使用 Microsoft Defender XDR 统一 RBAC 创建自定义角色

  • 项目

适用于:

创建自定义角色

以下步骤指导如何在统一 RBAC Microsoft Defender XDR 创建自定义角色。

重要

你必须是 Microsoft Entra ID 中的全局管理员或安全管理员,或者具有 Microsoft Defender XDR Unified RBAC 中分配的所有授权权限才能执行此任务。 有关权限的详细信息,请参阅 权限先决条件。 Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  1. 登录到Microsoft Defender门户

  2. 在导航窗格中,选择“ 权限”。

  3. 选择“Microsoft Defender XDR”下的“角色”,以访问“权限和角色”页。

  4. 选择“ 创建自定义角色”。

  5. 输入角色名称和说明。

  6. 选择“ 下一步 ”以选择要分配的权限。 权限按三个不同的类别进行组织:

    权限屏幕的屏幕截图

  7. 选择权限类别 (例如安全操作) ,然后查看可用权限。 可以选择分配以下不同级别的权限:

    • 选择所有只读权限 - 向用户分配有此类别中的所有只读权限。
    • 选择所有读取和管理权限 - 向用户分配此类别中的所有权限 (读取和管理权限) 。
    • 选择自定义权限 - 将向用户分配所选的自定义权限。

    权限浮出控件屏幕的屏幕截图

    有关 RBAC 自定义权限的详细信息,请参阅 关于 RBAC 自定义权限

    注意

    如果分配了所有只读权限或所有读取和管理权限,则将来添加到此类别的任何新权限都会在此角色下自动分配。

    如果已分配自定义权限,并且新权限已添加到此类别,则需要根据需要使用新权限重新分配角色。

  8. 选择权限后,选择“ 应用 ”,然后选择“ 下一步 ”以分配用户和数据源。

  9. 选择“ 添加分配 ”,然后输入“分配名称”。

  10. “数据源”下,选择分配的用户是对所有可用产品拥有所选权限,还是仅针对特定数据源拥有权限:

    分配屏幕的屏幕截图

    如果用户选择单个数据源的所有只读权限(例如,Microsoft Defender for Endpoint),则他们将无法读取Microsoft Defender for Office 365或Microsoft Defender for Identity的警报。

    注意

    通过选择“选择所有数据源”,Microsoft Defender XDR统一 RBAC 中支持的所有数据源,并且所有将来添加的数据源都会自动分配给此分配。

  11. “分配的用户和组”中,选择要向其分配角色Microsoft Entra安全组或单个用户,然后选择“添加”。

    注意

    在 Microsoft Defender XDR统一 RBAC 中,可以在具有相同权限的同一角色下根据需要创建任意数量的分配。 例如,可以在有权访问所有数据源的角色中进行分配,然后为只需要从 Defender for Endpoint 数据源访问终结点警报的团队单独分配。 这样就可以维护最小数量的角色。

  12. 选择“ 下一步 ”查看并完成角色创建,然后选择“ 提交”。

创建角色以访问和管理角色和权限

若要访问和管理角色和权限(无需成为 Microsoft Entra ID 中的全局管理员或安全管理员),需要创建具有授权权限的角色。 若要创建此角色,请执行以下操作:

  1. 以全局管理员或安全管理员身份登录到 Microsoft Defender 门户

  2. 在导航窗格中,选择“ 权限”。

  3. 在“Microsoft Defender XDR”下选择“角色”。

  4. 选择“ 创建自定义角色”。

  5. 输入角色名称和说明。

  6. 选择“ 下一步 ”,然后选择 “授权和设置” 选项。

  7. 在“授权和设置”类别浮出控件上,选择 “选择自定义权限” ,然后在 “授权 ”下选择以下任一项:

    • 选择所有权限 - 用户能够创建和管理角色和权限。
    • 只读 - 使用 可以在只读模式下访问和查看角色和权限。

    “权限和角色”页的屏幕截图

  8. 选择 “应用 ”,然后选择 “下一步” 以分配用户和数据源。

  9. 选择“ 添加作业 ”,然后输入“分配名称”。

  10. 若要选择数据源 用户分配的授权权限将有权访问:

    • 选择“ 选择所有数据源 ”,授予用户创建新角色和管理所有数据源角色的权限。
    • 选择“ 选择特定数据源 ”,授予用户创建新角色和管理特定数据源角色的权限。 例如,从下拉列表中选择“Microsoft Defender for Endpoint”,仅向用户授予对Microsoft Defender for Endpoint数据源的授权权限。

  11. “分配的用户和组”中,选择要向其分配角色Microsoft Entra安全组或单个用户,然后选择“添加”。

  12. 选择“ 下一步 ”查看并完成角色创建,然后选择“ 提交”。

注意

若要使Microsoft Defender XDR安全门户开始强制实施新角色或导入角色中配置的权限和分配,需要激活新的 Microsoft Defender XDR 统一 RBAC 模型。 有关详细信息,请参阅激活Microsoft Defender XDR统一 RBAC

后续步骤

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区