Conceder e solicitar visibilidade em todos os locatários

Um usuário com a função administrador global do Microsoft Entra poderá ter responsabilidades em todos os locatários, mas não ter as permissões do Azure para visualizar essas informações de toda a organização no Microsoft Defender para Nuvem. A elevação de permissões é necessária porque as atribuições de função do Microsoft Entra não permitem acesso aos recursos do Azure.

Conceder permissões em todos os locatários para você mesmo

Para atribuir a si próprio permissões em nível de locatário:

1. Se a sua organização gerencia o acesso a recursos com o PIM (Privileged Identity Management) do Microsoft Entra ou qualquer outra ferramenta de PIM, a função Administrador global precisa estar ativa para o usuário.

2. Como um usuário administrador global sem uma atribuição no grupo de gerenciamento raiz do locatário, abra a página de Visão geral do Defender para Nuvem e selecione o link Visibilidade em todo o locatário na faixa.

   

3. Selecione a nova função do Azure a ser atribuída.

   

   Dica

   Geralmente, a função Admin de Segurança é necessária para aplicar políticas no nível raiz, enquanto Leitor de Segurança será suficiente para fornecer visibilidade no nível dos locatários. Para obter mais informações sobre as permissões concedidas por essas funções, consulte a descrição da função interna Admin de Segurança ou a descrição da função interna Leitor de Segurança.

   Para obter as diferenças entre essas funções específicas para o Defender para Nuvem, confira a tabela em Funções e ações permitidas.

   A exibição de toda a organização é obtida com a concessão de funções no nível do grupo de gerenciamento raiz do locatário.

4. Faça logoff do portal do Azure e entre novamente.

5. Depois de elevar o acesso, abra ou atualize o Microsoft Defender para Nuvem para verificar se você tem visibilidade de todas as assinaturas do locatário do Microsoft Entra.

O processo de se atribuir permissões no nível do locatário, executa várias operações automaticamente para você:

• As permissões do usuário são temporariamente elevadas.

• Utilizando as novas permissões, o usuário é atribuído à função RBAC do Azure desejada no grupo de gerenciamento raiz.

• As permissões elevadas são removidas.

Para obter mais informações sobre o processo de elevação do Microsoft Entra, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

Solicitar permissões em todos os locatários quando as suas permissões forem insuficientes

Ao navegar até o Defender para Nuvem, você poderá ver uma barra de notificação que alerta para o fato de que a exibição está limitada. Se você vir essa barra de notificação, selecione-a para enviar uma solicitação ao administrador global da sua organização. Na solicitação, você pode incluir a função que deseja atribuir e o administrador global tomará uma decisão sobre qual função conceder.

É a decisão do administrador global se deve aceitar ou rejeitar essas solicitações.

Importante

Você só pode enviar uma solicitação a cada sete dias.

Para solicitar permissões elevadas de seu administrador global:

1. No portal do Azure, abra o Microsoft Defender para Nuvem.

2. Se a barra de notificação "Você está vendo informações limitadas" aparecer, selecione-a.

   

3. No formulário de solicitação detalhado, selecione a função desejada e a justificativa de porque você precisa dessas permissões.

   

4. Selecione Solicitar acesso.

   Um email será enviado para o administrador global. O email contém um link para o Defender para Nuvem em que será possível aprovar ou rejeitar a solicitação.

   

   Depois que o administrador global selecionar Examinar a solicitação e concluir o processo, a decisão será enviada por email para o usuário solicitante.

Próximas etapas

Saiba mais sobre as permissões do Defender para Nuvem na seguinte página relacionada:

• Permissões no Microsoft Defender para Nuvem