Gewähren und Anfordern der mandantenweiten Sichtbarkeit

  • Artikel

Es kann sein, dass ein Benutzer mit der Microsoft Entra-Rolle Globaler Administrator mandantenweite Aufgaben durchführen muss, aber nicht über die Azure-Berechtigungen zum Anzeigen der organisationsweiten Informationen in Microsoft Defender für Cloud verfügt. Eine Berechtigungserhöhung ist erforderlich, da Microsoft Entra-Rollenzuweisungen keinen Zugriff auf Azure-Ressourcen gewähren.

Erteilen von mandantenweiten Berechtigungen an sich selbst

So weisen Sie sich selbst Berechtigungen auf Mandantenebene zu

  1. Wenn Ihre Organisation den Ressourcenzugriff über Microsoft Entra Privileged Identity Management (PIM) oder ein anderes PIM-Tool verwaltet, muss die Rolle als globaler Administrator für den Benutzer aktiv sein.

  2. Öffnen Sie als globaler Administrator ohne Zuweisung in der Stammverwaltungsgruppe des Mandanten die Seite Übersicht von Defender für Cloud, und wählen Sie im Banner den Link Mandantenweite Sichtbarkeit aus.

    Enable tenant-level permissions in Microsoft Defender for Cloud.

  3. Wählen Sie die neue Azure-Rolle aus, die Sie zuweisen möchten.

    Form for defining the tenant-level permissions to be assigned to your user.

    Tipp

    Im Allgemeinen ist die Rolle „Sicherheitsadministrator“ erforderlich, um Richtlinien auf der Stammebene anzuwenden, während „Sicherheitsleseberechtigter“ ausreicht, um Sichtbarkeit für die Mandantenebene bereitzustellen. Weitere Informationen zu den Berechtigungen, die durch diese Rollen gewährt werden, finden Sie in der Beschreibung der integrierten Rolle „Sicherheitsadministrator“ bzw. in der Beschreibung der integrierten Rolle „Sicherheitsleseberechtigter“.

    Informationen zu den Unterschieden zwischen diesen spezifischen Defender für Cloud-Rollen finden Sie in der Tabelle unter Rollen und zulässige Aktionen.

    Eine organisationsweite Ansicht lässt sich erzielen, indem Sie Rollen auf Ebene der Stammverwaltungsgruppe des Mandanten zuweisen.

  4. Melden Sie sich vom Azure-Portal ab und dann wieder an.

  5. Wenn Sie erhöhte Zugriffsrechte besitzen, können Sie Microsoft Defender für Cloud öffnen bzw. aktualisieren, um sicherzustellen, dass die Sichtbarkeit für alle Abonnements Ihres Microsoft Entra-Mandanten vorhanden ist.

Bei dem Vorgang, mit dem Sie sich selbst Berechtigungen auf Mandantenebene zuweisen, werden viele Vorgänge automatisch für Sie ausgeführt:

  • Die Benutzerberechtigungen werden vorübergehend erhöht.

  • Mithilfe der neuen Berechtigungen wird der Benutzer der gewünschten Azure-RBAC-Rolle in der Stammverwaltungsgruppe zugewiesen.

  • Die erhöhten Berechtigungen werden entfernt.

Weitere Informationen zur Erhöhung der Microsoft Entra-Rechte finden Sie unter Erhöhen der Zugriffsrechte zum Verwalten aller Microsoft Entra-Abonnements und Verwaltungsgruppen.

Anfordern mandantenweiter Berechtigungen, wenn die eigenen Berechtigungen nicht ausreichen

Wenn Sie zu Defender for Cloud navigieren, sehen Sie möglicherweise ein Banner mit der Warnung, dass Ihre Ansicht eingeschränkt ist. In diesem Fall wählen Sie das Banner aus, um eine Anforderung an den globalen Administrator für Ihre Organisation zu senden. In die Anforderung können Sie die Rolle einschließen, deren Zuweisung Sie wünschen, und der globale Administrator entscheidet, welche Rolle gewährt wird.

Der globale Administrator entscheidet, ob er diese Anforderungen annimmt oder ablehnt.

Wichtig

Sie können nur alle sieben Tage eine Anforderung übermitteln.

So fordern Sie von ihrem globalen Administrator erhöhte Berechtigungen an:

  1. Öffnen Sie im Azure-Portal den Dienst „Microsoft Defender für Cloud“.

  2. Wenn das Banner zur eingeschränkten Anzeige von Informationen angezeigt wird, wählen Sie es aus.

    Banner informing a user they can request tenant-wide permissions.

  3. Wählen Sie im ausführlichen Anforderungsformular die gewünschte Rolle und die Begründung aus, warum Sie diese Berechtigungen benötigen.

    Details page for requesting tenant-wide permissions from your Azure global administrator.

  4. Wählen Sie Zugriff anfordern aus.

    Eine E-Mail wird an den globalen Administrator gesendet. Die E-Mail enthält einen Link zu Defender für Cloud, über den die Anforderung genehmigt oder abgelehnt werden kann.

    Email to the global administrator for new permissions.

    Sobald der globale Administrator Anforderung überprüfen auswählt und den Prozess abschließt, wird die Entscheidung per E-Mail an den anfordernden Benutzer gesendet.

Nächste Schritte

Weitere Informationen zu Defender für Cloud-Berechtigungen finden Sie auf der folgenden Seite: