向 Microsoft Defender XDR 的过渡引入了关键的治理变更，这对于统一的安全运营中心（SOC）有效运作至关重要。最初，现有的 Azure RBAC 分配保持功能正常，Sentinel 数据保留在原位置，确保首日连续性。然而，该平台启用了强大的新功能，包括不绑定到单个工作区的数据范围权限。它还引入了分层数据模型，支持以更低成本实现长期数据保留，并支持通过单次登录管理多达 100 个客户租户的多租户管理。此次转变涉及角色和人员画像的演进，从经典 Azure RBAC 转向统一 RBAC（URBAC）。一旦启用，URBAC 将成为权限的主要来源，但 Azure RBAC 仍适用于特定用例，如自动化角色和服务主体，这些目前尚未完全由 URBAC 支持。URBAC 提供了更细粒度的方法，包括数据范围权限和跨工作区权限，并支持行级 RBAC 以增强安全性。安全分析师、工程师和管理员将在该新模型中感受到其权限管理方式的变更。一个关键的治理构建块是 Sentinel 数据湖，它镜像分析层数据，为历史威胁狩猎、合规性和调查提供单一事实来源。这种将“热”检测数据与“温/冷”调查数据分离的架构优化了成本并简化了查询。数据湖支持跨所有连接的 Sentinel 工作区执行 KQL 查询，并可查询外部数据源而无需移动数据。对于托管安全服务提供商（MSSP）和大型企业，Defender XDR 中的多租户管理通过提供统一的跨租户视图简化了运营。虽然它并未取代 Azure Lighthouse，但通过为多达 100 个租户提供集中管理系统，简化了日常任务。这一统一视图增强了跨多个环境的调查、高级狩猎和内容分发。此次过渡强调向更集成、更强大的治理框架转变，以支持现代安全运营。