Использование основных разрешений для доступа к порталу
Область применения:
- Microsoft Entra ID
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Если вы хотите использовать базовое управление разрешениями для портала Microsoft Defender, помните, что для разрешений задано значение полный доступ или только чтение. Для детального управления разрешениями используйте управление доступом на основе ролей.
Назначение доступа пользователей с помощью Microsoft Graph PowerShell
Вы можете назначить пользователям один из следующих уровней разрешений:
- Полный доступ (чтение и запись)
- Доступ только для чтения
Подготовка к работе
Установите Microsoft Graph PowerShell. Дополнительные сведения см. в статье Установка Microsoft Graph PowerShell.
Примечание.
Командлеты PowerShell необходимо запустить в командной строке с повышенными привилегиями.
Подключитесь к идентификатору Microsoft Entra. Дополнительные сведения см. в разделе Connect-MgGraph.
Полный доступ. Пользователи с полным доступом могут входить в систему, просматривать все сведения о системе и разрешать оповещения, отправлять файлы для глубокого анализа и скачивать пакет подключения. Чтобы назначить полный доступ, необходимо добавить пользователей во встроенные роли "Администратор безопасности" или "Глобальный администратор" Microsoft Entra.
Доступ только для чтения. Пользователи с доступом только для чтения могут входить в систему, просматривать все оповещения и связанную информацию.
Они не смогут изменять состояния оповещений, отправлять файлы для глубокого анализа или выполнять операции изменения состояния.
Для назначения прав доступа только для чтения необходимо добавить пользователей во встроенную роль Microsoft Entra "Читатель безопасности".
Чтобы назначить роли безопасности, выполните следующие действия.
Для доступа на чтение и запись назначьте пользователей роли администратора безопасности с помощью следующей команды:
$Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Administrator'" $UserId = (Get-MgUser -UserId "[email protected]").Id $DirObject = @{ "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId" } New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObjectДля доступа только для чтения назначьте пользователей роли читателя безопасности с помощью следующей команды:
$Role = Get-MgDirectoryRole -Filter "DisplayName eq 'Security Reader'" $UserId = (Get-MgUser -UserId "[email protected]").Id $DirObject = @{ "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$UserId" } New-MgDirectoryRoleMemberByRef -DirectoryRoleId $Role.Id -BodyParameter $DirObject
Дополнительные сведения см. в статье Добавление или удаление участников группы с помощью Идентификатора Microsoft Entra.
Связанные статьи
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.