Partilhar via


Conceder e solicitar visibilidade em todo o locatário

Um usuário com a função Microsoft Entra de Administrador Global pode ter responsabilidades em todo o locatário, mas não tem as permissões do Azure para exibir essas informações de toda a organização no Microsoft Defender for Cloud. A elevação de permissão é necessária porque as atribuições de função do Microsoft Entra não concedem acesso aos recursos do Azure.

Conceda permissões para todo o locatário a si mesmo

Para atribuir a si mesmo permissões no nível do locatário:

  1. Se sua organização gerencia o acesso a recursos com o Microsoft Entra Privileged Identity Management (PIM) ou qualquer outra ferramenta PIM, a função de administrador global deve estar ativa para o usuário.

  2. Como um usuário Administrador Global sem uma atribuição no grupo de gerenciamento raiz do locatário, abra a página Visão geral do Defender for Cloud e selecione o link de visibilidade em todo o locatário no banner.

    Habilite permissões de nível de locatário no Microsoft Defender for Cloud.

  3. Selecione a nova função do Azure a ser atribuída.

    Formulário para definir as permissões de nível de locatário a serem atribuídas ao seu usuário.

    Gorjeta

    Geralmente, a função Administrador de Segurança é necessária para aplicar políticas no nível raiz, enquanto o Leitor de Segurança será suficiente para fornecer visibilidade no nível do locatário. Para obter mais informações sobre as permissões concedidas por essas funções, consulte a descrição da função interna Administrador de Segurança ou a Descrição da função interna do Leitor de Segurança.

    Para conhecer as diferenças entre essas funções específicas do Defender for Cloud, consulte a tabela em Funções e ações permitidas.

    A visão de toda a organização é alcançada pela concessão de funções no nível do grupo de gerenciamento raiz do locatário.

  4. Saia do portal do Azure e faça logon novamente.

  5. Depois de ter acesso elevado, abra ou atualize o Microsoft Defender for Cloud para verificar se você tem visibilidade em todas as assinaturas em seu locatário do Microsoft Entra.

O processo de atribuição de permissões no nível do locatário executa muitas operações automaticamente para você:

  • As permissões do usuário são temporariamente elevadas.

  • Utilizando as novas permissões, o usuário é atribuído à função RBAC do Azure desejada no grupo de gerenciamento raiz.

  • As permissões elevadas são removidas.

Para obter mais informações sobre o processo de elevação do Microsoft Entra, consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

Solicite permissões para todo o locatário quando as suas forem insuficientes

Quando navega para o Defender for Cloud, poderá ver um banner que o alerta para o facto de a sua visualização ser limitada. Se vir esta faixa, selecione-a para enviar um pedido ao administrador global da sua organização. Na solicitação, você pode incluir a função que deseja atribuir e o administrador global tomará uma decisão sobre qual função conceder.

É decisão do administrador global aceitar ou rejeitar essas solicitações.

Importante

Só pode apresentar um pedido de sete em sete dias.

Para solicitar permissões elevadas do administrador global:

  1. No portal do Azure, abra o Microsoft Defender for Cloud.

  2. Se o banner "Você está vendo informações limitadas." estiver presente, selecione-o.

    Banner informando um usuário que ele pode solicitar permissões para todo o locatário.

  3. No formulário de solicitação detalhado, selecione a função desejada e a justificativa para o motivo pelo qual você precisa dessas permissões.

    Página de detalhes para solicitar permissões de todo o locatário do seu administrador global do Azure.

  4. Selecione Solicitar acesso.

    Um e-mail é enviado para o administrador global. O e-mail contém um link para o Defender for Cloud, onde eles podem aprovar ou rejeitar a solicitação.

    Envie um e-mail para o administrador global para obter novas permissões.

    Depois que o administrador global seleciona Revisar a solicitação e conclui o processo, a decisão é enviada por e-mail para o usuário solicitante.

Removendo permissões

Para remover permissões do grupo de locatários raiz, siga estas etapas:

  1. Aceda ao portal do Azure.
  2. No portal do Azure, procure Grupos de Gerenciamento na barra de pesquisa na parte superior.
  3. No painel Grupos de Gerenciamento, localize e selecione o Grupo Raiz do Locatário na lista de grupos de gerenciamento.
  4. Uma vez dentro do Grupo Raiz do Locatário, selecione Controle de Acesso (IAM) no menu à esquerda.
  5. No painel Controle de Acesso (IAM), selecione a guia Atribuições de função. Isso mostra uma lista de todas as atribuições de função para o Grupo Raiz do Locatário.
  6. Revise a lista de atribuições de função para identificar qual delas você precisa remover.
  7. Selecione a atribuição de função que deseja remover (Administrador de segurança ou Leitor de segurança) e selecione Remover. Verifique se você tem as permissões necessárias para fazer alterações nas atribuições de função no Grupo Raiz do Locatário.

Próximos passos

Saiba mais sobre as permissões do Defender for Cloud na seguinte página relacionada: