Compartilhar via

Conceder e solicitar visibilidade em todos os locatários

  • Artigo

Um usuário com a função administrador global do Microsoft Entra poderá ter responsabilidades em todos os locatários, mas não ter as permissões do Azure para visualizar essas informações de toda a organização no Microsoft Defender para Nuvem. A elevação de permissões é necessária porque as atribuições de função do Microsoft Entra não permitem acesso aos recursos do Azure.

Conceder permissões em todos os locatários para você mesmo

Para atribuir a si próprio permissões em nível de locatário:

  1. Se a sua organização gerencia o acesso a recursos com o PIM (Privileged Identity Management) do Microsoft Entra ou qualquer outra ferramenta de PIM, a função Administrador global precisa estar ativa para o usuário.

  2. Como um usuário administrador global sem uma atribuição no grupo de gerenciamento raiz do locatário, abra a página de Visão geral do Defender para Nuvem e selecione o link Visibilidade em todo o locatário na faixa.

    Habilitar permissões no nível dos locatários no Microsoft Defender para Nuvem.

  3. Selecione a nova função do Azure a ser atribuída.

    Formulário usado para definir as permissões no nível dos locatários a serem atribuídas ao usuário.

    Dica

    Geralmente, a função Admin de Segurança é necessária para aplicar políticas no nível raiz, enquanto Leitor de Segurança será suficiente para fornecer visibilidade no nível dos locatários. Para obter mais informações sobre as permissões concedidas por essas funções, consulte a descrição da função interna Admin de Segurança ou a descrição da função interna Leitor de Segurança.

    Para obter as diferenças entre essas funções específicas para o Defender para Nuvem, confira a tabela em Funções e ações permitidas.

    A exibição de toda a organização é obtida com a concessão de funções no nível do grupo de gerenciamento raiz do locatário.

  4. Faça logoff do portal do Azure e entre novamente.

  5. Depois de elevar o acesso, abra ou atualize o Microsoft Defender para Nuvem para verificar se você tem visibilidade de todas as assinaturas do locatário do Microsoft Entra.

O processo de se atribuir permissões no nível do locatário, executa várias operações automaticamente para você:

  • As permissões do usuário são temporariamente elevadas.

  • Utilizando as novas permissões, o usuário é atribuído à função RBAC do Azure desejada no grupo de gerenciamento raiz.

  • As permissões elevadas são removidas.

Para obter mais informações sobre o processo de elevação do Microsoft Entra, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

Solicitar permissões em todos os locatários quando as suas permissões forem insuficientes

Ao navegar até o Defender para Nuvem, você poderá ver uma barra de notificação que alerta para o fato de que a exibição está limitada. Se você vir essa barra de notificação, selecione-a para enviar uma solicitação ao administrador global da sua organização. Na solicitação, você pode incluir a função que deseja atribuir e o administrador global tomará uma decisão sobre qual função conceder.

É a decisão do administrador global se deve aceitar ou rejeitar essas solicitações.

Importante

Você só pode enviar uma solicitação a cada sete dias.

Para solicitar permissões elevadas de seu administrador global:

  1. No portal do Azure, abra o Microsoft Defender para Nuvem.

  2. Se a barra de notificação "Você está vendo informações limitadas" aparecer, selecione-a.

    Faixa informando a um usuário que ele pode solicitar permissões em todo o locatário.

  3. No formulário de solicitação detalhado, selecione a função desejada e a justificativa de porque você precisa dessas permissões.

    Página de detalhes para solicitar permissões em todo o locatário do Administrador global do Azure.

  4. Selecione Solicitar acesso.

    Um email será enviado para o administrador global. O email contém um link para o Defender para Nuvem em que será possível aprovar ou rejeitar a solicitação.

    Enviar um email para o Administrador global para obter novas permissões.

    Depois que o administrador global selecionar Examinar a solicitação e concluir o processo, a decisão será enviada por email para o usuário solicitante.

Removendo permissões

Para remover permissões do grupo de locatários raiz, siga estas etapas:

  1. Acesse o portal do Azure.
  2. No portal do Azure, pesquise Grupos de Gerenciamento na barra de pesquisa na parte superior.
  3. No painel Grupos de Gerenciamento, localize e selecione a Grupo Raiz do Locatário na lista de grupos de gerenciamento.
  4. Uma vez dentro do Grupo Raiz do Locatário, selecione Controle de Acesso (IAM) no menu esquerdo.
  5. No painel Controle de acesso (IAM), selecione a guia Atribuições de função. Isso mostra uma lista de todas as atribuições de função para o Grupo Raiz do Locatário.
  6. Examine a lista de atribuições de função para identificar qual delas você precisa remover.
  7. Selecione a atribuição de função que você deseja remover (Administrador de segurança ou Leitor de segurança) e selecione Remover. Verifique se você tem as permissões necessárias para fazer alterações nas atribuições de função no Grupo Raiz do Locatário.

Próximas etapas

Saiba mais sobre as permissões do Defender para Nuvem na seguinte página relacionada: