Partilhar via

Gerir escopos cloud e controlo de acesso unificado baseado em funções

Observação

Esta capacidade está atualmente em pré-visualização.
Para detalhes sobre lacunas e restrições atuais, consulte Limitações conhecidas.

Os escopos na nuvem e o controlo de acesso unificado baseado em funções (RBAC unificado) no portal Microsoft Defender permitem segmentar recursos multicloud (Azure, AWS, GCP e fontes DevOps/registo ligadas) em agrupamentos significativos e aplicar acesso com privilégios mínimos de forma consistente. Eles fornecem:

  • Gestão centralizada de permissões de segurança a nível de produto
  • Escopo granular em ambientes de cloud heterogéneos
  • Filtragem persistente em inventário, postura, vulnerabilidades e gestão de exposição
  • Separação clara do Azure (plataforma) RBAC

Importante

O RBAC unificado no portal Defender é distinto do Azure RBAC. As permissões não fluem entre os portais; deve configurar o RBAC unificado separadamente.

Conceitos-chave

Concept Description
Âmbito da nuvem Agrupamento lógico de uma ou mais primitivas de ambiente cloud/nativo (por exemplo: subscrições Azure, contas AWS, projetos GCP, organizações DevOps, registos) alinhadas com a estrutura de negócio ou operacional.
Papel unificado do RBAC Uma função de segurança do portal Defender que define grupos de permissões (operações de segurança / estado de segurança) mais atribuições dentro de um escopo.
Filtro de âmbito O filtro global de UX permite aos utilizadores focar as visualizações de dados em escopos de cloud ou grupos de dispositivos selecionados.
Filtro de ambientes Filtro secundário para análise aprofundada dentro de ambientes individuais (opcionalmente num âmbito selecionado).

Principais benefícios

  • Evite um acesso amplo a todo o inquilino; Fazer cumprir o menor privilégio
  • Alinhar as operações de segurança a unidades de negócio, geografia, domínios de aplicação ou modelos de propriedade
  • Simplificar a delegação multicloud com padrões de âmbito repetíveis
  • Mantenha uma filtragem contextual consistente ao explorar experiências
  • Permissões de segurança operacional separadas das construções de gestão Azure

O que são os telescópios de nuvem?

Os escopos cloud são agrupamentos lógicos ao nível do tenant de primitivas heterogéneas do ambiente cloud (subscrições Azure, contas AWS, projetos GCP, organizações DevOps, registos de contentores, repositórios de artefactos, entre outros). Em vez de espelhar apenas a hierarquia nativa de um fornecedor, um scope cloud permite-lhe montar apenas os ambientes que importam para um propósito operacional ou empresarial específico — e depois usar esse agrupamento de forma consistente para:

  • Atribuição de permissão (RBAC unificado)
  • Filtragem de dados através do inventário, postura, vulnerabilidades, iniciativas, caminhos de ataque e mapa
  • Relatórios e fronteiras de gestão delegada

Propriedades principais:

  • Multicloud & multi-fonte de dados: Um único âmbito pode misturar fontes de registo Azure + AWS + GCP + DevOps/org.
  • Não hierárquico e flexível: A pertença é uma lista explícita; não herda de grupos de gestão Azure ou organizações AWS.
  • Muitos-para-muitos: Um ambiente pode pertencer a múltiplos âmbitos; um âmbito pode conter ambientes ilimitados.
  • Controlo manual de membros: Ambientes recém-ligados não são adicionados automaticamente — evitando a expansão acidental de privilégios.
  • Superfície de filtro consistente: Uma vez selecionado, um escopo persiste ao navegar nas experiências suportadas no portal Defender.

Como diferem os telescópios dos grupos de dispositivos:

  • Os grupos de dispositivos focam-se na segmentação centrada no endpoint / máquina (historicamente para Defender para cenários de endpoint e VM).
  • Os escopos de cloud abrangem contextos mais amplos de recursos e exposição na cloud (postura, caminhos de ataque, inventário de ativos multicloud).
  • As experiências podem apresentar ambas categorias; cada categoria aplica-se quando semanticamente relevante (por exemplo, separador Dispositivos vs separador Nuvem).

Padrões comuns de design para criar miras:

  • Unidade ou divisão de negócio (Finanças, Retalho, I&D)
  • Linha de Aplicações / produtos (Pagamentos-Serviço, Mobile-App)
  • Fase de ambiente (Produção, Encenação, Teste)
  • Fronteira regional / regulamentar (Residência de Dados da UE, US-HIPAA)
  • M&A ou iniciativa isolada (AcquiredCo-Integration)
  • Cargas de trabalho de alto valor / sensíveis (Joias da Coroa)

Relação com o RBAC unificado:

  • Os papéis RBAC unificados referem-se a um ou mais escopos (ou "Todos").
  • A visibilidade efetiva dos dados na cloud e as ações permitidas de um utilizador são a união de todos os âmbitos, ligados às suas funções atribuídas.
  • Alterações no âmbito (adição ou remoção de ambientes) alteram imediatamente o acesso para utilizadores que dependem desse âmbito.
  • Privilégio mínimo: A granularidade permite restringir permissões poderosas (por exemplo, responder ou gerir) apenas aos ambientes pretendidos.

Orientação de planeamento:

  • Comece com um âmbito geral (fronteiras de grandes organizações / regiões).
  • Validar a propriedade operacional e rever a cadência de revisão.
  • Introduza escopos mais finos apenas quando o risco, a confidencialidade ou a conformidade o exigirem.
  • Documente o propósito e o responsável de cada escopo para apoiar o ciclo de vida e a auditoria.

Pré-requisitos

  • Administrador Global ou Administrador de Segurança (para configuração)
  • Acesso ao portal Microsoft Defender
  • Ambientes conectados de cloud / DevOps / registo

1. Criar escopos de nuvem

Características:

  • Escopos ilimitados
  • Um âmbito pode incluir múltiplos ambientes heterogéneos
  • Um ambiente pode pertencer a múltiplos escopos
  • A adesão não é automática; Ambientes recentemente ligados devem ser explicitamente adicionados

Criar um escopo (assistente)

Siga estes passos para criar um escopo de nuvem.

Navegação: No portal Defender, vá a Permissões do > Sistema > Microsoft Defender XDR > Scopes.

  1. Selecionar Adicionar escopo da nuvem. Captura de ecrã da página de Permissões e Funções com o botão 'Adicionar escopo da nuvem' destacado.
  2. Introduza o nome e a descrição.
    Captura de ecrã da etapa de criação do scope na cloud, onde introduz o nome do scope e a descrição.
  3. Selecione primitivas do ambiente (individualmente ou através de filtros).
    Captura de ecrã da seleção das primitivas do ambiente.
  4. Rever e terminar.
    Captura de ecrã da análise do ecrã de configuração cloud scope.

2. Ativar os escopos em nuvem (uma única vez)

Antes de os escopos poderem ser utilizados nas atribuições de funções, devem ser ativados através de um assistente de configuração. Fazê-lo:

  • Enumera os roles de RBAC unificados existentes que fazem referência a fontes de dados do Microsoft Defender para a Cloud
  • Permite-te mapear esses papéis para escopos de nuvem escolhidos
  • Realça a gestão e permissões sensíveis (por exemplo: ações de resposta)
  • Finaliza a ativação (irreversível; as alterações futuras são feitas por gestão normal)

Diretrizes:

  • Crie pelo menos um telescópio se não existir nenhum
  • Revise quais as funções que incluem permissões ao nível de gestão (estas estendem as capacidades relacionadas com VMs)
  • Aprovar para completar a ativação

Se ainda não existirem grupos de dispositivos ou funções RBAC unificadas, o assistente pode ser ignorado até que seja necessário.

Assistente de ativação e atribuição em massa

  1. Quando solicitado por um banner, selecione Ativar escopos de nuvem para executar o assistente. Captura de ecrã de um banner no topo do ecrã de Permissões e funções, com o botão 'Ativar âmbitos na nuvem' destacado. Ao selecioná-lo, o assistente será iniciado.
  2. Defina permissões para funções atribuídas através de escopos de nuvem. Captura de ecrã da atribuição de função ao âmbito.
  3. Termina de ativar a atribuição do Cloud Scopes. Captura de ecrã do ecrã de aprovação da ativação.

3. Definir papéis e atribuições unificados do RBAC

Siga estes passos para ativar o assistente de funções e definir funções e atribuições unificadas do RBAC.

Navegação: No portal Defender, vá a Sistema de Permissões > Microsoft Defender XDR > Funções >.

  1. Selecione Criar função personalizada.

  2. Escolha o nome e a descrição da função.

  3. Escolha grupos de permissões (selecione um ou ambos):

    • Operações de segurança: incidentes, alertas e inventário na cloud
    • Postura de segurança: recomendações, gestão de vulnerabilidades, pontuação de segurança, características de exposição/postura Captura de ecrã da etapa de permissões para a criação de funções.

  4. Adiciona uma tarefa.

    • Atribuir utilizadores/grupos
    • Fontes de dados selecionadas: Todos / MDC / Gestão de Exposição (XSPM)
    • Selecionar a opção de escopo:
      • Todos os telescópios de nuvem
      • Personalizado (escolha âmbitos específicos)

    Observação

    Para acesso à postura, inclua a fonte de dados: Gestão de Exposição (XSPM). Algumas funcionalidades do Microsoft Defender para Cloud surgem nas vistas de Gestão de Exposição.

    Captura de ecrã do ecrã de atribuição de utilizadores e seleção da fonte de dados, com o botão 'Criar atribuição' destacado. Captura de ecrã do ecrã de seleção do âmbito, onde podes escolher quais os âmbitos de nuvem a incluir.

  5. Rever e terminar.

4. Utilizar filtros de âmbito e ambiente

Filtro de âmbito (global)

O filtro de âmbitos (escopos da nuvem + grupos de dispositivos) persiste através de:

  • Recomendações (Separador Cloud / Contexto do separador Dispositivos)
  • Iniciativas
  • Gestão de vulnerabilidades
  • Inventário na cloud
  • Visão geral da cloud e painéis de iniciativas
  • Caminhos de ataque
  • Vista de mapa

Comportamento:

  • Os utilizadores veem apenas os valores para os quais estão autorizados
  • A filtragem por grupos de dispositivos aplica-se quando os dados centrados no dispositivo são relevantes
  • Experiências mistas aplicam a categoria de âmbito contextualmente (por exemplo: Recomendações: grupos de dispositivos afetam o painel Dispositivos; os âmbitos de nuvem afetam o painel Nuvem)

Para aceder ao filtro de Escopo:

  1. Navegue até ao painel de visão geral do Defender for Cloud.
  2. Selecione o filtro de Escopo. Captura de ecrã do painel de visão geral do Defender for Cloud, com o link da ação 'Filtro de Âmbito' destacado.
  3. Aplique os filtros desejados. Captura de ecrã do comportamento de filtragem contextual para o filtro de escopos.

Filtro de ambiente

Finalidade: Este filtro permite investigação profunda, mitigação e foco em remediação.

Características:

  • Disponível em iniciativas na nuvem, painéis de controlo de visão geral, inventário na nuvem, recomendações na nuvem
  • Mostra apenas ambientes permitidos
  • Sem escopo selecionado: lista todos os ambientes acessíveis
  • Com um âmbito selecionado: restrito aos membros desse âmbito
  • Ordens de aplicação:
    • Alcance primeiro, depois ambiente (refinamento de subconjuntos)
    • Primeiro o ambiente, depois o âmbito (a seleção de âmbito sobrepõe-se ao conjunto anterior)

Para aceder ao filtro de Ambiente:

  1. Navegue até ao painel de visão geral do Defender for Cloud.
  2. Selecione o filtro de ambiente. Captura de ecrã do dashboard de Visão geral do Defender for Cloud, com o link de ação 'Filtro de Ambiente' destacado.
  3. Aplique os filtros desejados. Captura de ecrã do ecrã de seleção do filtro dos ambientes.

5. Gestão contínua

Após a criação e ativação podes:

  • Adicionar/remover ambientes dos âmbitos
  • Ajustar as atribuições de funções
  • Utilização de auditoria (quem tem acesso a que âmbito)
  • Revise periodicamente permissões ao nível de gestão
  • Remover escopos obsoletos para reduzir a complexidade

Melhores práticas

Practice Fundamentação
Alinhar os âmbitos a fronteiras estáveis de negócio ou operacionais Reduz o churn e o redesenho
Use nomes claros e descritivos (BU-App-Region) Facilita auditoria e delegação
Fazer cumprir o privilégio mínimo Limita o raio de explosão
Agendar revisões periódicas de acesso Deteta desvio de permissões
Âmbito, propósito e proprietário do documento Apoia a governação ao longo do ciclo de vida
Evite sobreposições excessivas de âmbito Minimiza a complexidade e o esforço de avaliação

Primitivas de ambiente suportadas (atualmente)

  • Contas AWS
  • Contas Principais AWS
  • Azure Assinaturas
  • Projetos GCP
  • Azure DevOps Organizations
  • Organizações do GitHub
  • Grupos GitLab
  • Organizações Docker Hub
  • JFrog Artifactory

(Primitivas adicionais como grupos de gestão e recursos de contentores planeados.)

Ativos flutuantes (sem âmbito definido)

Certos tipos de ativos permanecem visíveis globalmente (não limitados pelo âmbito) devido ao modelo de grafo ou à ausência de âncoras hierárquicas:

  • Utilizadores e grupos do Microsoft Entra ID
  • Utilizadores e grupos de GCP
  • Entidades de Serviço
  • Imagens de contêiner
  • Endereços IP
  • Certificates
  • Chaves privadas SSH
  • Segredos e Identidades Geridas (algumas podem tornar-se escopáveis quando os IDs de recursos estiverem disponíveis)

Estes aparecem no inventário, rotas de ataque, mapas e experiências de exposição relacionadas para todos os utilizadores autorizados do portal.

Problemas conhecidos & limitações

Area Limitação / Estado
Separação dos modelos RBAC O RBAC unificado é independente do Azure RBAC (deve ser configurado separadamente).
Suporte de API Somente hoje, o portal está disponível para operações CRUD no âmbito e atribuições; a API estará disponível em breve.
Seleção dinâmica Regras de inclusão condicional/dinâmica ainda não suportadas.
Filtragem em XDR (incidentes/alertas) O filtro de escopos globais não está totalmente integrado; apenas herança parcial ao nível da tabela.
Cobertura cruzada de experiências Algumas pontuações agregadas (por exemplo: 'exposure score' e variantes do Secure Score) podem não aplicar completamente o filtro de escopo.
Restrições de visualização As visões enriquecidas com ativos respeitam o âmbito de alcance, mas podem restringir os detalhes relacionados aos ativos devido às limitações de permissões.
Elementos primitivos do futuro Grupos de gestão, primitivas adicionais de contentores/recursos planeadas.

Perguntas frequentes

P: Como é que os âmbitos de cloud melhoram o alinhamento operacional entre unidades de negócio?

Os escopos cloud melhoram o alinhamento operacional entre unidades de negócio ao permitir que os administradores agrupem recursos de acordo com o valor do negócio, função ou estrutura organizacional. Este agrupamento direcionado permite um controlo de acesso e visibilidade personalizados, garantindo que cada unidade de negócio recebe as permissões e supervisão específicas que necessita. Como resultado, as equipas podem operar de forma eficiente nos seus ambientes designados, enquanto os administradores mantêm limites claros e flexibilidade na gestão de recursos multicloud. Esta abordagem simplifica as operações e apoia os objetivos estratégicos em toda a organização.

P: O que é o RBAC unificado no portal Defender?

O controlo de acesso unificado baseado em papéis (controlo unificado baseado em papéis) é um modelo centralizado de permissões no portal Defender que permite aos administradores gerir o acesso dos utilizadores através de múltiplas soluções de segurança. É distinto do controlo de acesso baseado em funções do Azure e requer uma configuração separada.

P: O que são os telescópios Cloud?

Os âmbitos de cloud são um método de delimitação sensível à nuvem que permite aos administradores agrupar recursos por unidades de negócio, valor ou função estratégica. Isto permite controlo de acesso personalizado e visibilidade em ambientes multicloud.

P: Como gerencio os Cloud Scopes?

Navegar para: Definições → Permissões → Microsoft XDR Funções → Funções → aba de Cloud scopes

A partir daí, pode:

  • Criar escopos ilimitados
  • Incluir múltiplos ambientes por âmbito
  • Atribuir ambientes a múltiplos escopos
  • Gerir escopos com permissões CRUD completas (apenas administrador global)

P: Como posso ativar e atribuir Cloud Scopes?

  • Use o assistente de ativação para configurar permissões para fontes de dados do Defender for Cloud
  • Atribuir papéis aos âmbitos durante este processo
  • A ativação é uma configuração única e deve ser concluída antes de atribuir funções

P: Porque é que não posso atribuir Cloud Scopes à atribuição de funções?

Para ativar os escopos cloud pela primeira vez, deve configurar permissões para funções associadas ao Defender for Cloud Data Sources. Esta etapa também controla o acesso a ativos partilhados, como VMs, através de Device Groups ou Cloud Scope. Comece por concluir o processo de ativação, que orienta os administradores de autorização através da configuração de controlo de acesso baseado em funções na experiência unificada de gestão de acesso baseada em funções. Os telescópios de nuvem só são eficazes após ativação.

P: Quem pode gerir a Cloud Scopes?

Só os Administradores Globais têm direitos de gestão total.

P: Como funciona a atribuição unificada do RBAC?

  • Atribuir funções a escopos específicos da nuvem
  • As permissões são limitadas aos ambientes selecionados
  • O controlo de acesso unificado baseado em funções não é transferível a partir do Azure; deve ser configurado separadamente no portal Defender

P: Em que é que o RBAC unificado difere do Azure RBAC em termos de granularidade de permissões?

O controlo de acesso unificado baseado em papéis no portal Defender oferece um modelo de permissões distinto do controlo de acesso baseado em papéis do Azure, particularmente em termos de granularidade de permissões. Enquanto o controlo de acesso baseado em papéis do Azure fornece atribuições de funções ao nível dos recursos do Azure e é gerido através do controlo de acesso centralizado do Azure, o controlo de acesso baseado em funções unificado é configurado separadamente dentro do portal Defender e permite aos administradores definir permissões especificamente para recursos e ações relacionadas com a segurança em múltiplas soluções Defender. Isto permite um controlo mais direcionado dentro do ambiente Defender, como atribuir funções a escopos ou ambientes cloud específicos, em vez de depender de limites mais amplos de grupos de recursos Azure ou subscrições. Como resultado, o controlo de acesso unificado baseado em papéis concede aos administradores a flexibilidade de adaptar as permissões de segurança com maior granularidade para utilizadores que necessitam de acesso às capacidades do Defender, independentemente dos seus papéis de controlo de acesso baseados no Azure.

P: Quais são as implicações de atribuir funções em múltiplos escopos de cloud?

Atribuir funções em múltiplos escopos cloud permite aos utilizadores aceder a recursos e realizar ações em todos os ambientes incluídos nesses âmbitos. Esta abordagem permite aos administradores adaptar permissões para utilizadores que necessitem de visibilidade ou controlo sobre várias unidades de negócio ou áreas estratégicas. No entanto, também aumenta a importância de gerir cuidadosamente definições de âmbito e atribuições de funções para evitar acessos desnecessários. A sobreposição de escopos pode levar a modelos de permissões complexos, por isso é essencial rever e auditar regularmente as atribuições para garantir que os utilizadores têm apenas o acesso de que necessitam. Uma gestão eficaz ajuda a manter os limites de segurança e a clareza operacional.

P: Que critérios devem ser usados para definir eficazmente os escopos das nuvens?

Os escopos de nuvem podem ser utilizados para refletir a hierarquia e a estrutura da sua organização. São configuráveis de forma flexível para suportar vários critérios, tais como: unidade de negócio ou função, valor e sensibilidade dos recursos, unidade operacional por localização geográfica, unidade de aplicação e mais.

Próximos passos

Escopos cloud e RBAC unificado (visualização do portal Azure)

A gestão completa do ciclo de vida (criação, membros, filtragem avançada, atribuições multicloud) é realizada no portal Microsoft Defender. No portal Azure ainda pode:

  • Veja atribuições Azure RBAC a nível de subscrição / grupo de recursos
  • Gerir o acesso Azure clássico para recursos de plataforma

Para escopos de nuvem de ponta a ponta e gestão unificada de RBAC, utilize o Portal Defender.

Observação

Compreender as Permissões no Defender vs. Azure
O Defender utiliza o uRBAC (Controlo Unificado de Acesso Role-Based), que é separado do Azure RBAC.

  • O Azure RBAC controla o acesso ao nível dos recursos do Azure (subscrições, grupos de recursos).
  • O uRBAC fornece permissões mais detalhadas dentro do portal Defender, permitindo-lhe atribuir funções para ações de segurança específicas e escopos cloud em soluções Defender.

Isto significa que as permissões no Defender são adaptadas para tarefas de segurança e não dependem dos papéis Azure RBAC.

Importante: Os utilizadores precisarão de duas permissões separadas: as permissões existentes Azure RBAC, bem como um papel adicional uRBAC. Para além das permissões existentes do Azure RBAC, deve fornecer aos utilizadores um novo papel uRBAC para lhes conceder acesso ao novo portal.

  • Last updated on