Видимость предоставления и запроса разрешения на уровне клиента

Пользователь с ролью Microsoft Entra глобального Администратор istrator может иметь обязанности на уровне клиента, но не имеет разрешений Azure для просмотра этой информации на уровне организации в Microsoft Defender для облака. Для повышения прав разрешений требуется, так как назначения ролей Microsoft Entra не предоставляют доступ к ресурсам Azure.

Предоставьте себе разрешения на уровне клиента

Чтобы назначить себе разрешения на уровне клиента, выполните следующие действия.

  1. Если ваша организация управляет доступом к ресурсам с помощью Microsoft Entra управление привилегированными пользователями (PIM) или любого другого средства PIM, роль глобального администратора должна быть активной для пользователя.

  2. Как пользователь с правами глобального администратора без назначения в корневой группе управления клиента, откройте страницу Обзор Defender для облака и выберите в баннере ссылку видимость на уровне клиента.

    Enable tenant-level permissions in Microsoft Defender for Cloud.

  3. Выберите новую роль Azure, которую необходимо назначить.

    Form for defining the tenant-level permissions to be assigned to your user.

    Совет

    Как правило, роль "Администратор безопасности" требуется для применения политик на корневом уровне, в то время как для обеспечения видимости на уровне клиента будет достаточно роли читателя сведений о безопасности. Дополнительные сведения о разрешениях, предоставляемых этими ролями, см. в разделе Встроенные роли в Azure. Администратор безопасности или Встроенные роли в Azure. Читатель сведений о безопасности.

    Различия между этими ролями, характерными для Defender для облака, см. в таблице в разделе Роли и разрешенные действия.

    Просмотр сведений в масштабе организации обеспечивается путем предоставления ролей на уровне корневой группы управления клиента.

  4. Выйдите из портал Azure, а затем снова войдите в систему.

  5. После повышения уровня доступа откройте или обновите Microsoft Defender для облака, чтобы убедиться, что у вас есть видимость всех подписок в клиенте Microsoft Entra.

Процесс назначения разрешений на уровне клиента выполняет множество операций автоматически.

  • Права доступа для пользователя временно повышены.

  • Используя новые разрешения, пользователь назначается требуемой роли Azure RBAC в корневой группе управления.

  • Повышенные права доступа удаляются.

Дополнительные сведения о процессе повышения прав Microsoft Entra см. в статье "Повышение прав доступа" для управления всеми подписками Azure и группами управления.

Запрос разрешений на уровне клиента в случае недостаточности своих разрешений

При переходе к Defender для облака может появиться баннер, который оповещает вас о том, что представление ограничено. Если вы видите этот баннер, выберите его, чтобы отправить запрос глобальному администратору для вашей организации. В запросе можно указать дополнительно, какую роль вам необходимо назначить. Глобальный администратор рассмотрит ваш запрос и примет решение о том, какую роль предоставлять.

Принять или отклонить эти запросы решает глобальный администратор.

Важно!

Можно отправлять только по одному запросу каждые семь дней.

Чтобы запросить повышенные права у глобального администратора, выполните следующие действия:

  1. На портале Azure откройте Microsoft Defender для облака.

  2. Если баннер "Вы видите ограниченную информацию", выберите его.

    Banner informing a user they can request tenant-wide permissions.

  3. В форме подробного запроса выберите нужную роль и обоснование, для чего требуются эти разрешения.

    Details page for requesting tenant-wide permissions from your Azure global administrator.

  4. Выберите Запросить доступ.

    Глобальному администратору отправляется сообщение. В сообщении содержится ссылка на Defender для облака, где запрос можно утвердить или отклонить.

    Email to the global administrator for new permissions.

    После того как глобальный администратор выберет Проверить запрос и завершит процесс, решение будет отправлено по почте пользователю, направившему запрос.

Следующие шаги

Дополнительные сведения о разрешениях Defender для облака см. на следующей странице по этой теме: