Dela via


Bevilja och begära synlighet för hela klientorganisationen

En användare med Microsoft Entra-rollen Global administratör kan ha ansvar för hela klientorganisationen, men saknar Azure-behörighet att visa den organisationsomfattande informationen i Microsoft Defender för molnet. Behörighetshöjning krävs eftersom Microsoft Entra-rolltilldelningar inte ger åtkomst till Azure-resurser.

Bevilja hela klientorganisationen behörigheter till dig själv

Så här tilldelar du dig själv behörigheter på klientnivå:

  1. Om din organisation hanterar resursåtkomst med Microsoft Entra Privileged Identity Management (PIM) eller något annat PIM-verktyg måste den globala administratörsrollen vara aktiv för användaren.

  2. Som global administratörsanvändare utan tilldelning i rothanteringsgruppen för klientorganisationen öppnar du sidan Översikt för Defender för molnet och väljer länken för synlighet för hela klientorganisationen i banderollen.

    Aktivera behörigheter på klientnivå i Microsoft Defender för molnet.

  3. Välj den nya Azure-roll som ska tilldelas.

    Formulär för att definiera behörigheter på klientnivå som ska tilldelas till användaren.

    Dricks

    I allmänhet krävs rollen Säkerhetsadministratör för att tillämpa principer på rotnivå, medan säkerhetsläsaren räcker för att ge synlighet på klientnivå. Mer information om de behörigheter som beviljas av dessa roller finns i den inbyggda rollbeskrivningen för säkerhetsadministratören eller den inbyggda rollbeskrivningen för säkerhetsläsaren.

    Skillnader mellan de här rollerna som är specifika för Defender för molnet finns i tabellen i Roller och tillåtna åtgärder.

    Den organisationsomfattande vyn uppnås genom att tilldela roller på klientorganisationens rothanteringsgruppsnivå.

  4. Logga ut från Azure-portalen och logga sedan in igen.

  5. När du har förhöjd åtkomst öppnar eller uppdaterar du Microsoft Defender för molnet för att kontrollera att du har insyn i alla prenumerationer under din Microsoft Entra-klientorganisation.

Processen med att tilldela dig själv behörigheter på klientnivå utför många åtgärder automatiskt åt dig:

  • Användarens behörigheter utökas tillfälligt.

  • Med hjälp av de nya behörigheterna tilldelas användaren den önskade Azure RBAC-rollen i rothanteringsgruppen.

  • De utökade behörigheterna tas bort.

Mer information om Microsoft Entra-höjningsprocessen finns i Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

Begär behörigheter för hela klientorganisationen när din inte är tillräcklig

När du navigerar till Defender för molnet kan du se en banderoll som varnar dig om att din vy är begränsad. Om du ser den här banderollen väljer du den för att skicka en begäran till den globala administratören för din organisation. I begäran kan du inkludera den roll som du vill tilldelas och den globala administratören fattar ett beslut om vilken roll som ska tilldelas.

Det är den globala administratörens beslut att godkänna eller avvisa dessa begäranden.

Viktigt!

Du kan bara skicka en begäran var sjunde dag.

Så här begär du utökade behörigheter från din globala administratör:

  1. Öppna Microsoft Defender för molnet från Azure-portalen.

  2. Om banderollen "Du ser begränsad information" finns väljer du den.

    Banderoll som informerar en användare om att de kan begära behörigheter för hela klientorganisationen.

  3. I det detaljerade formuläret för begäran väljer du önskad roll och motiveringen för varför du behöver dessa behörigheter.

    Informationssida för att begära behörigheter för hela klientorganisationen från din globala Azure-administratör.

  4. Välj Begär åtkomst.

    Ett e-postmeddelande skickas till den globala administratören. E-postmeddelandet innehåller en länk till Defender för molnet där de kan godkänna eller avvisa begäran.

    Skicka ett e-postmeddelande till den globala administratören för nya behörigheter.

    När den globala administratören har valt Granska begäran och slutför processen skickas beslutet via e-post till den begärande användaren.

Ta bort behörigheter

Följ dessa steg för att ta bort behörigheter från rotklientgruppen:

  1. Gå till Azure-portalen.
  2. I Azure-portalen söker du efter hanteringsgrupper i sökfältet högst upp.
  3. I fönstret Hanteringsgrupper letar du upp och väljer rotgruppen klientorganisation i listan över hanteringsgrupper.
  4. När du är inne i rotgruppen för klientorganisationen väljer du Åtkomstkontroll (IAM) på den vänstra menyn.
  5. I fönstret Åtkomstkontroll (IAM) väljer du fliken Rolltilldelningar . Här visas en lista över alla rolltilldelningar för klientorganisationens rotgrupp.
  6. Granska listan över rolltilldelningar för att identifiera vilken du behöver ta bort.
  7. Välj den rolltilldelning som du vill ta bort (säkerhetsadministratör eller säkerhetsläsare) och välj Ta bort. Se till att du har de behörigheter som krävs för att göra ändringar i rolltilldelningar i klientorganisationens rotgrupp.

Nästa steg

Läs mer om Behörigheter för Defender för molnet på följande relaterade sida: