Condividi tramite

Concedere e richiedere visibilità a livello di tenant

  • Articolo

Un utente con il ruolo Microsoft Entra di Global Amministrazione istrator potrebbe avere responsabilità a livello di tenant, ma non dispone delle autorizzazioni di Azure per visualizzare le informazioni a livello di organizzazione in Microsoft Defender per il cloud. L'elevazione delle autorizzazioni è necessaria perché le assegnazioni di ruolo di Microsoft Entra non concedono l'accesso alle risorse di Azure.

Concedere autorizzazioni a livello di tenant a se stessi

Per assegnare a se stessi autorizzazioni a livello di tenant:

  1. Se l'organizzazione gestisce l'accesso alle risorse con Microsoft Entra Privileged Identity Management (PIM) o qualsiasi altro strumento PIM, il ruolo di amministratore globale deve essere attivo per l'utente.

  2. In qualità di utente globale Amministrazione istrator senza assegnazione nel gruppo di gestione radice del tenant, aprire la pagina Panoramica di Defender per il cloud e selezionare il collegamento visibilità a livello di tenant nel banner.

    Abilitare le autorizzazioni a livello di tenant in Microsoft Defender per il cloud.

  3. Selezionare il nuovo ruolo di Azure da assegnare.

    Modulo per la definizione delle autorizzazioni a livello di tenant da assegnare all'utente.

    Suggerimento

    Il ruolo di amministratore della sicurezza è generalmente necessario per applicare i criteri a livello di radice, mentre il ruolo con autorizzazioni di lettura per la sicurezza è sufficiente per garantire la visibilità a livello di tenant. Per altre informazioni sulle autorizzazioni concesse da questi ruoli, vedere la Descrizione del ruolo predefinito di amministratore della sicurezza o la Descrizione del ruolo con autorizzazioni di lettura per la sicurezza predefinito .

    Per le differenze tra questi ruoli specifici per Defender per il cloud, vedere la tabella in Ruoli e azioni consentite.

    La visualizzazione a livello di organizzazione viene ottenuta concedendo ruoli al livello del gruppo di gestione radice del tenant.

  4. Disconnettersi dal portale di Azure e quindi ripetere l'accesso.

  5. Dopo aver eseguito l'accesso con privilegi elevati, aprire o aggiornare Microsoft Defender per il cloud per verificare di avere visibilità su tutte le sottoscrizioni nel tenant di Microsoft Entra.

Il processo di assegnazione a se stessi delle autorizzazioni a livello di tenant esegue automaticamente molte operazioni:

  • Le autorizzazioni dell'utente sono temporaneamente elevate.

  • Usando le nuove autorizzazioni, l'utente viene assegnato al ruolo controllo degli accessi in base al ruolo di Azure desiderato nel gruppo di gestione radice.

  • Le autorizzazioni elevate vengono rimosse.

Per altre informazioni sul processo di elevazione dei privilegi di Microsoft Entra, vedere Elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

Richiedere autorizzazioni a livello di tenant quando gli utenti non sono sufficienti

Quando si passa a Defender per il cloud, potrebbe essere visualizzato un banner che avvisa l'utente del fatto che la visualizzazione è limitata. Se viene visualizzato questo banner, selezionarlo per inviare una richiesta all'amministratore globale per l'organizzazione. Nella richiesta è possibile includere il ruolo che si vuole assegnare e l'amministratore globale deciderà quale ruolo concedere.

È la decisione dell'amministratore globale se accettare o rifiutare queste richieste.

Importante

È possibile inviare una sola richiesta ogni sette giorni.

Per richiedere autorizzazioni elevate dall'amministratore globale:

  1. Dal portale di Azure aprire Microsoft Defender per il cloud.

  2. Se è presente il banner "You're seeing limited information" (Visualizza informazioni limitate), selezionarlo.

    Banner che informa un utente che può richiedere autorizzazioni a livello di tenant.

  3. Nel modulo di richiesta dettagliato selezionare il ruolo desiderato e la giustificazione per il motivo per cui sono necessarie queste autorizzazioni.

    Pagina dei dettagli per richiedere autorizzazioni a livello di tenant dall'amministratore globale di Azure.

  4. Selezionare Richiedi accesso.

    Un messaggio di posta elettronica viene inviato all'amministratore globale. Il messaggio di posta elettronica contiene un collegamento a Defender per il cloud in cui possono approvare o rifiutare la richiesta.

    Inviare un messaggio di posta elettronica all'amministratore globale per le nuove autorizzazioni.

    Dopo che l'amministratore globale seleziona Rivedi la richiesta e completa il processo, la decisione viene inviata tramite posta elettronica all'utente richiedente.

Passaggi successivi

Per altre informazioni sulle autorizzazioni di Defender per il cloud, vedere la pagina correlata seguente: