的 Microsoft Defender 全面偵測回應統一 RBAC 模型。 欲了解更多資訊,請參閱啟用 Microsoft Defender 全面偵測回應統一 RBAC。
Configure scoped roles for 適用於身分識別的 Microsoft Defender
你可以使用 Microsoft Defender 全面偵測回應 的統一 RBAC (URBAC) 模型,為由 MDI) 管理的身份設定範圍適用於身分識別的 Microsoft Defender (存取。 這讓您能限制對特定 Active Directory 網域或組織單位的存取與可見性,有助於與團隊職責對齊,減少不必要的資料暴露。
更多資訊請參閱:設定 適用於身分識別的 Microsoft Defender 的範圍存取權限。
Configure scoped roles for Microsoft Defender for Cloud
你可以使用 Microsoft Defender 全面偵測回應的統一 RBAC 模型,為由 Microsoft Defender for Cloud 管理的資源配置有範圍的存取權限。 這讓你能限制存取與看見權限,僅限於特定的 訂閱、 資源群組或 個別資源。 透過套用有範圍的角色,你幫助確保團隊成員只看到並管理與其職責相關的資產,減少不必要的暴露並提升營運安全。
欲了解更多資訊,請參閱: 管理雲端範圍與統一角色基礎存取控制。
後續步驟
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。