Ansichten:
Überprüfen Sie die Berechtigungen erforderlich, um Ressourcen bereitzustellen und Azure-Verwaltungsgruppen mit Trend Vision One zu verbinden.
Die folgenden Berechtigungen sind erforderlich, um Trend Vision One Cloud-Sicherheitsressourcen erfolgreich in Ihrer Verwaltungsgruppe und allen darin enthaltenen Abonnements bereitzustellen. Um mehr über Azure-Berechtigungen zu erfahren, siehe die Azure-Berechtigungsdokumentation.

Erforderliche Rollen

Erforderliche Rollen für Azure-Verwaltungsgruppe

Rolle
Was die Rolle ermöglicht
Hinweise
Benutzerzugriffsadministrator
  • Zuweisung des Dienstprinzipals zu benutzerdefinierten Rollen
  • Verwaltung der rollenbasierten Zugriffskontrolle (RBAC)
Erforderlich für alle Abonnements in der Verwaltungsgruppe
Mitwirkender
  • Erstellen einer Ressourcengruppe, eines Speicherkontos und eines Blob-Containers im primären Abonnement
  • Erstellen von benutzerdefinierten Rollen für Trend Vision One pro Abonnement
  • Bereitstellung aller anderen Terraform-Ressourcen (kann Rollenzuweisungen nicht verwalten)
Erforderlich für alle Abonnements in der Verwaltungsgruppe
Besitzer
Beinhaltet sowohl Benutzerzugriffs-Administrator- als auch Mitwirkendenberechtigungen
Kann anstelle der separaten Zuweisung von Benutzerzugriffs-Administrator und Mitwirkendem verwendet werden
Leseberechtigter der Verwaltungsgruppe
  • Abfrage der Managementgruppenstruktur und Metadaten
  • Auflisten aller Abonnements innerhalb der Verwaltungsgruppe
Erforderlich auf Verwaltungsebene
Anwendungsadministrator
  • Erstellen einer App-Registrierung in Azure AD
  • Erstellen eines Dienstprinzipals
  • Konfigurieren des föderierten Identitätsnachweises für die OIDC-Authentifizierung
Erforderlich für Microsoft Entra ID-Benutzer. Zuweisung über das Azure-Portal: Azure ADRoles and administratorsApplication AdministratorAdd assignments

Berechtigungen werden überprüft

Sie können überprüfen, ob die erforderlichen Berechtigungen korrekt konfiguriert sind, indem Sie die folgenden Befehle in Azure CLI ausführen:
Zugriff auf Testverwaltungsgruppe:
az account management-group show --name <mg-id>
Testabonnementliste:
az account management-group entities list --query "[?type=='/subscriptions']"
Primären Abonnementzugriff testen:
az account show --subscription <primary-sub-id>

Häufige Probleme

Fehlerbehebung von Berechtigungsfehlern

Fehler
Lösung
Verwaltungsgruppensubskriptionen können nicht aufgelistet werden
Weisen Sie eine Rolle als Managementgruppen-Leser zu.
Kann keine Speicherressourcen für den Status erstellen
Weisen Sie eine Besitzer- oder Mitwirkendenrolle auf dem primären Abonnement zu.
App-Registrierung kann nicht erstellt werden
Weisen Sie eine Rolle als Anwendungsadministrator in Azure AD zu.
Rollen-Definitionen können nicht erstellt werden
Weisen Sie eine Besitzerrolle (oder Benutzerzugriffsadministrator + Mitwirkender) für alle Abonnements zu.