共用方式為


開啟雲端基礎結構權利管理 (CIEM)

備註

自 2025 年 4 月 1 日起,Microsoft Entra Permissions Management 將不再可供購買。

2025 年 10 月 1 日,Microsoft將淘汰並停止對本產品的支援。 深入了解 Microsoft Entra 權限管理的淘汰

Microsoft Entra Permissions Management 的淘汰不會影響 Microsoft Defender for Cloud 中現有的 CIEM 功能。 深入瞭解 適用於雲端的 Microsoft Defender 中 CIEM 的未來

Microsoft適用於雲端的 Defender 提供雲端基礎結構權利管理 (CIEM) 安全性模型,可協助組織管理及控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案的重要元件,可以讓您清楚了解哪些人或項目擁有存取特定資源的權限。 其可確保存取權限遵守最低權限原則 (PoLP),其中使用者或工作負載身分識別 (例如應用程式和服務) 只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的權限,包括 Azure、AWS 和 GCP。

開始之前

啟用適用於 Azure 的 CIEM

當您在 Azure 帳戶上啟用 Defender CSPM 方案時,Azure CSPM標準會自動指派給您的訂用帳戶。 Azure CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。

停用許可權管理 (CIEM) 時,不會計算 Azure CSPM 標準內的 CIEM 建議。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 瀏覽至 [環境設定]

  4. 選取相關的訂閱。

  5. 找出 Defender CSPM 方案,然後選取 [設定]

  6. 啟用 [權限管理 (CIEM)]

    顯示權限管理切換位置的螢幕擷取畫面。

  7. 選取繼續

  8. 選擇 [儲存]。

適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。

Azure 建議清單:

  • Azure 過度佈建的身分識別應該只有必要的權限

  • 應撤銷 Azure 訂用帳戶中非使用中身分識別的權限

啟用 AWS 的 CIEM

當您在 AWS 帳戶上啟用 Defender CSPM 方案時,AWS CSPM標準會自動指派給您的訂用帳戶。 AWS CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。 停用許可權管理時,不會計算 AWS CSPM 標準內的 CIEM 建議。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 瀏覽至 [環境設定]

  4. 選取相關的 AWS 帳戶。

  5. 找出 Defender CSPM 方案,然後選取 [設定]

    顯示 AWS 帳戶和已啟用 Defender CSPM 方案的螢幕擷取畫面,以及設定按鈕所在的位置。

  6. 啟用 [權限管理 (CIEM)]

  7. 選取 [設定存取權]

  8. 選擇部署方法。

  9. 使用畫面上的指示,在您的 AWS 環境中執行更新的指令碼。

  10. 勾選 [CloudFormation 範本已在 AWS 環境 (堆疊) 上更新] 核取方塊。

    顯示核取方塊在畫面中位置的螢幕擷取畫面。

  11. 選取 [檢閱並產生]

  12. 選取更新

適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。

AWS 建議清單:

  • AWS 過度佈建的身分識別應該只有必要的權限

  • AWS 帳戶中非使用中身分識別的權限應撤銷

啟用 GCP 的 CIEM

當您在 GCP 帳戶上啟用 Defender CSPM 方案時,GCP CSPM標準會自動指派給您的訂用帳戶。 GCP CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。

停用許可權管理 (CIEM) 時,不會計算 GCP CSPM 標準內的 CIEM 建議。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 瀏覽至 [環境設定]

  4. 選取相關的 GCP 專案。

  5. 找出 Defender CSPM 方案,然後選取 [設定]

    螢幕擷取畫面顯示要選取 GCP 專案的 Defender CSPM 方案設定的位置。

  6. 將 [許可權管理] [CIEM] 切換為 [開啟]。

  7. 選擇 [儲存]。

  8. 選取 [下一步:設定存取權]

  9. 選取相關的權限類型。

  10. 選擇部署方法。

  11. 使用畫面上的指示,在您的 GCP 環境上執行更新的 Cloud Shell 或 Terraform 指令碼。

  12. 將檢查新增至 [我已執行部署範本以讓變更生效] 核取方塊。

    顯示需要選取的核取方塊螢幕擷取畫面。

  13. 選取 [檢閱並產生]

  14. 選取更新

適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。

GCP 建議清單:

  • GCP 過度佈建的身分識別應只有必要的權限

  • 應該撤銷 GCP 專案中非使用中身分識別的權限

已知的限制

在加入 Microsoft Defender for Cloud 之前已加入至許可權管理的 AWS 和 GCP 帳戶,無法透過 Microsoft Defender for Cloud 進行整合。