提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Entra ID 中的全局角色允许你管理所有 Microsoft 365 中的权限和对功能的访问权限,其中还包括Microsoft Defender for Office 365。 但是,如果需要将权限和功能限制为仅Defender for Office 365中的安全功能,则可以在Microsoft Defender门户中分配Email &协作权限。
若要在Microsoft Defender门户中管理Defender for Office 365权限,请转到“权限Email &>协作角色>”“角色”或直接转到 https://security.microsoft.com/emailandcollabpermissions。
你需要是Microsoft Entra ID 中的全局管理员*角色的成员,或者Defender for Office 365权限中的组织管理角色组的成员。 具体而言,Defender for Office 365 中的角色管理角色允许用户查看、创建和修改Defender for Office 365角色组。 默认情况下,该角色仅分配给 组织管理 角色组 (,按扩展,全局管理员) 。
某些Defender for Office 365功能需要 Exchange Online 中的其他权限。 有关详细信息,请参阅 Exchange Online 中权限。
Microsoft Defender XDR具有自己的统一基于角色的访问控制 (RBAC) 。 此模型在一个中心位置提供单一权限管理体验,管理员可以跨不同的安全解决方案控制权限。 这些权限不同于本文中所述的权限。 有关详细信息,请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC)。
重要
如果激活 Defender XDR RBAC 进行Email &协作,则 Defender 门户中的权限页https://security.microsoft.com/emailandcollabpermissions不再可用,因此,你需要确保在激活统一 RBAC Defender XDR之前配置或导入角色。
有关 Microsoft Purview 门户中的权限的信息,请参阅 Microsoft Purview 门户中的权限。
重要
* Microsoft强烈主张最低特权原则。 仅向帐户分配执行其任务所需的最低权限有助于降低安全风险,并增强组织的整体保护。 全局管理员是一种高特权角色,应限制在紧急情况下或无法使用其他角色时使用。
成员、角色和角色组之间的关系
Microsoft Defender门户中Defender for Office 365权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 与大多数 Microsoft 365 服务使用的权限模型相同,因此,如果你熟悉这些服务中的权限结构,则应熟悉在 Microsoft Defender 门户中授予权限。
角色授予执行一组任务的权限。
角色组是一组角色,允许用户在Microsoft Defender门户中完成其工作。
Microsoft Defender门户中Defender for Office 365权限包括需要分配的最常见任务和函数的默认角色组。 通常,我们建议你只需将单个用户作为 成员 添加到默认角色组。
Microsoft Defender门户中的角色和角色组
在 Defender 门户中https://security.microsoft.com/securitypermissions的“权限”页上,可以使用以下类型的角色和角色组:
Microsoft Entra角色:可以查看角色和分配的用户,但不能直接在Microsoft Defender门户中对其进行管理。 Microsoft Entra角色是为所有Microsoft 365 服务分配权限的中心角色。
Email &协作角色:可以直接在Microsoft Defender门户中查看和管理这些角色组。 这些权限特定于 Microsoft Defender 门户和 Microsoft Purview 门户。 这些权限并不涵盖其他 Microsoft 365 工作负载所需的所有权限。
Microsoft Defender门户中Microsoft Entra角色
Microsoft Entra本部分中介绍的角色可在 Defender 门户>权限>Microsoft Entra ID>角色或直接在 https://security.microsoft.com/aadpermissions中获取。
选择角色时,将打开一个详细信息浮出控件,其中包含角色和用户分配的说明。 但若要管理这些分配,需要选择浮出控件底部Microsoft Entra ID 中的“管理成员”。
有关详细信息,请参阅向用户分配Microsoft Entra角色和使用Microsoft Entra全局角色管理对Microsoft Defender XDR的访问权限。
| Role | 说明 |
|---|---|
| 全局管理员 | 访问所有 Microsoft 365 服务中的所有管理功能的权限。 只有全局管理员才能分配其他管理员角色。 更多信息,请参阅全局管理员/公司管理员。 |
| 合规性数据管理员 | 在 Microsoft 365 中跟踪组织的数据,确保数据受到保护,并深入了解任何问题以帮助缓解风险。 有关详细信息,请参阅合规性数据管理员。 |
| 合规性管理员 | 帮助组织遵守任何法规要求,管理电子数据展示案例,并维护 Microsoft 365 位置、标识和应用中的数据治理策略。 有关详细信息,请参阅合规性管理员。 |
| 安全操作员 | 查看、调查和响应对 Microsoft 365 用户、设备和内容的活动威胁。 有关详细信息,请参阅安全操作员。 |
| 安全读取器 | 查看和调查对 Microsoft 365 用户、设备和内容的活动威胁,但 (与安全操作员不同,) 他们无权通过采取行动做出响应。 有关详细信息,请参阅安全信息读取者。 |
| 安全管理员 | 通过管理威胁策略、查看跨 Microsoft 365 个产品的安全分析和报告以及随时了解威胁环境,来控制组织的整体安全性。 有关详细信息,请参阅安全管理员。 |
| 全局读取器 | 只读版本的全局管理员角色。 查看 Microsoft 365 中所有设置和管理信息。 有关详细信息,请参阅 全局信息读取者。 |
| 攻击模拟管理员 | 创建和管理 攻击模拟 创建、启动/安排模拟以及审查模拟结果的各个方面。 有关详细信息,请参阅 攻击模拟管理员。 |
| 攻击有效负载作者 | 创建攻击负载,但不真正开始或计划其目标。 有关详细信息,请参阅攻击有效负载作者。 |
Email & Microsoft Defender门户中的协作角色
Defender 门户和 Purview 合规性门户中提供了相同的角色组和角色:
- Defender 门户:权限>Email &协作角色>角色或直接访问https://security.microsoft.com/emailandcollabpermissions
- Purview 合规性门户: 角色 & 范围>权限>Microsoft Purview 解决方案>角色 或直接位于 https://purview.microsoft.com/compliancecenterpermissions
有关这些角色组的完整信息,请参阅 Microsoft Defender XDR 和 Microsoft Purview 合规性门户中的角色和角色组
注意
Defender for Office 365 Microsoft Defender 门户中可用的数据不受 Microsoft Purview 门户中配置的自适应范围的影响。 有关自适应范围的详细信息,请参阅 自适应范围。
以下作适用于 Defender 门户中Email &协作角色组:
在Microsoft Defender门户中创建Email &协作角色组
在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。
在“权限”页上,选择“创建”
以启动新角色组向导。在 “命名角色组 ”页上,输入以下信息:
- 名称:输入角色组的唯一名称。
- 说明:输入角色组的可选说明。
在“ 为角色组命名 ”页上完成后,选择“ 下一步”。
在 “选择角色 ”页上,选择“ 选择角色”。
在打开 的“选择角色” 浮出控件中,选择浮出控件顶部的“ 添加 ”。
在打开的新 “选择角色” 浮出控件中,选择一个或多个角色。 选择“名称”列标题以按名称对列表进行排序,或使用
“搜索”框查找角色。选择要添加的一个或多个角色后,选择浮出控件底部的“ 添加 ”。
回到原始的 “选择角色” 浮出控件中,你添加的角色将列在页面上。 若要添加更多角色,请重复上一步。 已选择的角色灰显。
若要删除角色,请选择“ 删除”。 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色,然后选择“ 删除”。
完成原始“ 选择角色” 浮出控件后,选择“ 完成”。
返回“ 选择角色 ”页,角色显示在 “所选角色 ”部分中。
完成“ 选择角色 ”页后,选择“ 下一步”。
在 “选择成员 ”页上,选择“ 选择成员”。
在打开 的“选择成员 ”浮出控件中,选择浮出控件顶部的“ 添加 ”。
在打开的新 “选择成员” 浮出控件中,选择一个或多个用户。 选择列标题以按名称或Email地址对列表进行排序,或使用
“搜索”框查找用户。选择要添加的一个或多个用户后,选择浮出控件底部的“ 添加 ”。
回到原始的 “选择成员” 浮出控件上,你添加的成员将列在页面上。 若要添加更多成员,请重复上一步。 已选择的成员灰显。
若要删除成员,请选择“ 删除”。 在打开的新 “选择成员” 浮出控件中,选择一个或多个成员,然后选择“ 删除”。
完成原始“ 选择角色” 浮出控件后,选择“ 完成”。
返回“ 选择成员 ”页,成员显示在 “所选成员 ”部分中。
完成“ 选择成员 ”页后,选择“ 下一步”。
在 “查看设置” 页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 查看设置 ”页后,选择“ 创建角色组”。
返回“ 权限” 页,将列出新角色组。
在Microsoft Defender门户中复制Email &协作角色组
在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。
在 “权限” 页上,从列表中选择角色组。 使用 “名称” 列标题按名称对列表进行排序,或使用
“搜索 ”框查找角色组。在打开的角色组详细信息浮出控件中,选择浮出控件顶部的“ 复制角色组 ”。
此时会打开“新建角色组”向导,如前面所述,用于 创建新角色组。
新角色组的默认名称是原始角色组名称>的副本<,但你可以更改它。
角色和成员使用要复制的角色中的值填充,但你可以更改它们。
在Microsoft Defender门户中修改Email &协作角色组成员身份
在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。
在 “权限” 页上,从列表中选择角色组。 使用 “名称” 列标题按名称对列表进行排序,或使用
“搜索 ”框查找角色组。在打开的角色组详细信息浮出控件中,执行以下步骤之一:
- 选择浮出控件顶部的“
编辑角色组 ”。 在打开的编辑角色组向导中,选择“ 选择成员 ”选项卡。 - 在浮出控件的“ 成员 ”部分中,选择“ 编辑”。
- 选择浮出控件顶部的“
在打开的编辑角色组向导的“ 选择成员 ”选项卡上,执行以下步骤之一:
- 如果没有角色组成员,请选择“ 选择成员”。
- 如果存在现有角色组成员,请选择 “编辑”
在打开 的“选择成员” 浮出控件中,执行以下步骤之一:
添加成员:选择浮出控件顶部的“ 添加 ”。 在打开的新 “选择成员” 浮出控件中,选择一个或多个用户。 选择列标题以按名称或Email地址对列表进行排序,或使用
“搜索”框查找用户。选择要添加的一个或多个用户后,选择浮出控件底部的“ 添加 ”。
回到原始的 “选择成员” 浮出控件中,添加的用户将显示在“ 成员 ”部分中。
删除成员:选择浮出控件顶部的 “删除 ”。 在打开的新 “选择成员” 浮出控件中,选择一个或多个用户。 选择列标题以按名称或Email地址对列表进行排序,或使用
“搜索”框查找用户。选择要删除的一个或多个用户后,选择“ 删除”。
回到原始的 “选择成员” 浮出控件,已删除的用户不再显示在“ 成员 ”部分中。
完成原始“ 选择成员” 浮出控件后,选择“ 完成”。
返回向导的“ 选择成员 ”选项卡,选择“ 保存”。
返回角色组详细信息浮出控件,选择“ 完成”。
在Microsoft Defender门户中修改Email &协作角色组角色分配
注意
只能修改自定义角色组的角色分配。 无法修改内置角色组的角色分配。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。
在 “权限” 页上,从列表中选择角色组。 选择“名称”列标题以按名称对列表进行排序,或使用
“搜索”框查找角色组。在打开的角色组详细信息浮出控件中,执行以下步骤之一:
- 选择浮出控件顶部的“ 编辑角色组 ”。 在打开的编辑角色组向导中,选择“ 选择角色 ”选项卡。
- 在浮出控件的“ 分配的角色 ”部分中,选择 “编辑”。
- 选择浮出控件顶部的“
在打开的编辑角色组向导的“ 选择 角色”选项卡上,执行以下步骤之一:
- 如果没有分配的角色,请选择“ 选择角色”。
- 如果分配了现有角色,请选择“编辑”
在打开 的“选择角色” 浮出控件中,执行以下步骤之一:
添加角色:选择浮出控件顶部的“ 添加 ”。 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色。 已分配的角色灰显。选择“名称”列标题以按名称对列表进行排序,或使用
“搜索”框查找角色。选择要添加的一个或多个角色后,选择浮出控件底部的“ 添加 ”。
回到原始的 “选择角色” 浮出控件中,添加的角色显示在 “角色” 部分中。
删除角色:选择浮出控件顶部的“ 删除 ”。 在打开的新 “选择角色” 浮出控件中,选择一个或多个角色。 选择列标题以按 名称对列表进行排序,或使用
“搜索 ”框查找角色。选择要删除的一个或多个角色后,选择“ 删除”。
回到原始的 “选择角色” 浮出控件,已删除的角色不再显示在 “角色” 部分中。
完成原始“ 选择角色” 浮出控件后,选择“ 完成”。
返回向导的“ 选择角色 ”选项卡,选择“ 保存”。
返回角色组详细信息浮出控件,选择“ 完成”。
在Microsoft Defender门户中删除Email &协作角色组
注意
只能删除自定义角色组。 无法删除内置角色组。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“权限>Email &协作角色>角色”。 或使用 https://security.microsoft.com/emailandcollabpermissions 直接转到“权限”页面。
在 “权限” 页上,从列表中选择角色组。 选择“名称”列标题以按名称对列表进行排序,或使用
“搜索”框查找角色组。在打开的角色组详细信息浮出控件中,选择浮出控件顶部的“ 删除角色组 ”。
在打开的警告对话框中选择 “是 ”。
返回到 “权限” 页,角色组不再列出。