Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Microsoft Defender для идентификационных данных
- Microsoft Defender для Office 365 P2
- Управление уязвимостями в Microsoft Defender
- Microsoft Defender для облака
- Управление рисками Microsoft Security
- Microsoft Defender для облачных приложений
- Microsoft Sentinel
Microsoft Defender XDR обеспечивает интегрированную защиту от угроз, обнаружение и реагирование на угрозы в конечных точках, электронной почте, удостоверениях, приложениях и данных на одном портале. Управление разрешениями пользователя на доступ к просмотру данных или выполнению задач имеет важное значение для организаций, чтобы свести к минимуму риски, связанные с несанкционированным доступом.
Модель Microsoft Defender унифицированного управления доступом на основе ролей (RBAC) предоставляет единый интерфейс управления разрешениями, предоставляющий администраторам одно централизованное расположение для управления разрешениями пользователей в различных решениях безопасности.
Важно!
С 2025 года унифицированная модель RBAC Microsoft Defender используется по умолчанию в качестве модели разрешений для новых арендаторов Microsoft Defender for Endpoint и Microsoft Defender для удостоверений. Эти клиенты не могут экспортировать роли и разрешения из старой модели. Арендаторы Defender for Endpoint или Defender for Identity, для которых роли и разрешения были назначены или экспортированы до указанной даты, сохраняют прежнюю конфигурацию ролей и разрешений.
С июля 2026 года унифицированная модель RBAC Microsoft Defender также будет моделью разрешений по умолчанию для новых организаций с Microsoft Defender для Office 365 Plan 2. Дополнительные сведения см. в MC1246006.
Что поддерживается унифицированной моделью RBAC в Microsoft Defender
Централизованное управление разрешениями поддерживается для следующих служб:
| Имя службы | Поддержка унифицированной модели RBAC |
|---|---|
| Microsoft Defender XDR | Централизованное управление разрешениями для Microsoft Defender XDR интерфейсов. |
| Microsoft Defender для конечных точек | Полная поддержка всех данных эндпоинтов и всех действий с ними. Все роли совместимы с областью действия группы устройств, как указано на странице групп устройств. Ограничение разрешений для различных групп устройств выполняется на странице Группы устройств. |
| Управление уязвимостями в Microsoft Defender | Централизованное управление разрешениями для всех возможностей Управление уязвимостями Defender. |
| Microsoft Defender для Office 365 | Полная поддержка всех данных и действий.
Примечание.
|
| Microsoft Defender для идентификационных данных | Полная поддержка всех идентификационных данных и всех действий. Все роли совместимы с доступом с ограниченной областью действия Microsoft Defender для удостоверений. Примечание: Возможности Microsoft Defender для удостоверений также учитывают разрешения, предоставленные в Microsoft Defender for Cloud Apps. Дополнительные сведения см. в статье Группы ролей Microsoft Defender для удостоверений. |
| Microsoft Defender для облака | Поддержка управления доступом для всех данных Defender для облака, доступных на портале Microsoft Defender. |
| Управление рисками Microsoft Security | Полная поддержка всех данных и действий управления экспозицией, включая данные оценки безопасности Майкрософт. |
| Microsoft Defender for Cloud Apps (предварительная версия) | Примечание: После активации Unified RBAC некоторые встроенные роли с ограниченной областью действия больше не будут поддерживаться. Дополнительные сведения см. в статье Сопоставление разрешений Microsoft Defender for Cloud Apps и унифицированных разрешений RBAC в Microsoft Defender. |
| Microsoft Sentinel | Поддерживает единое управление доступом для всех рабочих областей Microsoft Sentinel, подключенных к порталу Defender. Назначения ролей Sentinel, созданные в унифицированной RBAC, синхронизируются с Azure RBAC и отображаются там. Однако единый RBAC становится источником разрешений после включения. При активации Sentinel в Unified RBAC роль администратора доступа пользователей назначается приложению MTP Unified RBAC в включенной рабочей области. В Microsoft Sentinel не поддерживается назначение разрешений сервисному субъекту или группе пользователей GDAP в унифицированной модели RBAC. Если вам нужна любая из этих возможностей, продолжайте использовать Azure RBAC для Microsoft Sentinel. Дополнительные сведения см. в разделе Активация унифицированной модели RBAC в Microsoft Defender. Возможности Sentinel на портале Defender по-прежнему учитывают роли и разрешения ARM в дополнение к URBAC. Таким образом, пользователи с более широкими разрешениями в ARM, чем в URBAC, могут видеть на страницах Sentinel в портале Defender больше данных, чем предусмотрено их разрешениями URBAC. Поддерживает управление разрешениями для рабочей области Microsoft Sentinel по умолчанию в озере данных, если Microsoft Sentinel подключен как к порталу Defender, так и к озеру данных Microsoft Sentinel. Пользователи Microsoft Sentinel со встроенными ролями Azure RBAC для своих рабочих областей получают соответствующие разрешения в компонентах Microsoft Sentinel для работы с озером данных, таких как обозреватель озера данных и записные книжки. Дополнительные сведения см. в разделе Роли и разрешения для озера данных Microsoft Sentinel. Чтобы узнать, какие роли поддерживаются, см. унифицированное сопоставление ролей RBAC. |
Примечание.
Управление сценариями и процессами, контролируемыми разрешениями соответствия, осуществляется на портале Microsoft Purview. В частности, возможности защиты от потери данных (DLP) и управления внутренними рисками, доступные на портале Defender, используют модель RBAC Microsoft Purview, а не унифицированную модель RBAC Microsoft Defender. Сведения об управлении разрешениями для этих возможностей см. в разделе Разрешения на портале Microsoft Purview.
Перед началом работы
В этом разделе содержатся полезные сведения о том, что необходимо знать, прежде чем приступить к использованию Microsoft Defender унифицированного RBAC.
Предварительные требования к разрешениям
Вы должны быть по крайней мере администратором безопасности в Microsoft Entra ID, чтобы:
Получите начальный доступ к разрешениям и ролям на портале Microsoft Defender.
Управление ролями и разрешениями в Microsoft Defender унифицированном RBAC.
Создайте настраиваемую роль, которая может предоставить доступ группам безопасности или отдельным пользователям для управления ролями и разрешениями в Microsoft Defender унифицированного RBAC. Это устраняет необходимость в глобальных ролях Microsoft Entra для управления разрешениями. Для этого необходимо назначить разрешение Authorization в унифицированной модели RBAC Microsoft Defender. Дополнительные сведения о назначении разрешения на авторизацию см. в статье Создание роли для доступа к ролям и разрешениям и управления ими.
Решение Microsoft Defender XDR безопасности по-прежнему учитывает существующие Microsoft Entra глобальные роли при активации Microsoft Defender унифицированной модели RBAC для некоторых или всех рабочих нагрузок, то есть администраторы безопасности сохраняют назначенные права администратора.
Чтобы активировать рабочую область Microsoft Sentinel в унифицированном RBAC, вам потребуется:
- Роль администратора безопасности в Microsoft Entra ID
- И один из следующих вариантов:
- Владелец подписки, ИЛИ
- Администратор доступа пользователей и участник Sentinel в рабочей области
В унифицированной модели RBAC наличие роли глобального администратора не дает вам автоматических разрешений на рабочие области. Это дает вам право назначать права доступа, в том числе себе.
Миграция существующих ролей и разрешений
Новая Microsoft Defender унифицированная модель RBAC обеспечивает простую миграцию существующих разрешений в отдельных поддерживаемых унифицированных моделях RBAC в новую модель RBAC.
Группы устройств в Defender для конечной точки теперь используют раздел «Группы устройств» в интерфейсе, чтобы определить, у каких групп есть доступ к соответствующим группам устройств.
Все разрешения, перечисленные в Microsoft Defender унифицированной модели RBAC, соответствуют разрешениям в отдельных моделях RBAC, чтобы обеспечить обратную совместимость. Дополнительные сведения о том, как сопоставляются разрешения, см. в статье Сопоставление разрешений в унифицированной системе управления доступом на основе ролей (RBAC) Microsoft Defender.
Активация унифицированной модели RBAC в Microsoft Defender
Чтобы использовать унифицированную модель RBAC Microsoft Defender, необходимо активировать рабочие нагрузки в Microsoft Defender XDR. До активации Microsoft Defender XDR продолжает работать с существующими моделями RBAC. Microsoft Sentinel необходимо активировать для каждой рабочей области. Дополнительные сведения см. в разделе Активация унифицированной модели RBAC в Microsoft Defender.
При активации некоторых или всех рабочих нагрузок для использования новой модели разрешений роли и разрешения для этих рабочих нагрузок полностью контролируются Microsoft Defender унифицированной моделью RBAC на портале Microsoft Defender.
Начало работы с унифицированной моделью RBAC в Microsoft Defender
Чтобы приступить к использованию Microsoft Defender унифицированной модели RBAC, выполните следующие действия.
Начало работы с созданием пользовательских ролей и импортом ролей из существующих моделей ролей RBAC
Активация ролей и управление ими с помощью Microsoft Defender унифицированной модели RBAC
Подробнее об унифицированной модели RBAC в Microsoft Defender
Подробнее о доступе с ограниченной областью действия в Microsoft Defender для удостоверений
Управляйте унифицированным RBAC в нескольких арендаторах
Просмотрите следующее видео, чтобы увидеть предыдущие шаги в действии:
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.