開啟雲端基礎結構權利管理 （CIEM）

備註

自 2025 年 4 月 1 日起，Microsoft Entra Permissions Management 將不再可供購買。

2025 年 10 月 1 日，Microsoft將淘汰並停止對本產品的支援。 深入了解 Microsoft Entra 權限管理的淘汰。

Microsoft Entra Permissions Management 的淘汰不會影響 Microsoft Defender for Cloud 中現有的 CIEM 功能。 深入瞭解 適用於雲端的 Microsoft Defender 中 CIEM 的未來。

Microsoft適用於雲端的 Defender 提供雲端基礎結構權利管理 （CIEM） 安全性模型，可協助組織管理及控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案的重要元件，可以讓您清楚了解哪些人或項目擁有存取特定資源的權限。 其可確保存取權限遵守最低權限原則 (PoLP)，其中使用者或工作負載身分識別 (例如應用程式和服務) 只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的權限，包括 Azure、AWS 和 GCP。

開始之前

• 您必須在 Azure 訂用帳戶、AWS 帳戶或 GCP 專案上啟用 Defender CSPM。

• 您必須擁有下列 Azure 角色和許可權，視雲端環境而定，才能啟用 Defender CSPM 的許可權管理 （CIEM） 擴充功能：

  • AWS 和 GCP：您的租用戶的安全性系統管理員角色和 Application.ReadWrite.All 權限。
  • Azure：訂用帳戶的安全性系統管理員角色和 Microsoft.Authorization/roleAssignments/write 權限。

• 僅限 AWS：將您的 AWS 帳戶連接到雲端防護者。

• 僅限 GCP：將您的 GCP 專案連線到適用於雲端的 Defender。

啟用適用於 Azure 的 CIEM

當您在 Azure 帳戶上啟用 Defender CSPM 方案時，Azure CSPM標準會自動指派給您的訂用帳戶。 Azure CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。

停用許可權管理 （CIEM） 時，不會計算 Azure CSPM 標準內的 CIEM 建議。

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 瀏覽至 [環境設定]。

4. 選取相關的訂閱。

5. 找出 Defender CSPM 方案，然後選取 [設定]。

6. 啟用 [權限管理 (CIEM)]。

   

7. 選取繼續。

8. 選擇 [儲存]。

適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。

Azure 建議清單：

• Azure 過度佈建的身分識別應該只有必要的權限

• 應撤銷 Azure 訂用帳戶中非使用中身分識別的權限

啟用 AWS 的 CIEM

當您在 AWS 帳戶上啟用 Defender CSPM 方案時，AWS CSPM標準會自動指派給您的訂用帳戶。 AWS CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。 停用許可權管理時，不會計算 AWS CSPM 標準內的 CIEM 建議。

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 瀏覽至 [環境設定]。

4. 選取相關的 AWS 帳戶。

5. 找出 Defender CSPM 方案，然後選取 [設定]。

   

6. 啟用 [權限管理 (CIEM)]。

7. 選取 [設定存取權]。

8. 選擇部署方法。

9. 使用畫面上的指示，在您的 AWS 環境中執行更新的指令碼。

10. 勾選 [CloudFormation 範本已在 AWS 環境 (堆疊) 上更新] 核取方塊。

    

11. 選取 [檢閱並產生]。

12. 選取更新。

適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。

AWS 建議清單：

• AWS 過度佈建的身分識別應該只有必要的權限

• AWS 帳戶中非使用中身分識別的權限應撤銷

啟用 GCP 的 CIEM

當您在 GCP 帳戶上啟用 Defender CSPM 方案時，GCP CSPM標準會自動指派給您的訂用帳戶。 GCP CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。

停用許可權管理 （CIEM） 時，不會計算 GCP CSPM 標準內的 CIEM 建議。

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 瀏覽至 [環境設定]。

4. 選取相關的 GCP 專案。

5. 找出 Defender CSPM 方案，然後選取 [設定]。

   

6. 將 [許可權管理] [CIEM] 切換為 [開啟]。

7. 選擇 [儲存]。

8. 選取 [下一步：設定存取權]。

9. 選取相關的權限類型。

10. 選擇部署方法。

11. 使用畫面上的指示，在您的 GCP 環境上執行更新的 Cloud Shell 或 Terraform 指令碼。

12. 將檢查新增至 [我已執行部署範本以讓變更生效] 核取方塊。

    

13. 選取 [檢閱並產生]。

14. 選取更新。

適用的 CIEM 建議會在數小時內出現在您的訂用帳戶上。

GCP 建議清單：

• GCP 過度佈建的身分識別應只有必要的權限

• 應該撤銷 GCP 專案中非使用中身分識別的權限

已知的限制

在加入 Microsoft Defender for Cloud 之前已加入至許可權管理的 AWS 和 GCP 帳戶，無法透過 Microsoft Defender for Cloud 進行整合。