你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
注释
自 2025 年 4 月 1 日起,Microsoft Entra 权限管理将不再可供购买。
2025 年 10 月 1 日,Microsoft将停用并停止对该产品的支持。 详细了解 Microsoft Entra 权限管理的停用。
弃用 Microsoft Entra 权限管理不会影响 Microsoft Defender for Cloud 中的任何现有 CIEM 功能。 详细了解 Microsoft Defender for Cloud 中 CIEM 的未来。
Microsoft Defender for Cloud 与 Microsoft Entra Permissions Management(权限管理)集成,提供云基础设施权限管理(CIEM)安全模型,帮助组织管理和控制其云基础设施中的用户访问和权限。 CIEM 是云原生应用程序保护平台 (CNAPP) 解决方案的关键组件,可洞察谁或什么有权访问特定资源。 CIEM 确保访问权限遵循最低特权原则(PoLP),其中用户或工作负荷标识(如应用和服务)仅接收执行其任务所需的最低访问权限级别。 CIEM 还可帮助组织跨多个云环境(包括 Azure、AWS 和 GCP)监视和管理权限。
将权限管理与 Defender for Cloud (CNAPP) 集成可增强云安全性,防止过度权限或配置不当导致的安全漏洞。 权限管理持续监视和管理云权利,帮助发现攻击面、检测威胁、适当大小的访问权限和维护合规性。 此集成增强了 Defender for Cloud 保护云原生应用程序和保护敏感数据的功能。
此集成将源自 Microsoft Entra 权限管理套件的以下见解引入 Microsoft Defender for Cloud 门户。 有关详细信息,请参阅 特征矩阵。
常见用例和场景
权限管理功能作为 Defender 云安全状况管理 (CSPM) 计划中的宝贵组件集成。 集成功能是基础功能,在 Microsoft Defender for Cloud 中提供基本功能。 借助这些新增功能,可以跟踪权限分析、活动标识的未使用权限以及过度权限标识,并缓解这些权限,以支持最低特权的最佳做法。
该集成将在 Defender for Cloud 中的“建议”页面上的“管理访问权限和权限”安全控制下创建建议。
已知的限制
载入 Defender for Cloud 之前已加入权限管理的 AWS 和 GCP 帐户无法通过 Microsoft Defender for Cloud 集成。
特征矩阵
集成功能是 Defender CSPM 计划的一部分,不需要权限管理许可证。 若要详细了解可从权限管理接收的其他功能,请参阅功能矩阵:
| 类别 | 能力 | Defender for Cloud (云服务防御者) | 权限管理 |
|---|---|---|---|
| 发现 | Azure、AWS、GCP 中风险标识(包括未使用的标识、过度预配的活动标识、超级标识)的权限发现 | ✓ | ✓ |
| 发现 | 多云环境(Azure、AWS、GCP)和所有标识的权限蠕变指数 (PCI) | ✓ | ✓ |
| 发现 | Azure、AWS、GCP 中所有标识、组的权限发现 | ❌ | ✓ |
| 发现 | Azure、AWS、GCP 中的权限使用情况分析、角色/策略分配 | ❌ | ✓ |
| 发现 | 对标识提供者的支持(包括 AWS IAM 标识中心、Okta、GSuite) | ❌ | ✓ |
| 修正 | 自动删除权限 | ❌ | ✓ |
| 修正 | 通过附加/解除权限来调整身份 | ❌ | ✓ |
| 修正 | 基于身份、组等活动生成的自定义角色和 AWS 策略。 | ❌ | ✓ |
| 修正 | 通过 Microsoft Entra 管理中心、API 和 ServiceNow 应用,按需设置人类和工作负载标识的限时访问权限。 | ❌ | ✓ |
| 显示器 | 机器学习支持的异常情况检测 | ❌ | ✓ |
| 显示器 | 基于活动和规则的警报 | ❌ | ✓ |
| 显示器 | 上下文丰富的取证报告(例如 PCI 历史记录报告、用户权利和使用情况报告等) | ❌ | ✓ |
相关内容
了解如何在 Microsoft Defender for Cloud 中 启用权限管理 。