Sdílet prostřednictvím

Konfigurace přístupu správce

  • Článek

Microsoft Defender for Cloud Apps podporuje řízení přístupu na základě role. Tento článek obsahuje pokyny k nastavení přístupu k Defender for Cloud Apps pro správce. Další informace o přiřazování rolí správců najdete v článcích pro Microsoft Entra ID a Microsoft 365.

Role Microsoft 365 a Microsoft Entra s přístupem k Defender for Cloud Apps

Poznámka

  • Role Microsoft 365 a Microsoft Entra nejsou uvedené na stránce Defender for Cloud Apps Spravovat přístup správce. Pokud chcete přiřadit role v Microsoftu 365 nebo Microsoft Entra ID, přejděte na příslušné nastavení RBAC pro danou službu.
  • Defender for Cloud Apps používá Microsoft Entra ID k určení nastavení časového limitu nečinnosti na úrovni adresáře uživatele. Pokud je uživatel v Microsoft Entra ID nakonfigurovaný tak, aby se nikdy neodhlašoval, když je neaktivní, stejné nastavení bude platit i v Defender for Cloud Apps.

Ve výchozím nastavení mají k Defender for Cloud Apps přístup následující role správce Microsoft 365 a Microsoft Entra ID:

Název role Popis
Globální správce a správce zabezpečení Správci s úplným přístupem mají úplná oprávnění v Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení, nahrávat protokoly a provádět akce zásad správného řízení, přistupovat k agentům SIEM a spravovat je.
správce Cloud App Security Umožňuje úplný přístup a oprávnění v Defender for Cloud Apps. Tato role uděluje úplná oprávnění Defender for Cloud Apps, jako je role Globální správce Microsoft Entra ID. Tato role je ale vymezená na Defender for Cloud Apps a neuděluje úplná oprávnění v jiných bezpečnostních produktech Microsoftu.
Správce dodržování předpisů Má oprávnění jen pro čtení a může spravovat výstrahy. Nejde získat přístup k doporučením zabezpečení pro cloudové platformy. Může vytvářet a upravovat zásady souborů, povolovat akce zásad správného řízení souborů a zobrazovat všechny předdefinované sestavy v Správa dat.
Správce dat dodržování předpisů Má oprávnění jen pro čtení, může vytvářet a upravovat zásady souborů, povolovat akce zásad správného řízení souborů a zobrazovat všechny sestavy zjišťování. Nejde získat přístup k doporučením zabezpečení pro cloudové platformy.
Operátor zabezpečení Má oprávnění jen pro čtení a může spravovat výstrahy. Tito správci mají zakázáno provádět následující akce:
  • Vytvoření zásad nebo úprava a změna existujících zásad
  • Provádění všech akcí zásad správného řízení
  • Nahrávání protokolů zjišťování
  • Zakázání nebo schvalování aplikací třetích stran
  • Přístup a zobrazení stránky nastavení rozsahu IP adres
  • Přístup ke stránkám nastavení systému a jejich zobrazení
  • Přístup k nastavení zjišťování a jeho zobrazení
  • Přístup ke stránce Konektory aplikací a jejich zobrazení
  • Přístup k protokolu zásad správného řízení a jeho zobrazení
  • Přístup ke stránce Spravovat sestavy snímků a jeho zobrazení
Čtenář zabezpečení Má oprávnění jen pro čtení a může vytvářet přístupové tokeny rozhraní API. Tito správci mají zakázáno provádět následující akce:
    Vytvoření zásad nebo úprava a změna existujících zásad
  • Provádění všech akcí zásad správného řízení
  • Nahrávání protokolů zjišťování
  • Zakázání nebo schvalování aplikací třetích stran
  • Přístup a zobrazení stránky nastavení rozsahu IP adres
  • Přístup ke stránkám nastavení systému a jejich zobrazení
  • Přístup k nastavení zjišťování a jeho zobrazení
  • Přístup ke stránce Konektory aplikací a jejich zobrazení
  • Přístup k protokolu zásad správného řízení a jeho zobrazení
  • Přístup ke stránce Spravovat sestavy snímků a jeho zobrazení
Globální čtenář Má úplný přístup jen pro čtení ke všem aspektům Defender for Cloud Apps. Nelze změnit žádná nastavení ani provést žádné akce.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Poznámka

Funkce zásad správného řízení aplikací se řídí jenom rolemi Microsoft Entra ID. Další informace najdete v tématu Role zásad správného řízení aplikací.

Role a oprávnění

Oprávnění Globální Správa Správa zabezpečení Správa dodržování předpisů Správa dat dodržování předpisů Operátor zabezpečení Čtenář zabezpečení Globální čtenář Správa PBI správce Cloud App Security
Čtení upozornění
Správa upozornění
Čtení aplikací OAuth
Provádění akcí aplikace OAuth
Přístup ke zjištěných aplikacím, katalogu cloudových aplikací a dalším datům cloud discovery
Konfigurace konektorů rozhraní API
Provádění akcí cloud discovery
Přístup k datům a zásadám souborů
Provádění akcí se soubory
Protokol zásad správného řízení přístupu
Provádění akcí protokolu zásad správného řízení
Přístup k protokolu zásad správného řízení zjišťování s oborem
Číst zásady
Provádění všech akcí zásad
Provádění akcí zásad souborů
Provádění akcí zásad OAuth
Zobrazení správy přístupu správce
Správa ochrany osobních údajů pro správce a aktivity

Předdefinované role správců v Defender for Cloud Apps

Na portálu Microsoft Defender v oblasti Oprávnění > Role cloudových aplikací > je možné nakonfigurovat následující konkrétní role správce:

Název role Popis
Globální správce úplný přístup podobný roli globálního správce Microsoft Entra, ale jenom k Defender for Cloud Apps.
Správce dodržování předpisů Udělí stejná oprávnění jako role správce dodržování předpisů Microsoft Entra, ale jenom k Defender for Cloud Apps.
Čtenář zabezpečení Uděluje stejná oprávnění jako role čtenáře zabezpečení Microsoft Entra, ale pouze Defender for Cloud Apps.
Operátor zabezpečení Uděluje stejná oprávnění jako role operátora zabezpečení Microsoft Entra, ale pouze pro Defender for Cloud Apps.
Správce aplikace nebo instance Má úplná oprávnění nebo oprávnění jen pro čtení ke všem datům v Defender for Cloud Apps, která se zabývá výhradně konkrétní aplikací nebo instancí vybrané aplikace.

Například udělíte oprávnění správce uživatele k vaší instanci Box European. Správce uvidí jenom data, která se vztahují k evropské instanci Boxu, ať už se jedná o soubory, aktivity, zásady nebo upozornění:
  • Stránka Aktivity – pouze aktivity týkající se konkrétní aplikace
  • Výstrahy – Pouze výstrahy týkající se konkrétní aplikace. V některých případech upozorňovat data související s jinou aplikací, pokud data korelují s konkrétní aplikací. Viditelnost dat výstrah souvisejících s jinou aplikací je omezená a není k dispozici přístup k podrobnostem.
  • Zásady – Může zobrazit všechny zásady, a pokud jsou jim přiřazena úplná oprávnění, může upravovat nebo vytvářet jenom zásady, které se zabývají výhradně aplikací nebo instancí.
  • Stránka Účty – pouze účty pro konkrétní aplikaci nebo instanci
  • Oprávnění aplikace – Oprávnění pouze pro konkrétní aplikaci nebo instanci
  • Stránka Soubory – pouze soubory z konkrétní aplikace nebo instance
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Aktivita Cloud Discovery – Žádná oprávnění
  • Rozšíření zabezpečení – Pouze oprávnění pro token rozhraní API s uživatelskými oprávněními
  • Akce zásad správného řízení – pouze pro konkrétní aplikaci nebo instanci
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění
Správce skupiny uživatelů Má úplná oprávnění nebo oprávnění jen pro čtení ke všem datům v Defender for Cloud Apps, která se zabývá výhradně konkrétními skupinami, které jsou jim přiřazeny. Pokud například skupině "Německo – všichni uživatelé" přiřadíte oprávnění správce uživatele, může správce zobrazovat a upravovat informace v Defender for Cloud Apps jenom pro tuto skupinu uživatelů. Správce skupiny uživatelů má následující přístup:

  • Stránka Aktivity – pouze aktivity týkající se uživatelů ve skupině
  • Výstrahy – pouze výstrahy týkající se uživatelů ve skupině. V některých případech upozorňovat data související s jiným uživatelem, pokud data korelují s uživateli ve skupině. Viditelnost dat výstrah souvisejících s jinými uživateli je omezená a není k dispozici přístup k podrobnostem.
  • Zásady – Může zobrazit všechny zásady, a pokud jsou jim přiřazena úplná oprávnění, může upravovat nebo vytvářet jenom zásady, které se týkají výhradně uživatelů ve skupině.
  • Stránka Účty – Pouze účty pro konkrétní uživatele ve skupině
  • Oprávnění aplikací – Žádná oprávnění
  • Stránka Soubory – žádná oprávnění
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Aktivita Cloud Discovery – Žádná oprávnění
  • Rozšíření zabezpečení – Pouze oprávnění pro token rozhraní API s uživateli ve skupině
  • Akce zásad správného řízení – pouze pro konkrétní uživatele ve skupině
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění


Poznámky:
  • Pokud chcete přiřadit skupiny správcům skupin uživatelů, musíte nejprve importovat skupiny uživatelů z připojených aplikací.
  • K importovaným Microsoft Entra skupinám můžete přiřadit jenom oprávnění správců skupin uživatelů.
Globální správce Cloud Discovery Má oprávnění zobrazovat a upravovat všechna nastavení a data cloud discovery. Globální správce zjišťování má následující přístup:

  • Nastavení: Nastavení systému - pouze zobrazení; Nastavení Cloud Discovery – Zobrazit a upravit vše (oprávnění k anonymizaci závisí na tom, jestli byla povolená během přiřazení role)
  • Aktivita Cloud Discovery – úplná oprávnění
  • Výstrahy – zobrazení a správa pouze výstrah souvisejících s příslušnou sestavou cloud discovery
  • Zásady – Může zobrazit všechny zásady a může upravovat nebo vytvářet jenom zásady cloud discovery.
  • Stránka Aktivity – žádná oprávnění
  • Stránka Účty – Žádná oprávnění
  • Oprávnění aplikací – Žádná oprávnění
  • Stránka Soubory – žádná oprávnění
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Rozšíření zabezpečení – Vytváření a odstraňování vlastních tokenů rozhraní API
  • Akce zásad správného řízení – Pouze akce související s Cloud Discovery
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění
Správce sestav Cloud Discovery
  • Nastavení: Nastavení systému - pouze zobrazení; Nastavení Cloud Discovery – Zobrazit vše (oprávnění k anonymizaci závisí na tom, jestli byla povolená během přiřazení role)
  • Aktivita Cloud Discovery – oprávnění jen pro čtení
  • Výstrahy – zobrazení pouze výstrah souvisejících s příslušnou sestavou cloud discovery
  • Zásady – může zobrazit všechny zásady a může vytvářet jenom zásady cloud discovery, aniž by bylo možné řídit aplikaci (označování, schvalování a neschválené).
  • Stránka Aktivity – žádná oprávnění
  • Stránka Účty – Žádná oprávnění
  • Oprávnění aplikací – Žádná oprávnění
  • Stránka Soubory – žádná oprávnění
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Rozšíření zabezpečení – Vytváření a odstraňování vlastních tokenů rozhraní API
  • Akce zásad správného řízení – zobrazení pouze akcí souvisejících s příslušnou sestavou cloud discovery
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Předdefinované role správce Defender for Cloud Apps poskytují přístupová oprávnění jenom k Defender for Cloud Apps.

Přepsání oprávnění správce

Pokud chcete přepsat oprávnění správce z Microsoft Entra ID nebo Microsoftu 365, můžete to udělat tak, že uživatele ručně přidáte do Defender for Cloud Apps a přiřadíte mu oprávnění. Pokud například chcete přiřadit Stephanie, která je čtenářkou zabezpečení v Microsoft Entra ID, aby měla úplný přístup v Defender for Cloud Apps, můžete ji ručně přidat do Defender for Cloud Apps a přiřadit jí úplný přístup, aby přepsala její roli a povolila jí potřebná oprávnění v Defender for Cloud Apps. Upozorňujeme, že není možné přepsat Microsoft Entra role, které uděluje úplný přístup (Globální správce, správce zabezpečení a správce Cloud App Security).

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Přidání dalších správců

Do Defender for Cloud Apps můžete přidat další správce, aniž byste museli přidávat uživatele do Microsoft Entra rolí správce. Pokud chcete přidat další správce, proveďte následující kroky:

Důležité

  • Přístup ke stránce Spravovat přístup správce je k dispozici členům skupin Globální správci, Správci zabezpečení, Správci dodržování předpisů, Správci dat dodržování předpisů, Operátoři zabezpečení, Čtenáři zabezpečení a Globální čtenáři.
  • Pokud chcete upravit stránku Spravovat přístup správce a udělit jiným uživatelům přístup k Defender for Cloud Apps, musíte mít alespoň roli správce zabezpečení.

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

  1. Na portálu Microsoft Defender v nabídce vlevo vyberte Oprávnění.

  2. V části Cloud Apps zvolte Role.

Nabídka Oprávnění

  1. Vyberte +Přidat uživatele a přidejte správce, kteří by měli mít přístup k Defender for Cloud Apps. Zadejte e-mailovou adresu uživatele z vaší organizace.

    Poznámka

    Pokud chcete přidat externí poskytovatele spravovaných služeb zabezpečení (MSSP) jako správce pro Defender for Cloud Apps, nezapomeňte je nejprve pozvat jako hosta do vaší organizace.

    přidat správce.

  2. Dále vyberte rozevírací seznam a nastavte, jaký typ role má správce. Pokud vyberete správce aplikace nebo instance, vyberte aplikaci a instanci, ke které má správce oprávnění.

    Poznámka

    Každému správci, jehož přístup je omezený, který se pokusí o přístup na stránku s omezeným přístupem nebo provedení akce s omezením, se zobrazí chyba, že nemá oprávnění k přístupu na stránku nebo k provedení akce.

  3. Vyberte Přidat správce.

Pozvání externích správců

Defender for Cloud Apps umožňuje pozvat externí správce jako správce služby Defender for Cloud Apps vaší organizace (zákazník MSSP). Pokud chcete přidat mssp, ujistěte se, že je v tenantovi MSSP povolená Defender for Cloud Apps, a pak je přidejte jako uživatele Microsoft Entra spolupráci B2B v Azure Portal zákazníky MSSP. Po přidání je možné mssp nakonfigurovat jako správce a přiřadit libovolné role dostupné v Defender for Cloud Apps.

Přidání poskytovatelů mssp do služby Defender for Cloud Apps zákazníka MSSP

  1. Přidejte poskytovatele služeb zabezpečení jako hosta v zákaznickém adresáři MSSP pomocí postupu v části Přidání uživatelů typu host do adresáře.
  2. Přidejte poskytovatele mssp a přiřaďte roli správce na zákaznickém Defender for Cloud Apps portálu MSSP pomocí postupu v části Přidat další správce. Zadejte stejnou externí e-mailovou adresu, kterou jste použili při přidávání hostů v adresáři zákazníka MSSP.

Přístup pro poskytovatele mssp ke službě Defender for Cloud Apps zákazníka MSSP

Ve výchozím nastavení přistupují poskytovatelé mssp ke svému tenantovi Defender for Cloud Apps prostřednictvím následující adresy URL: https://security.microsoft.com.

Poskytovatelé mssp však budou muset získat přístup k portálu mssp zákazníka Microsoft Defender pomocí adresy URL specifické pro tenanta v následujícím formátu: https://security.microsoft.com/?tid=<tenant_id>.

Poskytovatelé služeb pro správu služeb můžou pomocí následujícího postupu získat ID tenanta zákaznického portálu MSSP a pak ho použít pro přístup k adrese URL specifické pro tenanta:

  1. Jako mssp se přihlaste k Microsoft Entra ID pomocí svých přihlašovacích údajů.

  2. Přepněte adresář do tenanta zákazníka MSSP.

  3. Vyberte Microsoft Entra ID>Vlastnosti. ID tenanta zákazníka MSSP najdete v poli ID tenanta .

  4. Přejděte na zákaznický portál MSSP tak, že nahradíte customer_tenant_id hodnotu v následující adrese URL: https://security.microsoft.com/?tid=<tenant_id>.

auditování aktivit Správa

Defender for Cloud Apps umožňuje exportovat protokol aktivit přihlášení správce a audit zobrazení konkrétního uživatele nebo výstrah provedených v rámci šetření.

Pokud chcete exportovat protokol, proveďte následující kroky:

  1. Na portálu Microsoft Defender v nabídce vlevo vyberte Oprávnění.

  2. V části Cloud Apps zvolte Role.

  3. Na stránce Správa rolí v pravém horním rohu vyberte Exportovat aktivity správce.

  4. Zadejte požadovaný časový rozsah.

  5. Vyberte Exportovat.

Další kroky

Nastavení cloud discovery