備註
自 2025 年 4 月 1 日起,Microsoft Entra Permissions Management 將不再可供購買。
2025 年 10 月 1 日,Microsoft將淘汰並停止對本產品的支援。 深入了解 Microsoft Entra 權限管理的淘汰。
Microsoft Entra Permissions Management 的淘汰不會影響 Microsoft Defender for Cloud 中現有的 CIEM 功能。 深入瞭解 適用於雲端的 Microsoft Defender 中 CIEM 的未來。
Microsoft Defender for Cloud 與 Microsoft Entra Permissions Management (Permissions Management ) 整合提供雲端基礎結構權利管理 (CIEM) 安全性模型,可協助組織管理和控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案中的關鍵元件,可提供對誰或什麼可以存取特定資源的可見性。 CIEM 可確保訪問許可權遵循最低許可權原則(PoLP),其中使用者或工作負載身分識別,例如應用程式和服務,只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的權限,包括 Azure、AWS 和 GCP。
將許可權管理與適用於雲端的Defender整合可藉由防止過度許可權或設定錯誤所造成的安全性缺口,加強雲端安全性。 許可權管理會持續監視及管理雲端權利,協助探索受攻擊面、偵測威脅、適當大小的訪問許可權,以及維護合規性。 這項整合可增強適用於雲端的Defender功能,以保護雲端原生應用程式及保護敏感數據。
這項整合會將下列衍生自 Microsoft Entra 權限管理套件的見解引入 Microsoft Defender for Cloud 入口網站。 如需詳細資訊,請參閱 功能矩陣。
常見的使用案例
許可權管理功能會整合為 Defender 雲端安全性狀態管理 (CSPM) 方案中的重要元件。 整合式功能是核心,提供 Microsoft Defender for Cloud 的基本功能。 您可以透過這些新增的功能,追蹤權限分析、使用中身分識別的未使用權限,以及過度權限的身分識別,並減輕其支援最低權限的最佳做法。
整合會在適用於雲端的 Defender 的 [建議] 頁面上的 [管理存取權與權限] 安全性控制下建立建議。
已知的限制
在加入 Microsoft Defender for Cloud 之前已加入至許可權管理的 AWS 和 GCP 帳戶,無法透過 Microsoft Defender for Cloud 進行整合。
特徵矩陣
整合功能隨附於 Defender CSPM 方案,且不需要許可權管理授權。 若要深入瞭解您可以從許可權管理接收的其他功能,請參閱功能矩陣:
| 類別 | 能力 | 雲端防護者 (Defender for Cloud) | 權限管理 |
|---|---|---|---|
| 探索 | Azure、AWS、GCP 中具風險身分識別的權限探索 (包括未使用的身分識別、過度佈建的使用中身分識別、進階身分識別) | ✓ | ✓ |
| 探索 | 多重雲端環境 (Azure、AWS、GCP) 的權限蔓延指標 (PCI) 和所有身分識別 | ✓ | ✓ |
| 探索 | Azure、AWS、GCP 中所有身分識別、群組的權限探索 | ❌ | ✓ |
| 探索 | Azure 中的許可權使用分析、角色/原則指派、AWS、GCP | ❌ | ✓ |
| 探索 | 支持識別提供者(包括 AWS IAM 身分識別中心、Okta、GSuite) | ❌ | ✓ |
| 補救 | 自動刪除許可權 | ❌ | ✓ |
| 補救 | 藉由增加或移除許可權來修復身份 | ❌ | ✓ |
| 補救 | 根據身分識別、群組等活動的自訂角色/AWS 原則產生。 | ❌ | ✓ |
| 補救 | 透過 Microsoft Entra 管理中心、API、ServiceNow 應用程式,按需并具時間限制地存取人員及工作負載身分的許可權。 | ❌ | ✓ |
| 顯示器 | 機器學習服務支持的異常偵測 | ❌ | ✓ |
| 顯示器 | 以活動為基礎的規則型警示 | ❌ | ✓ |
| 顯示器 | 內容豐富的鑑識報告(例如PCI歷程記錄報告、用戶權利和使用報告等) | ❌ | ✓ |
相關內容
瞭解如何在 Microsoft Defender for Cloud 中 啟用許可權管理 。