備註
自 2025 年 4 月 1 日起,Microsoft Entra Permissions Management 將不再可供購買。
2025 年 10 月 1 日,Microsoft將淘汰並停止對本產品的支援。 深入了解 Microsoft Entra 權限管理的淘汰。
Microsoft Entra Permissions Management 的淘汰不會影響 Microsoft Defender for Cloud 中現有的 CIEM 功能。 深入瞭解 適用於雲端的 Microsoft Defender 中 CIEM 的未來。
Microsoft適用於雲端的 Defender 提供雲端基礎結構權利管理 (CIEM) 安全性模型,可協助組織管理及控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案的重要元件,可以讓您清楚了解哪些人或項目擁有存取特定資源的權限。 其可確保存取權限遵守最低權限原則 (PoLP),其中使用者或工作負載身分識別 (例如應用程式和服務) 只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的權限,包括 Azure、AWS 和 GCP。
開始之前
您必須在 Azure 訂用帳戶、AWS 帳戶或 GCP 專案上啟用 Defender CSPM。
您必須擁有下列 Azure 角色和許可權,視雲端環境而定,才能啟用 Defender CSPM 的許可權管理 (CIEM) 擴充功能:
- AWS 和 GCP:您的租用戶的安全性系統管理員角色和 Application.ReadWrite.All 權限。
- Azure:訂用帳戶的安全性系統管理員角色和 Microsoft.Authorization/roleAssignments/write 權限。
僅限 AWS:將您的 AWS 帳戶連接到雲端防護者。
僅限 GCP:將您的 GCP 專案連線到適用於雲端的 Defender。
啟用適用於 Azure 的 CIEM
當您在 Azure 帳戶上啟用 Defender CSPM 方案時,Azure CSPM標準會自動指派給您的訂用帳戶。 Azure CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。
停用許可權管理 (CIEM) 時,不會計算 Azure CSPM 標準內的 CIEM 建議。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取相關的訂閱。
找出 Defender CSPM 方案,然後選取 [設定]。
啟用 [權限管理 (CIEM)]。
選取繼續。
選擇 [儲存]。
適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。
Azure 建議清單:
Azure 過度佈建的身分識別應該只有必要的權限
應撤銷 Azure 訂用帳戶中非使用中身分識別的權限
啟用 AWS 的 CIEM
當您在 AWS 帳戶上啟用 Defender CSPM 方案時,AWS CSPM標準會自動指派給您的訂用帳戶。 AWS CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。 停用許可權管理時,不會計算 AWS CSPM 標準內的 CIEM 建議。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取相關的 AWS 帳戶。
找出 Defender CSPM 方案,然後選取 [設定]。
啟用 [權限管理 (CIEM)]。
選取 [設定存取權]。
選擇部署方法。
使用畫面上的指示,在您的 AWS 環境中執行更新的指令碼。
勾選 [CloudFormation 範本已在 AWS 環境 (堆疊) 上更新] 核取方塊。
選取 [檢閱並產生]。
選取更新。
適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。
AWS 建議清單:
AWS 過度佈建的身分識別應該只有必要的權限
AWS 帳戶中非使用中身分識別的權限應撤銷
啟用 GCP 的 CIEM
當您在 GCP 帳戶上啟用 Defender CSPM 方案時,GCP CSPM標準會自動指派給您的訂用帳戶。 GCP CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。
停用許可權管理 (CIEM) 時,不會計算 GCP CSPM 標準內的 CIEM 建議。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取相關的 GCP 專案。
找出 Defender CSPM 方案,然後選取 [設定]。
將 [許可權管理] [CIEM] 切換為 [開啟]。
選擇 [儲存]。
選取 [下一步:設定存取權]。
選取相關的權限類型。
選擇部署方法。
使用畫面上的指示,在您的 GCP 環境上執行更新的 Cloud Shell 或 Terraform 指令碼。
將檢查新增至 [我已執行部署範本以讓變更生效] 核取方塊。
選取 [檢閱並產生]。
選取更新。
適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。
GCP 建議清單:
GCP 過度佈建的身分識別應只有必要的權限
應該撤銷 GCP 專案中非使用中身分識別的權限
已知的限制
在加入 Microsoft Defender for Cloud 之前已加入至許可權管理的 AWS 和 GCP 帳戶,無法透過 Microsoft Defender for Cloud 進行整合。