Microsoft Defender for Cloud 中的权限

Defender for Cloud 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的内置角色

Defender for Cloud 会评估资源的配置以识别安全问题和漏洞。 如果你被分配了订阅或资源所在的资源组的“所有者”、“参与者”或“读取者”角色,则仅可在 Defender for Cloud 中看到与资源相关的信息。

除了内置角色外,还有两个特定于 Defender for Cloud 的角色:

  • 安全读取者:属于此角色的用户对 Defender for Cloud 具有查看权限。 该用户可查看建议、警报、安全策略和安全状态,但不能更改。
  • 安全管理员:属于此角色的用户拥有与安全读取者相同的权限,此外还可以更新安全策略、关闭警报和建议以及应用建议。

注意

安全角色(安全读取者和安全管理员)只能在 Defender for Cloud 中进行访问。 安全角色无权访问存储、Web 和移动或物联网等其他 Azure 服务。

角色和允许的操作

下表显示 Defender for Cloud 中的角色和允许的操作。

操作 安全读取者
读者
安全管理员 参与者所有者 参与者 所有者
(资源组级别) (订阅级别) (订阅级别)
添加/分配计划(包括合规性标准) - - -
编辑安全策略 - -
启用/禁用 Microsoft Defender 计划 - -
消除警报 - -
应用资源的安全建议
(并使用
- -
查看警报和建议

部署监视组件所需的特定角色取决于要部署的扩展。 详细了解监视组件

注意

对于需要完成任务的用户,建议尽可能为其分配权限最小的角色。 例如,将“读者”角色分配到只需查看有关资源的安全运行状况而不执行操作(例如应用建议或编辑策略)的用户。

后续步骤

本文介绍了 Defender for Cloud 如何使用 Azure RBAC 将权限分配给用户,并为每个角色确定允许的操作。 现在,已熟悉监视订阅安全状态所需的角色分配,请编辑安全策略,并应用建议,了解如何: