Del via

Konfigurer administratoradgang

  • Artikel

Microsoft Defender for Cloud Apps understøtter rollebaseret adgangskontrol. Denne artikel indeholder en vejledning i, hvordan du angiver adgang til Defender for Cloud Apps for dine administratorer. Du kan få flere oplysninger om tildeling af administratorroller i artiklerne om Microsoft Entra ID og Microsoft 365.

Roller i Microsoft 365 og Microsoft Entra med adgang til Defender for Cloud Apps

Bemærk!

  • Rollerne Microsoft 365 og Microsoft Entra er ikke angivet på Defender for Cloud Apps siden Administrer administratoradgang. Hvis du vil tildele roller i Microsoft 365 eller Microsoft Entra ID, skal du gå til de relevante indstillinger for RBAC for den pågældende tjeneste.
  • Defender for Cloud Apps bruger Microsoft Entra ID til at bestemme brugerens indstilling for inaktivitetstimeout på mappeniveau. Hvis en bruger er konfigureret i Microsoft Entra ID til aldrig at logge af, når den er inaktiv, gælder den samme indstilling også i Defender for Cloud Apps.

Følgende administratorroller i Microsoft 365 og Microsoft Entra ID har som standard adgang til Defender for Cloud Apps:

Rollenavn Beskrivelse
Global administrator- og sikkerhedsadministrator Administratorer med fuld adgang har alle tilladelser i Defender for Cloud Apps. De kan tilføje administratorer, tilføje politikker og indstillinger, uploade logge og udføre styringshandlinger, få adgang til og administrere SIEM-agenter.
Cloud App Security administrator Giver fuld adgang og tilladelser i Defender for Cloud Apps. Denne rolle giver fulde tilladelser til Defender for Cloud Apps, f.eks. rollen Microsoft Entra ID Global administrator. Denne rolle er dog begrænset til Defender for Cloud Apps og tildeler ikke fulde tilladelser på tværs af andre Microsoft-sikkerhedsprodukter.
Overholdelsesadministrator Har skrivebeskyttede tilladelser og kan administrere beskeder. Der er ikke adgang til sikkerhedsanbefalinger for cloudplatforme. Kan oprette og redigere filpolitikker, tillade handlinger til filstyring og få vist alle de indbyggede rapporter under Dataadministration.
Administrator af overholdelsesdata Har skrivebeskyttede tilladelser, kan oprette og redigere filpolitikker, tillade handlinger til filstyring og få vist alle registreringsrapporter. Der er ikke adgang til sikkerhedsanbefalinger for cloudplatforme.
Sikkerhedsoperator Har skrivebeskyttede tilladelser og kan administrere beskeder. Disse administratorer er begrænset fra at udføre følgende handlinger:
  • Opret politikker, eller rediger og rediger eksisterende politikker
  • Udførelse af alle styringshandlinger
  • Uploader registreringslogge
  • Forbud mod eller godkendelse af tredjepartsapps
  • Adgang til og visning af siden med indstillinger for IP-adresseområde
  • Adgang til og visning af alle sider med systemindstillinger
  • Adgang til og visning af registreringsindstillingerne
  • Adgang til og visning af siden App Connectors
  • Adgang til og visning af styringsloggen
  • Adgang til og visning af siden Administrer snapshotrapporter
Sikkerhedslæser Har skrivebeskyttede tilladelser og kan oprette API-adgangstokens. Disse administratorer er begrænset fra at udføre følgende handlinger:
    Opret politikker, eller rediger og rediger eksisterende politikker
  • Udførelse af alle styringshandlinger
  • Uploader registreringslogge
  • Forbud mod eller godkendelse af tredjepartsapps
  • Adgang til og visning af siden med indstillinger for IP-adresseområde
  • Adgang til og visning af alle sider med systemindstillinger
  • Adgang til og visning af registreringsindstillingerne
  • Adgang til og visning af siden App Connectors
  • Adgang til og visning af styringsloggen
  • Adgang til og visning af siden Administrer snapshotrapporter
Global læser Har fuld skrivebeskyttet adgang til alle aspekter af Defender for Cloud Apps. Ingen indstillinger kan ændres, eller der kan udføres handlinger.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Bemærk!

Funktioner til styring af apps styres kun af Microsoft Entra ID roller. Du kan få flere oplysninger under Roller for appstyring.

Roller og tilladelser

Tilladelser Globale Administration Sikkerheds Administration Overholdelse Administration Overholdelsesdata Administration Sikkerhedsoperator Sikkerhedslæser Global læser PBI-Administration Cloud App Security administrator
Læs beskeder
Administrer beskeder
Læs OAuth-programmer
Udfør OAuth-programhandlinger
Få adgang til fundne apps, kataloget over cloudapps og andre cloudregistreringsdata
Konfigurer API-connectors
Udfør cloudregistreringshandlinger
Få adgang til fildata og filpolitikker
Udfør filhandlinger
Adgang til styringslog
Udfør handlinger i styringsloggen
Få adgang til en søgningsstyringslogfil, der er beregnet til søgning
Læs politikker
Udfør alle politikhandlinger
Udfør filpolitikhandlinger
Udfør OAuth-politikhandlinger
Vis administrer administratoradgang
Administrer administratorer og beskyttelse af personlige oplysninger for aktiviteter

Indbyggede administratorroller i Defender for Cloud Apps

Følgende specifikke administratorroller kan konfigureres på Microsoft Defender-portalen i området Tilladelser > Cloud Apps-roller>:

Rollenavn Beskrivelse
Global administrator Har fuld adgang på samme måde som rollen Microsoft Entra global administrator, men kun til Defender for Cloud Apps.
Overholdelsesadministrator Giver de samme tilladelser som rollen Microsoft Entra overholdelsesadministrator, men kun til Defender for Cloud Apps.
Sikkerhedslæser Giver de samme tilladelser som rollen Microsoft Entra Sikkerhedslæser, men kun til Defender for Cloud Apps.
Sikkerhedsoperator Giver de samme tilladelser som operatorrollen Microsoft Entra Sikkerhed, men kun til Defender for Cloud Apps.
App-/forekomstadministrator Har fulde eller skrivebeskyttede tilladelser til alle data i Defender for Cloud Apps, der udelukkende beskæftiger sig med den specifikke app eller forekomst af en valgt app.

Du giver f.eks. en brugeradministrator tilladelse til din Box European-instans. Administratoren kan kun se data, der er relateret til den europæiske kasseforekomst, uanset om det er filer, aktiviteter, politikker eller beskeder:
  • Siden Aktiviteter – Kun aktiviteter om den specifikke app
  • Beskeder – kun beskeder, der relaterer til den specifikke app. I nogle tilfælde skal du advare data, der er relateret til en anden app, hvis dataene er korreleret med den specifikke app. Synligheden af beskeddata, der er relateret til en anden app, er begrænset, og der er ingen adgang til detailudledning for at få flere oplysninger
  • Politikker – Kan få vist alle politikker, og hvis tildelte fulde tilladelser kan redigere eller kun oprette politikker, der udelukkende vedrører appen/forekomsten
  • Siden Konti – Kun konti for den specifikke app/forekomst
  • Apptilladelser – Kun tilladelser for den specifikke app/forekomst
  • Siden Filer – Kun filer fra den specifikke app/forekomst
  • Appkontrol med betinget adgang – ingen tilladelser
  • Registreringsaktivitet i skyen – ingen tilladelser
  • Sikkerhedsudvidelser – kun tilladelser for API-token med brugertilladelser
  • Styringshandlinger – kun for den specifikke app/forekomst
  • Sikkerhedsanbefalinger til cloudplatforme – ingen tilladelser
  • IP-områder – ingen tilladelser
Administrator af brugergruppe Har fulde eller skrivebeskyttede tilladelser til alle data i Defender for Cloud Apps, der udelukkende beskæftiger sig med de specifikke grupper, der er tildelt dem. Hvis du f.eks. tildeler en brugeradministratortilladelser til gruppen "Tyskland – alle brugere", kan administratoren få vist og redigere oplysninger i Defender for Cloud Apps kun for den pågældende brugergruppe. Brugergruppeadministratoren har følgende adgang:

  • Siden Aktiviteter - Kun aktiviteter om brugerne i gruppen
  • Beskeder – Kun beskeder, der relaterer til brugerne i gruppen. I nogle tilfælde skal beskeddata, der er relateret til en anden bruger, hvis dataene er korreleret med brugerne i gruppen. Synligheden af vigtige data, der er relateret til andre brugere, er begrænset, og der er ingen adgang til detailudledning for at få flere oplysninger.
  • Politikker – Kan få vist alle politikker, og hvis tildelte fulde tilladelser kan redigere eller kun oprette politikker, der udelukkende vedrører brugere i gruppen
  • Siden Konti – Kun konti for de specifikke brugere i gruppen
  • Apptilladelser – ingen tilladelser
  • Siden Filer – ingen tilladelser
  • Appkontrol med betinget adgang – ingen tilladelser
  • Registreringsaktivitet i skyen – ingen tilladelser
  • Sikkerhedsudvidelser – kun tilladelser til API-token med brugere i gruppen
  • Styringshandlinger – kun for de specifikke brugere i gruppen
  • Sikkerhedsanbefalinger til cloudplatforme – ingen tilladelser
  • IP-områder – ingen tilladelser


Noter:
  • Hvis du vil tildele grupper til brugergruppeadministratorer, skal du først importere brugergrupper fra forbundne apps.
  • Du kan kun tildele brugergruppeadministratorer tilladelser til importerede Microsoft Entra grupper.
Global administrator af Cloud Discovery Har tilladelse til at få vist og redigere alle indstillinger og data for cloudregistrering. Global Discovery-administratoren har følgende adgang:

  • Indstillinger: Systemindstillinger – Kun visning; Indstillinger for Cloud Discovery – Få vist og rediger alle (anonymiseringstilladelser afhænger af, om det var tilladt under rolletildeling)
  • Registreringsaktivitet i skyen – fulde tilladelser
  • Beskeder – få vist og administrer kun beskeder, der er relateret til den relevante cloudregistreringsrapport
  • Politikker – Kan få vist alle politikker og kan redigere eller kun oprette politikker for cloudregistrering
  • Siden Aktiviteter - Ingen tilladelser
  • Siden Konti - Ingen tilladelser
  • Apptilladelser – ingen tilladelser
  • Siden Filer – ingen tilladelser
  • Appkontrol med betinget adgang – ingen tilladelser
  • Sikkerhedsudvidelser – opretter og sletter deres egne API-tokens
  • Styringshandlinger – kun handlinger relateret til Cloud Discovery
  • Sikkerhedsanbefalinger til cloudplatforme – ingen tilladelser
  • IP-områder – ingen tilladelser
Cloud Discovery-rapportadministrator
  • Indstillinger: Systemindstillinger – Kun visning; Indstillinger for cloudregistrering – Få vist alle (anonymiseringstilladelser afhænger af, om det var tilladt under rolletildeling)
  • Registreringsaktivitet i skyen – kun læsetilladelser
  • Beskeder – få kun vist beskeder, der er relateret til den relevante cloudregistreringsrapport
  • Politikker – Kan få vist alle politikker og kan kun oprette politikker for cloudregistrering uden mulighed for at styre applikationen (mærkning, sanktioner og ikke-sanktioneret)
  • Siden Aktiviteter - Ingen tilladelser
  • Siden Konti - Ingen tilladelser
  • Apptilladelser – ingen tilladelser
  • Siden Filer – ingen tilladelser
  • Appkontrol med betinget adgang – ingen tilladelser
  • Sikkerhedsudvidelser – opretter og sletter deres egne API-tokens
  • Styringshandlinger – få kun vist handlinger, der er relateret til den relevante cloudregistreringsrapport
  • Sikkerhedsanbefalinger til cloudplatforme – ingen tilladelser
  • IP-områder – ingen tilladelser

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

De indbyggede Defender for Cloud Apps administratorroller giver kun adgangstilladelser til Defender for Cloud Apps.

Tilsidesæt administratortilladelser

Hvis du vil tilsidesætte en administrators tilladelse fra Microsoft Entra ID eller Microsoft 365, kan du gøre det ved manuelt at føje brugeren til Defender for Cloud Apps og tildele brugeren tilladelser. Hvis du f.eks. vil tildele Stephanie, som er sikkerhedslæser i Microsoft Entra ID at have fuld adgang i Defender for Cloud Apps, kan du manuelt føje hende til Defender for Cloud Apps og tildele hende fuld adgang for at tilsidesætte sin rolle og give hende de nødvendige tilladelser i Defender for Cloud Apps. Bemærk, at det ikke er muligt at tilsidesætte Microsoft Entra roller, der giver fuld adgang (Global administrator, sikkerhedsadministrator og Cloud App Security administrator).

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Tilføj flere administratorer

Du kan føje flere administratorer til Defender for Cloud Apps uden at føje brugere til Microsoft Entra administrative roller. Hvis du vil tilføje flere administratorer, skal du udføre følgende trin:

Vigtigt!

  • Adgang til adgangssiden Administrer administrator er tilgængelig for medlemmer af grupperne Globale administratorer, Sikkerhedsadministratorer, Overholdelsesadministratorer, Administratorer af overholdelsesdata, Sikkerhedsoperatører, Sikkerhedslæsere og Globale læsere.
  • Hvis du vil redigere siden Administrer administratoradgang og give andre brugere adgang til Defender for Cloud Apps, skal du som minimum have rollen Sikkerhedsadministrator.

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

  1. Vælg Tilladelser i menuen til venstre i Microsoft Defender Portal.

  2. Under Cloud Apps skal du vælge Roller.

    Menuen Tilladelser.

  3. Vælg +Tilføj bruger for at tilføje de administratorer, der skal have adgang til Defender for Cloud Apps. Angiv en mailadresse på en bruger inde fra din organisation.

    Bemærk!

    Hvis du vil tilføje eksterne udbydere af administrerede sikkerhedstjenester som administratorer for Defender for Cloud Apps, skal du sørge for først at invitere dem som gæst i din organisation.

    tilføj administratorer.

  4. Derefter skal du vælge rullelisten for at angive, hvilken type rolle administratoren har. Hvis du vælger App/Instance-administrator, skal du vælge den app og forekomst, som administratoren skal have tilladelser til.

    Bemærk!

    Alle administratorer, hvis adgang er begrænset, som forsøger at få adgang til en begrænset side eller udføre en begrænset handling, modtager en fejl om, at de ikke har tilladelse til at få adgang til siden eller udføre handlingen.

  5. Vælg Tilføj administrator.

Inviter eksterne administratorer

Defender for Cloud Apps giver dig mulighed for at invitere eksterne administratorer (MSSP'er) som administratorer af organisationens (MSSP-kunde) Defender for Cloud Apps tjeneste. Hvis du vil tilføje MSSP'er, skal du sørge for, at Defender for Cloud Apps er aktiveret på MSP-lejeren og derefter tilføje dem som Microsoft Entra B2B-samarbejdsbrugere i MSSP-kunderne Azure Portal. Når MSSP'er er tilføjet, kan de konfigureres som administratorer og tildeles de roller, der er tilgængelige i Defender for Cloud Apps.

Sådan føjer du MSSP'er til MSSP-kunde Defender for Cloud Apps-tjenesten

  1. Tilføj MSSP'er som gæst i MSSP-kundemappen ved hjælp af trinnene under Føj gæstebrugere til mappen.
  2. Tilføj MSSP'er, og tildel en administratorrolle i MSSP-kunde Defender for Cloud Apps ved hjælp af trinnene under Tilføj yderligere administratorer. Angiv den samme eksterne mailadresse, der bruges, når du tilføjer dem som gæster i MSSP-kundemappen.

Adgang for MSSP'er til MSSP-kunde Defender for Cloud Apps-tjenesten

MSSP'er får som standard adgang til deres Defender for Cloud Apps lejer via følgende URL-adresse: https://security.microsoft.com.

MSSP'er skal dog have adgang til MSSP-kundeportalen Microsoft Defender ved hjælp af en lejerspecifik URL-adresse i følgende format: https://security.microsoft.com/?tid=<tenant_id>.

MSSP'er kan bruge følgende trin til at hente LEJER-id'et for MSSP-kundeportalen og derefter bruge id'et til at få adgang til den lejerspecifikke URL-adresse:

  1. Log på Microsoft Entra ID med dine legitimationsoplysninger som MSSP.

  2. Skift mappe til MSSP-kundens lejer.

  3. Vælg Microsoft Entra ID>Egenskaber. Du kan finde MSSP-kundelejer-id'et i feltet Lejer-id .

  4. Få adgang til MSSP-kundeportalen ved at erstatte værdien customer_tenant_id i følgende URL-adresse: https://security.microsoft.com/?tid=<tenant_id>.

Administration aktivitetsovervågning

Defender for Cloud Apps giver dig mulighed for at eksportere en log over logonaktiviteter for administratorer og overvågning af visninger af en bestemt bruger eller beskeder, der er udført som en del af en undersøgelse.

Hvis du vil eksportere en log, skal du udføre følgende trin:

  1. Vælg Tilladelser i menuen til venstre i Microsoft Defender Portal.

  2. Under Cloud Apps skal du vælge Roller.

  3. Vælg Eksportér administratoraktiviteter i øverste højre hjørne på siden Administration roller.

  4. Angiv det påkrævede tidsinterval.

  5. Vælg Eksportér.

Næste trin

Konfigurer cloudregistrering