通过

使用 Microsoft Defender XDR 统一 RBAC 创建自定义角色

  • 适用于: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Identity, Microsoft Defender for Office 365 P2, Microsoft Defender Vulnerability Management, Microsoft Defender for Cloud, Microsoft Security Exposure Management, Microsoft Defender for Cloud Apps, Microsoft Sentinel data lake

本文介绍如何Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 创建自定义角色。 Microsoft Defender XDR统一 RBAC 允许创建具有特定权限的自定义角色并将其分配给用户或组,从而可以精细控制对Microsoft Defender门户体验的访问。

预览版支持为Microsoft Sentinel数据湖创建自定义角色。

先决条件

若要在统一 RBAC Microsoft Defender XDR创建自定义角色,必须分配以下角色或权限之一:

  • Microsoft Entra ID 中的全局管理员或安全管理员。
  • Microsoft Defender XDR Unified RBAC 中分配的所有授权权限。

有关权限的详细信息,请参阅 权限先决条件

提示

Microsoft 建议使用权限最少的角色。 这种做法有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

若要使用“安全作”或“数据作”权限组为Microsoft Sentinel数据湖创建自定义角色,必须启用 Log Analytics 工作区以Microsoft Sentinel并载入到 Defender 门户。

创建自定义角色

以下步骤介绍如何在 Microsoft Defender 门户中创建自定义角色。

  1. 登录到Microsoft Defender门户。 在一侧的导航窗格中,向下滚动并选择“ 权限”。

  2. “权限”页上的“Microsoft Defender XDR”下,选择“角色>”“创建自定义角色”。

  3. 在打开的向导的“ 基本信息 ”选项卡上,输入角色名称和可选说明,然后选择“ 下一步”。

  4. “选择权限 ”页上,根据需要选择以下各项来配置该区域的权限:

    • 安全操作
    • 安全态势
    • 授权和设置
    • 数据作 (预览版) 。 支持Microsoft Sentinel data Lake 数据收集。

    将鼠标悬停在每个权限组的说明列上,可详细了解该组中可用的权限。

    为所选的每个权限组打开额外的 “授权和设置” 侧窗格,可在其中选择要分配给角色的特定权限。

    如果选择“ 所有只读权限”或“ 所有读取和管理权限”,则以后添加到这些类别的任何新权限也会在此角色下自动分配。

    有关详细信息,请参阅 Microsoft Defender XDR统一基于角色的访问控制中的权限 (RBAC)

  5. 为每个权限组分配完权限后,选择“ 应用 ”,然后选择“ 下一步 ”以继续下一个权限组。

    注意

    如果分配了所有只读权限或所有读取和管理权限,则将来添加到此类别的任何新权限都会在此角色下自动分配。

    如果分配了自定义权限,并且新权限已添加到此类别,则需要根据需要使用新权限重新分配角色。

  6. 为任何相关权限组选择权限后,选择“ 应用 ”,然后选择 “下一步 ”以分配用户和数据源。

  7. “分配用户和数据源 ”页上,选择“ 添加分配”。

    1. “添加分配” 侧窗格上,输入以下详细信息:

      • 作业名称:输入工作分配的描述性名称。
      • 员工:选择Microsoft Entra安全组或单个用户以将用户分配到角色。
      • 数据源:选择“ 数据源 ”下拉列表,然后选择分配的用户将拥有所选权限的服务。 如果为单个数据源(例如Microsoft Defender for Endpoint)分配了只读权限,则分配的用户将无法读取其他服务(例如Microsoft Defender for Office 365或Microsoft Defender for Identity。

    2. 选择“自动包括将来的数据源”,以包括Microsoft Defender统一 RBAC 支持的所有其他数据源。 如果选择此选项,则为统一 RBAC 支持添加的任何未来数据源也会自动添加到分配中。

    3. “添加分配”侧窗格的“数据收集”区域中,默认列出了默认数据湖Microsoft Sentinel。 选择 “编辑” 可删除对数据湖的访问权限,或定义自定义数据湖选择。

    注意

    在 Microsoft Defender XDR统一 RBAC 中,可以在具有相同权限的同一角色下根据需要创建任意数量的分配。 例如,可以在有权访问所有数据源的角色中进行分配,然后为只需要从 Defender for Endpoint 数据源访问终结点警报的团队单独分配。 这样就可以维护最小数量的角色。

  8. 返回“ 分配用户和数据源 ”页,选择“ 下一步 ”以查看角色和分配详细信息。 选择“ 提交 ”以创建角色。

创建角色以访问和管理角色和权限

若要访问和管理角色和权限(无需成为 Microsoft Entra ID 中的全局管理员或安全管理员),请创建具有授权权限的角色。 若要创建此角色,请执行以下作:

  1. 以全局管理员或安全管理员身份登录到 Microsoft Defender 门户

  2. 在导航窗格中,选择“权限>Microsoft Defender XDR>角色>创建自定义角色”。

  3. 输入角色名称和说明,然后选择“ 下一步”。

  4. 选择“ 授权和设置”,然后在“ 授权和设置” 侧窗格上,选择“ 选择自定义权限”。

  5. “授权”下,选择以下选项之一:

    • 选择所有权限。 用户能够创建和管理角色和权限。
    • 只读。 用户可以在只读模式下访问和查看角色和权限。

    例如:

    “权限和角色”页的屏幕截图

  6. 选择 “应用 ”,然后选择 “下一步” 以分配用户和数据源。

  7. 选择“ 添加作业 ”,然后输入 “分配名称”。

  8. 若要选择分配有 授权 权限的用户有权访问的数据源,请选择以下选项之一:

    • 选择所有数据源:这将授予用户创建新角色和管理所有数据源的角色的权限。
    • 选择特定数据源:这将授予用户创建新角色和管理特定数据源的角色的权限。 例如,从下拉列表中选择“Microsoft Defender for Endpoint”,仅向用户授予对Microsoft Defender for Endpoint数据源的授权权限。
    • Microsoft Sentinel data Lake 集合:选择此选项可向用户授予Microsoft Sentinel数据湖的授权权限。

  9. “分配的用户和组”中,选择要向其分配角色Microsoft Entra安全组或单个用户,然后选择“添加”。

  10. 选择“ 下一步 ”查看并完成角色创建,然后选择“ 提交”。

注意

若要使Microsoft Defender XDR安全门户开始强制实施新角色或导入角色中配置的权限和分配,需要激活新的统一 RBAC 模型Microsoft Defender XDR。 有关详细信息,请参阅激活Microsoft Defender XDR统一 RBAC

为Microsoft Defender for Identity配置作用域内的角色

Microsoft Defender for Identity (MDI) 的范围访问权限目前为公共预览版。 可以使用 Microsoft Defender XDR 的统一 RBAC (URBAC) 模型配置作用域访问。 这样,就可以将访问和可见性限制为特定的 Active Directory 域,从而帮助与团队职责保持一致,并减少不必要的数据泄露。

有关详细信息,请参阅:为Microsoft Defender for Identity配置作用域访问

后续步骤

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区