Concesión y solicitud de visibilidad para todos los inquilinos

Un usuario con el rol de administrador global de Microsoft Entra puede tener responsabilidades en todo el inquilino, pero carecer de los permisos de Azure para ver la información de toda la organización en Microsoft Defender for Cloud. La elevación de permisos es necesaria porque las asignaciones de roles de Microsoft Entra no conceden acceso a los recursos de Azure.

Concesión de permisos de todo el inquilino a uno mismo

Para asignarse a uno mismo permisos de nivel de inquilino:

1. Si su organización administra el acceso a los recursos con Microsoft Entra Privileged Identity Management (PIM) o cualquier otra herramienta de PIM, el rol de administrador global debe estar activo para el usuario.

2. Como usuario administrador global sin una asignación en el grupo de administración raíz del inquilino, abra la página Información general de Defender for Cloud y seleccione el vínculo de visibilidad de todo el inquilino en el mensaje emergente.

   

3. Selección del nuevo rol de Azure que se va a asignar.

   

   Sugerencia

   Por lo general, el rol de Administrador de seguridad es necesario para aplicar directivas en el nivel raíz, mientras que el de Lector de seguridad será suficiente para proporcionar visibilidad en el nivel de inquilino. Para más información acerca de los permisos concedidos por estos roles, consulte la descripción del rol integrado de Administrador de seguridad o la descripción del rol integrado de Lector de seguridad.

   Para conocer las diferencias entre estos roles específicos de Defender for Cloud, consulte la tabla de Roles y acciones permitidas.

   Para conseguir la vista de toda la organización, se conceden roles en el nivel de grupo de administración raíz del inquilino.

4. Cierre sesión en Azure Portal y vuelva a iniciarla.

5. Cuando tenga privilegios de acceso elevados, abra o actualice Microsoft Defender for Cloud para comprobar que tiene visibilidad en todas las suscripciones del inquilino de Microsoft Entra.

El proceso de asignación de permisos en el nivel de inquilino realiza muchas operaciones automáticamente:

• Los permisos del usuario se elevan temporalmente.

• Con los nuevos permisos, se asigna al usuario el rol de Azure RBAC deseado en el grupo de administración raíz.

• Se quitan los permisos elevados.

Para más información sobre el proceso de elevación de Microsoft Entra, consulte Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure.

Solicitud de permisos para todo el inquilino cuando el suyo sea insuficiente

Cuando navegue por Defender for Cloud, es posible que vea un banner que le avisa de que su vista es limitada. Si ve este banner, selecciónelo para enviar una solicitud al administrador global de su organización. En la solicitud, puede incluir el rol que le gustaría que se le asignara y el administrador global tomará una decisión sobre qué rol otorgar.

La decisión del administrador global es aceptar o rechazar estas solicitudes.

Importante

Solamente puede enviar una solicitud cada siete días.

Para solicitar permisos elevados al administrador global:

1. En Azure Portal, abra Microsoft Defender for Cloud.

2. Si ve el banner "Está viendo información limitada", selecciónelo.

   

3. En el formulario de solicitud detallado, seleccione el rol deseado y la justificación del motivo por el que necesita estos permisos.

   

4. Seleccione Solicitar acceso.

   Se envía un correo electrónico al administrador global. El correo electrónico contiene un vínculo a Defender for Cloud donde pueden aprobar o rechazar la solicitud.

   

   Una vez que el administrador global selecciona Revisar la solicitud y completa el proceso, la decisión se envía por correo electrónico al usuario que realiza la solicitud.

Pasos siguientes

Obtenga más información sobre los permisos de Defender for Cloud en la siguiente página relacionada:

• Permisos de Microsoft Defender for Cloud