当安全公告受影响的资源包含识别受影响的订阅、资源或配置的详细信息时,这些资源被视为敏感资源。 此信息很敏感,因为它显示客户的安全状况、启用定向利用或启用定向利用。
出于这些原因,此类详细信息必须仅与拥有授权角色的个人共享。 访问还必须符合为 Azure 安全公告定义的“提升的访问要求”。
若要访问和查看安全公告,必须具有正确的角色访问权限。 有关详细信息,请参阅 “谁可以查看安全公告”。
本文介绍创建基于租户或订阅的访问的步骤。
- 基于订阅的访问意味着只能看到适用于你允许查看的特定 Azure 订阅的安全公告。
- 基于租户的访问适用于整个Microsoft Entra ID 租户,这意味着它涵盖该组织中的所有订阅。
有关详细信息,请参阅 基于角色的访问控制(RBAC),查看敏感安全信息。
注释
基于角色的访问控制(RBAC)仅适用于标记为“敏感”的通信,并且查看任何安全通信的任何受影响资源。
基于订阅的访问
以下步骤说明如何设置订阅以查看安全公告。
1.访问 Azure 门户
登录到 Azure 门户 并导航到 “订阅 ”部分。
2.选择订阅
选择要管理的用于安全咨询访问的订阅。
3.导航到访问控制(IAM)
选择 访问控制(IAM) 以管理用户角色。
4.添加角色分配
选择 “添加角色分配 ”以分配所需的角色。
确认订阅管理员和租户全局管理员角色具有正确的联系信息,用于接收有关影响订阅和租户级别的安全问题的通知。
有关在 Azure 中分配角色的详细信息,请参阅 使用 Azure 门户分配 Azure 角色。
基于租户的访问
Azure 中的租户管理员访问权限是指授予角色的权限,这些权限允许用户在租户级别管理和查看资源。
这些角色包括全局管理员、应用程序管理员和其他角色。 租户管理员访问权限使用户能够管理组织中的用户、组和权限,并在 Azure 服务运行状况门户中查看租户级事件。
注释
租户级警报需要租户管理员级读取访问权限。
1.确定谁需要租户级访问权限
确定哪些用户或团队需要有可视权限:
- 组织范围内的安全公告
- 敏感咨询详细信息(摘要、问题更新、受影响的资源)
注释
只有租户管理员级别角色才能查看租户范围内的安全公告。 有关谁可以访问安全公告的详细信息,请参阅 谁可以查看安全公告。
2.访问 Azure 门户
登录到 Azure 门户 并导航到 “Microsoft Entra ID ”部分。
3. 添加 角色和管理员
从侧面板中选择 “角色”和“管理员 ”。
4.选择角色
直接选择该角色以打开新窗口。
5. 添加作业
在此面板中,有三个选项卡: “合格分配”、“ 活动分配 ”和 “过期”分配。 选择 “+ 添加任务”。
- 此时会显示一个新窗格,可在其中选择应接收此角色的人员。 使用搜索框查找:
- 用户帐户
- Microsoft 365 组
- 应用程序/服务主体(如果您将其分配给标识应用)
- 从结果中选择正确的身份。
小窍门
只有可分配的组和人员才会显示在列表中。
6. 确认分配
- 选择 “下一步 ”(如果出现提示)。
- 选择分配。
- 用户/组/应用显示在角色的 “分配” 选项卡下。
7.验证权限 (可选)
- 请先注销,然后重新登录。
- 确认是否有权访问所需的功能特性(例如查看服务健康状态中的租户级安全公告)。