Microsoft Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender許可權
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
Microsoft Entra ID 中的全域角色可讓您管理所有 Microsoft 365 中功能的許可權和存取權,其中也包含 適用於 Office 365 的 Microsoft Defender。 但是,如果您只需要在 適用於 Office 365 的 Defender 中將許可權和功能限製為安全性功能,您可以在 Microsoft Defender入口網站中指派 Email & 共同作業許可權。
若要在 Microsoft Defender 入口網站中管理 適用於 Office 365 的 Defender 許可權,請移至> [許可權 Email & 共同作業角色角色>],或直接移至 。https://security.microsoft.com/emailandcollabpermissions
您必須是 Microsoft Entra ID 中的全域管理員*角色成員,或 適用於 Office 365 的 Defender 許可權的組織管理角色群組成員。 具體而言,適用於 Office 365 的 Defender 中的角色管理角色可讓用戶檢視、建立和修改 適用於 Office 365 的 Defender 角色群組。 根據預設,該角色只會指派給 組織管理 角色群組 (而全域系統管理員) 。
- 某些 適用於 Office 365 的 Defender 功能需要 Exchange Online 的其他許可權。 如需詳細資訊,請參閱 Exchange Online 中的權限。
- Microsoft Defender 全面偵測回應 具有自己的整合角色型訪問控制 (RBAC) 。 此模型在一個中央位置提供單一許可權管理體驗,系統管理員可以在其中控制不同安全性解決方案的許可權。 這些許可權與本文所述的許可權不同。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應角色型存取控制 (RBAC)。
- 如果您啟用 Defender 全面偵測回應 RBAC 以進行 Email & 共同作業,則 Defender 入口網站中不再提供 的許可權頁面https://security.microsoft.com/emailandcollabpermissions。
- 有關 Microsoft Purview 合規性入口網站中權限的詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
成員、角色和角色群組的關係
Microsoft Defender 入口網站中的 適用於 Office 365 的 Defender 許可權是以角色型訪問控制 (RBAC) 許可權模型為基礎。 RBAC 是大部分Microsoft 365 服務所使用的相同許可權模型,因此如果您熟悉這些服務中的許可權結構,則應該熟悉在 Microsoft Defender 入口網站中授與許可權。
角色 會授予執行工作集的權限。
角色群組是一組角色,可讓使用者在 Microsoft Defender 入口網站中執行其工作。
Microsoft Defender 入口網站中的 適用於 Office 365 的 Defender 許可權包含您需要指派之最常見工作和函式的預設角色群組。 通常,我們建議您只要將個別使用者新增為預設角色群組的 成員。
Microsoft Defender 入口網站中的角色和角色群組
在 Defenderhttps://security.microsoft.com/securitypermissions入口網站的 [許可權] 頁面上,可以使用下列類型的角色和角色群組:
Microsoft Entra 角色:您可以檢視角色和指派的使用者,但無法直接在 Microsoft Defender 入口網站中管理這些角色。 Microsoft Entra 角色是為所有Microsoft 365 服務指派許可權的中央角色。
Email & 共同作業角色:您可以直接在 Microsoft Defender 入口網站中檢視和管理這些角色群組。 這些許可權專屬於 Microsoft Defender 入口網站和 Microsoft Purview 合規性入口網站。 這些許可權並未涵蓋您在其他Microsoft 365 工作負載中所需的所有許可權。
在 Microsoft Defender 入口網站中 Microsoft Entra 角色
本節所述 Microsoft Entra 角色可在 Defender> 入口網站權限>中取得 Microsoft Entra ID>Roles 或直接在 https://security.microsoft.com/aadpermissions。
當您選取角色時,會開啟詳細數據飛出視窗,其中包含角色和使用者指派的描述。 但若要管理這些指派,您必須選取飛出視窗底部的 [管理 Microsoft Entra ID 中的成員]。
如需詳細資訊,請參閱將 Microsoft Entra 角色指派給使用者和使用 Microsoft Entra 全域角色管理 Microsoft Defender 全面偵測回應 的存取權。
角色 | 描述 |
---|---|
全域管理員 | 可以存取所有 Microsoft 365 服務中的所有系統管理功能。 只有全域管理員才能指派其他系統管理員角色。 如需詳細資訊,請參閱全域系統管理員/公司系統管理員。 |
合規性資料系統管理員 | 可以追蹤 Microsoft 365 中的組織資料,確保其受到保護,並深入了解任何問題以協助降低風險。 如需詳細資訊,請參閱合規性資料系統管理員。 |
合規性系統管理員 | 可幫助您的組織遵守任何法規要求、管理電子文件探索案例,並維護 Microsoft 365 各個位置、身分和應用程式的資料監管原則。 如需詳細資訊,請參閱 合規性系統管理員。 |
安全性操作員 | 可檢視、調查和回應 Microsoft 365 使用者、裝置和內容所受的主動威脅。 如需詳細資訊,請參閱 安全性運算子。 |
安全性讀取者 | 檢視和調查您Microsoft 365 使用者、裝置和內容的作用中威脅,但 (不同於安全性操作員) 他們無權採取動作來回應。 如需詳細資訊,請參閱 安全性讀取者。 |
安全性系統管理員 | 可透過管理安全性原則、檢視 Microsoft 365 各項產品的安全性分析和報告,以及在威脅環境中保持最新速度,來控制組織的整體安全性。 如需詳細資訊,請參閱 安全性系統管理員。 |
全域讀取者 | 全域系統管理員 角色的唯讀版本。 在 Microsoft 365 中檢視所有設定和管理資訊。 如需詳細資訊,請參閱 全域讀取者。 |
攻擊模擬系統管理員 | 建立和管理 攻擊模擬系統 創建、模擬的啟動/排程,以及模擬結果審查的所有方面。 詳細資訊,請參閲 攻擊模擬系統管理員。 |
攻擊承載作者 | 建立攻擊承載,但不實際啟動或排程它們。 如需詳細資訊,請參閱 攻擊承載作者。 |
在 Microsoft Defender 入口網站中 Email & 共同作業角色
在 Defender 入口網站和 Purview 合規性入口網站中,可以使用相同的角色群組和角色:
- Defender 入口網站:許可權>Email & 共同作業角色角色>或直接在https://security.microsoft.com/emailandcollabpermissions
- Purview 合規性入口網站:角色 & 範圍>>許可權Microsoft Purview 解決方案>角色或直接在https://compliance.microsoft.com/compliancecenterpermissions
如需這些角色群組的完整資訊,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Purview 合規性入口網站中的角色和角色群組
注意事項
適用於 Office 365 的 Defender Microsoft Defender 入口網站中可用的數據不會受到 Microsoft Purview 合規性入口網站 中設定的調適型範圍影響。 如需調適型範圍的詳細資訊,請參閱 調適型範圍。
下列動作適用於 Defender 入口網站中 Email & 共同作業角色群組:
- 建立角色群組
- 複製角色群組
- 修改角色群組成員資格
- 僅 (自定義角色群組修改角色指派)
- 僅 (自定義角色群組移除角色群組)
在 Microsoft Defender 入口網站中建立 Email & 共同作業角色群組
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權限>Email & 共同作業角色>角色]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,選取 [ 建立] 以啟動新的角色群組精靈。
在 [ 為您的角色群組命名 ] 頁面上,輸入下列資訊:
- 名稱:輸入角色群組的唯一名稱。
- 描述:輸入角色群組的選擇性描述。
當您在 [ 為角色群組命名 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 選擇角色] 頁面上,選取 [選擇角色]。
在開啟的 [ 選擇角色 ] 飛出視窗中,選取飛出視窗頂端的 [ 新增 ]。
在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用 [搜尋 ] 方塊來尋找角色。
選取一或多個要新增的角色之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇角色 ] 飛出視窗,您新增的角色會列在頁面上。 若要新增更多角色,請重複上一個步驟。 您已選取的角色會呈現灰色。
若要移除角色,請選取 [ 移除]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色,然後選取 [ 移除]。
當您完成原始的 [選擇角色 ] 飛出視窗時,請選取 [ 完成]。
回到 [ 選擇角色 ] 頁面,角色會顯示在 [ 選取的角色 ] 區段中。
當您在 [ 選擇角色 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 選擇成員] 頁面上,選取 [選擇成員]。
在開啟的 [ 選擇成員 ] 飛出視窗中,選取飛出視窗頂端的 [ 新增 ]。
在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱] 或 [Email 位址] 排序列表,或使用 [搜尋] 方塊來尋找使用者。
選取一或多個要新增的用戶之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇成員 ] 飛出視窗,您新增的成員會列在頁面上。 若要新增更多成員,請重複上一個步驟。 您已選取的成員會呈現灰色。
若要移除成員,請選取 [ 移除]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個成員,然後選取 [ 移除]。
當您完成原始的 [選擇角色 ] 飛出視窗時,請選取 [ 完成]。
回到 [ 選擇成員] 頁面,成員會顯示在 [ 選取的成員 ] 區段中。
當您在 [ 選擇成員 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱您的設定] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
當您在 [ 檢閱您的設定 ] 頁面上完成時,請選取 [ 建立角色群組]。
回到 [權 限] 頁面上,會列出新的角色群組。
在 Microsoft Defender 入口網站中複製 Email & 共同作業角色群組
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權限>Email & 共同作業角色角色>]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 使用 [名稱] 數據行標頭依名稱排序列表,或使用 [搜尋] 方塊來尋找角色群組。
在開啟的角色群組詳細數據飛出視窗中,選取飛出視窗頂端的 [ 複製角色群組 ]。
新的角色群組精靈隨即開啟,如先前所述,用於 建立新的角色群組。
新角色群組的預設名稱是原始角色組名>的<複本,但您可以變更它。
角色和成員會填入您要複製之角色的值,但您可以變更這些值。
在 Microsoft Defender 入口網站中修改 Email & 共同作業角色群組成員資格
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權限>Email & 共同作業角色角色>]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 使用 [名稱] 數據行標頭依名稱排序列表,或使用 [搜尋] 方塊來尋找角色群組。
在開啟的角色群組詳細資料飛出視窗中,執行下列其中一個步驟:
- 選取飛出視窗頂端的 [編輯角色群組]。 在開啟的編輯角色群組精靈中,選取 [ 選擇成員] 索引 標籤。
- 在飛出視窗的 [ 成員 ] 區段中,選取 [ 編輯]。
在開啟之編輯角色群組精靈的 [ 選擇成員 ] 索引卷標上,執行下列其中一個步驟:
- 如果沒有角色群組成員,請選取 [選擇成員]。
- 如果有現有的角色群組成員,請選取 [編輯]
在開啟的 [ 選擇成員 ] 飛出視窗中,執行下列其中一個步驟:
新增成員:選取飛出視窗頂端的 [ 新增 ]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱] 或 [Email 位址] 排序列表,或使用 [搜尋] 方塊來尋找使用者。
選取一或多個要新增的用戶之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇成員 ] 飛出視窗,新增的用戶會顯示在 [ 成員 ] 區段中。
拿掉成員:選取飛出視窗頂端的 [ 移除 ]。 在開啟的新 [ 選擇成員 ] 飛出視窗中,選取一或多個使用者。 選取資料行標頭,依 [名稱] 或 [Email 位址] 排序列表,或使用 [搜尋] 方塊來尋找使用者。
選取一或多個要移除的用戶之後,請選取 [ 移除]。
回到原始的 [選擇成員 ] 飛出視窗,移除的使用者不會再顯示在 [ 成員 ] 區段中。
當您在原始的 [ 選擇成員 ] 飛出視窗中完成時,請選取 [ 完成]。
回到精靈的 [ 選擇成員 ] 索引標籤,選取 [ 儲存]。
回到角色群組詳細數據飛出視窗,選取 [ 完成]。
在 Microsoft Defender 入口網站中修改 Email & 共同作業角色群組角色指派
注意事項
您只能修改自定義角色群組的角色指派。 您無法修改內建角色群組的角色指派。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權限>Email & 共同作業角色角色>]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用 [搜尋 ] 方塊來尋找角色群組。
在開啟的角色群組詳細資料飛出視窗中,執行下列其中一個步驟:
- 選取飛出視窗頂端的 [編輯角色群組]。 在開啟的編輯角色群組精靈中,選取 [ 選擇角色] 索引標籤 。
- 在飛出視窗的 [ 指派的角色 ] 區段中,選取 [ 編輯]。
在開啟之編輯角色群組精靈的 [ 選擇角色 ] 索引卷標上,執行下列其中一個步驟:
- 如果沒有指派的角色,請選取 [選擇角色]。
- 如果有指派的現有角色,請選取 [編輯]
在開啟的 [ 選擇角色 ] 飛出視窗中,執行下列其中一個步驟:
新增角色:選取飛出視窗頂端的 [ 新增 ]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 已指派的角色會呈現灰色。選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用 [搜尋 ] 方塊來尋找角色。
選取一或多個要新增的角色之後,請選取飛出視窗底部的 [ 新增 ]。
回到原始的 [選擇角色 ] 飛出視窗,新增的角色會顯示在 [ 角色 ] 區段中。
拿掉角色:選取飛出視窗頂端的 [ 移除 ]。 在開啟的新 [ 選擇角色 ] 飛出視窗中,選取一或多個角色。 選取數據行標頭,依 [名稱] 排序列表,或使用 [搜尋 ] 方塊來尋找角色。
選取一或多個要移除的角色之後,請選取 [ 移除]。
回到原始的 [選擇角色 ] 飛出視窗,移除的角色將不再顯示在 [ 角色 ] 區段中。
當您在原始的 [ 選擇角色 ] 飛出視窗中完成時,請選取 [ 完成]。
回到精靈的 [ 選擇角色 ] 索引標籤,選取 [ 儲存]。
回到角色群組詳細數據飛出視窗,選取 [ 完成]。
在 Microsoft Defender 入口網站中移除 Email & 共同作業角色群組
注意事項
您只能移除自訂角色群組。 您無法移除內建的角色群組。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [權限>Email & 共同作業角色角色>]。 或者,若要直接前往 [權限] 頁面,請使用 https://security.microsoft.com/emailandcollabpermissions。
在 [ 許可權] 頁面上,從清單中選取角色群組。 選取 [名稱 ] 資料行標頭,依名稱排序列表,或使用 [搜尋 ] 方塊來尋找角色群組。
在開啟的角色群組詳細數據飛出視窗中,選取飛出視窗頂端的 [ 刪除角色群組 ]。
在開啟的警告對話框中選取 [ 是 ]。
回到 [權 限] 頁面,不再列出角色群組。