الأذونات المطلوبة لخدمة Azure

التحكم في الوصول المستند إلى الأدوار في Azure ‏(RBAC)

دور	النطاق	الأذونات المطلوبة	السبب
مساهم في تحليلات السجل	/subscriptions/${subscription_id}	/read لتتمكن من قراءة جميع الموارد في الاشتراك. Microsoft.Insights/DiagnosticSettings/ لتتمكن من إنشاء/تحديث إعدادات التشخيص لجمع سجلات الموارد إلى Azure EventHub.	سيقوم Cloud Workload Protection Platform (CWPP) بإنشاء DiagnosticSettings لموارد Azure وتحديثها.
مساهم في الجهاز الظاهري	/subscriptions/${subscription_id}	Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	سيقوم CWPP بتشغيل الأوامر على الأجهزة الظاهرية للعميل لتثبيت ESET Endpoint باستخدام ESET Live Installer.
مساهم	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	إدارة مركز أحداث Azure. إنشاء أجهزة ظاهرية للمسح الضوئي (في المستقبل).	سوف تحتوي مجموعة موارد eset-cwpp-rg على موارد CWPP المُدارة. ستقوم CWPP بإنشاء مركز أحداث Azure في مجموعة الموارد هذه. في المستقبل، سيقوم CWPP بإنشاء أجهزة ظاهرية لمسح الأقراص/التخزين السحابي هنا.

اسم الإذن	الوصف	مطلوب موافقة المسؤول	السبب
https://graph.microsoft.com/AuditLog.Read.All	قراءة جميع بيانات سجل التدقيق.	نعم	سيقرأ CWPP سجلات Entra وسجلات النشاط باستخدام Graph API.
https://management.azure.com/user_impersonation	السماح للتطبيق بالوصول إلى Azure Resource Manager، حيث يعمل كمستخدم في المؤسسة.	لا	في حالة التكامل الآلي لـ CWPP مع مستأجر Azure الخاص بالعميل، سيقوم CWPP بإدراج الاشتراكات الحالية وتعيين الأذونات المطلوبة لتطبيق CWPP (تطبيق Azure متعدد المستأجرين متصل بمستأجر العميل من خلال منح الموافقة) وإنشاء مجموعة موارد للموارد التي يديرها CWPP.

˄˅