Использование основных разрешений для доступа к порталу
Область применения:
- Microsoft Entra ID
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Если вы хотите использовать базовое управление разрешениями для портала Microsoft Defender, помните, что для разрешений задано значение полный доступ или только чтение. Для детального управления разрешениями используйте управление доступом на основе ролей.
Назначение доступа пользователей с помощью Microsoft Graph PowerShell
Вы можете назначить пользователям один из следующих уровней разрешений:
- Полный доступ (чтение и запись)
- Доступ только для чтения
Подготовка к работе
Установите Microsoft Graph PowerShell. Дополнительные сведения см. в статье Установка Microsoft Graph PowerShell.
Примечание.
Командлеты PowerShell необходимо запустить в командной строке с повышенными привилегиями.
Подключитесь к Microsoft Entra ID. Дополнительные сведения см. в разделе Connect-MgGraph.
Полный доступ. Пользователи с полным доступом могут входить в систему, просматривать все сведения о системе и разрешать оповещения, отправлять файлы для глубокого анализа и скачивать пакет подключения. Чтобы назначить полный доступ, необходимо добавить пользователей в роль, например администратор безопасности, используя Microsoft Entra встроенные роли.
Доступ только для чтения. Пользователи с доступом только для чтения могут входить в систему, просматривать все оповещения и связанную информацию.
Они не смогут изменять состояния оповещений, отправлять файлы для глубокого анализа или выполнять операции изменения состояния.
Для назначения прав доступа только для чтения необходимо добавить пользователей в встроенную роль "Читатель безопасности" Microsoft Entra.
Чтобы назначить роли безопасности, выполните следующие действия.
Для доступа на чтение и запись назначьте пользователей роли администратора безопасности с помощью следующей команды:
$Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Administrator'" $UserId = (Get-MgUser -UserId "[email protected]").Id $DirObject = @{ "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId" } New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObjectДля доступа только для чтения назначьте пользователей роли читателя безопасности с помощью следующей команды:
$Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Reader'" $UserId = (Get-MgUser -UserId "[email protected]").Id $DirObject = @{ "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId" } New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObject
Дополнительные сведения см. в статье Добавление или удаление участников группы с помощью Microsoft Entra ID.
Статьи по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.