Udostępnij za pośrednictwem

Udzielanie i żądanie widoczności całej dzierżawy

  • Artykuł

Użytkownik z rolą Microsoft Entra administratora globalnego może mieć obowiązki w całej dzierżawie, ale nie ma uprawnień platformy Azure do wyświetlania tych informacji w całej organizacji w Microsoft Defender dla Chmury. Wymagane jest podniesienie uprawnień, ponieważ przypisania ról entra firmy Microsoft nie udzielają dostępu do zasobów platformy Azure.

Przyznawanie uprawnień dla całej dzierżawy samodzielnie

Aby przypisać sobie uprawnienia na poziomie dzierżawy:

  1. Jeśli Organizacja zarządza dostępem do zasobów za pomocą usługi Microsoft Entra Privileged Identity Management (PIM) lub dowolnego innego narzędzia PIM, rola administratora globalnego musi być aktywna dla użytkownika.

  2. Jako użytkownik administratora globalnego bez przypisania w głównej grupie zarządzania dzierżawy otwórz stronę Przegląd Defender dla Chmury i wybierz link widoczność dla całej dzierżawy na banerze.

    Włącz uprawnienia na poziomie dzierżawy w Microsoft Defender dla Chmury.

  3. Wybierz nową rolę platformy Azure do przypisania.

    Formularz definiowania uprawnień na poziomie dzierżawy, które mają być przypisane do użytkownika.

    Napiwek

    Ogólnie rzecz biorąc, rola Administratora zabezpieczeń jest wymagana do stosowania zasad na poziomie głównym, podczas gdy czytelnik zabezpieczeń wystarczy, aby zapewnić widoczność na poziomie dzierżawy. Aby uzyskać więcej informacji na temat uprawnień przyznanych przez te role, zobacz wbudowany opis roli administratora zabezpieczeń lub wbudowany opis roli Czytelnik zabezpieczeń.

    Aby uzyskać różnice między tymi rolami specyficznymi dla Defender dla Chmury, zobacz tabelę w temacie Role i dozwolone akcje.

    Widok w całej organizacji jest osiągany przez przyznanie ról na głównym poziomie grupy zarządzania dzierżawy.

  4. Wyloguj się z witryny Azure Portal, a następnie zaloguj się ponownie.

  5. Po podwyższeniu poziomu dostępu otwórz lub odśwież Microsoft Defender dla Chmury, aby sprawdzić, czy masz wgląd we wszystkie subskrypcje w dzierżawie firmy Microsoft Entra.

Proces przypisywania sobie uprawnień na poziomie dzierżawy wykonuje wiele operacji automatycznie:

  • Uprawnienia użytkownika są tymczasowo podwyższone.

  • Korzystając z nowych uprawnień, użytkownik jest przypisany do żądanej roli RBAC platformy Azure w głównej grupie zarządzania.

  • Uprawnienia z podwyższonym poziomem uprawnień są usuwane.

Aby uzyskać więcej informacji na temat procesu podniesienia uprawnień firmy Microsoft, zobacz Podnoszenie poziomu dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

Zażądaj uprawnień dla całej dzierżawy, gdy nie ma wystarczających uprawnień

Po przejściu do Defender dla Chmury może zostać wyświetlony baner z alertem informującym o tym, że widok jest ograniczony. Jeśli widzisz ten baner, wybierz go, aby wysłać żądanie do administratora globalnego organizacji. W żądaniu możesz dołączyć rolę, którą chcesz przypisać, a administrator globalny podejmie decyzję o tym, która rola ma zostać udzielona.

Jest to decyzja administratora globalnego, czy zaakceptować lub odrzucić te żądania.

Ważne

Można przesłać tylko jedno żądanie co siedem dni.

Aby zażądać podniesionych uprawnień od administratora globalnego:

  1. W witrynie Azure Portal otwórz Microsoft Defender dla Chmury.

  2. Jeśli baner "Widzisz ograniczone informacje", wybierz go.

    Baner z informacją o użytkowniku, który może zażądać uprawnień dla całej dzierżawy.

  3. W formularzu żądania szczegółowego wybierz żądaną rolę i uzasadnienie, dlaczego potrzebujesz tych uprawnień.

    Strona szczegółów żądania uprawnień dla całej dzierżawy od administratora globalnego platformy Azure.

  4. Wybierz pozycję Zażądaj dostępu.

    Wiadomość e-mail jest wysyłana do administratora globalnego. Wiadomość e-mail zawiera link do Defender dla Chmury, w którym mogą zatwierdzić lub odrzucić żądanie.

    Wyślij wiadomość e-mail do administratora globalnego, aby uzyskać nowe uprawnienia.

    Po wybraniu przez administratora globalnego pozycji Przejrzyj żądanie i zakończeniu procesu decyzja jest wysyłana do użytkownika wysyłającego żądanie.

Usuwanie uprawnień

Aby usunąć uprawnienia z głównej grupy dzierżawy, wykonaj następujące kroki:

  1. Przejdź do portalu Azure Portal.
  2. W witrynie Azure Portal wyszukaj pozycję Grupy zarządzania na pasku wyszukiwania u góry.
  3. W okienku Grupy zarządzania znajdź i wybierz grupę główną dzierżawy z listy grup zarządzania.
  4. W grupie głównej dzierżawy wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami) w menu po lewej stronie.
  5. W okienku Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz kartę Przypisania ról. Spowoduje to wyświetlenie listy wszystkich przypisań ról dla grupy głównej dzierżawy.
  6. Przejrzyj listę przypisań ról, aby określić, który z nich należy usunąć.
  7. Wybierz przypisanie roli, które chcesz usunąć (administrator zabezpieczeń lub czytelnik zabezpieczeń), a następnie wybierz pozycję Usuń. Upewnij się, że masz uprawnienia niezbędne do wprowadzania zmian w przypisaniach ról w grupie głównej dzierżawy.

Następne kroki

Dowiedz się więcej o uprawnieniach Defender dla Chmury na następującej powiązanej stronie: