Entra ID 帐户中所需的权限
权限 |
范围 |
为什么 CWP 需要它 |
|---|---|---|
Application.ReadWrite.OwnedBy |
应用程序 |
允许 CWP 在连接器取消预配和生命周期清理期间删除其自己的应用对象。 |
Device.ReadWrite.All |
应用程序 |
启用响应操作以禁用 Entra ID 中的受损设备对象。 |
User-PasswordProfile.ReadWrite.All |
应用程序 |
为已泄露的用户帐户启用密码重置响应操作。 |
User.EnableDisableAccount.All |
应用程序 |
启用响应操作以禁用用户帐户并阻止未经授权的访问。 |
User.RevokeSessions.All |
应用程序 |
通过在可疑活动后撤销活动的用户会话或令牌来启用强制注销。 |
Application.Read.All |
应用程序 |
对身份保护用例的应用和服务主体身份的读取访问权限。 |
Policy.Read.All |
应用程序 |
对安全状况状态检查的 Entra ID 安全和授权策略的读取访问权限。 |
User.Read.All |
应用程序 |
读取用于身份保护和安全状况评估的组织用户配置文件。 |
GroupSetting.Read.All |
应用程序 |
读取 CSPM 策略和风险评估所需的组设置。 |
RoleManagement.Read.Directory |
应用程序 |
读取特权角色曝光检查的目录 RBAC 角色分配和设置。 |
GroupMember.Read.All |
应用程序 |
读取组成员身份,包括可传递成员身份。 |
UserAuthenticationMethod.Read.All |
应用程序 |
读取用户的身份验证方法以进行安全状况检查。 |
Azure 事件中心数据接收器 |
Azure RBAC |
允许 CWP 使用事件中心的 Entra ID 诊断日志。 |