Jaa

Järjestelmänvalvojan käyttöoikeuksien määrittäminen

  • Artikkeli

Microsoft Defender for Cloud Apps tukee roolipohjaista käyttöoikeuksien hallintaa. Tässä artikkelissa on ohjeita Defender for Cloud Apps käyttöoikeuksien määrittämiseen järjestelmänvalvojille. Lisätietoja järjestelmänvalvojaroolien määrittämisestä on Microsoft Entra ID ja Microsoft 365:n artikkeleissa.

Microsoft 365 ja Microsoft Entra roolit, joilla on Defender for Cloud Apps käyttöoikeus

Huomautus

  • Microsoft 365- ja Microsoft Entra-rooleja ei ole lueteltu järjestelmänvalvojan käyttöoikeuksien hallinta -sivun Defender for Cloud Apps. Jos haluat määrittää rooleja Microsoft 365:ssä tai Microsoft Entra ID, siirry kyseisen palvelun asianmukaisiin RBAC-asetuksiin.
  • Defender for Cloud Apps käyttää Microsoft Entra ID käyttäjän hakemistotason passiivisuuden aikakatkaisuasetuksen määrittämiseen. Jos käyttäjä on määritetty Microsoft Entra ID koskaan kirjautumaan ulos, kun hän ei ole aktiivinen, sama asetus on käytössä myös Defender for Cloud Apps.

Seuraavat Microsoft 365:n ja Microsoft Entra ID järjestelmänvalvojan roolit voivat oletusarvoisesti käyttää Defender for Cloud Apps:

Roolin nimi Kuvaus
yleinen järjestelmänvalvoja ja suojauksen järjestelmänvalvoja Järjestelmänvalvojilla, joilla on täydet käyttöoikeudet, on täydet käyttöoikeudet Defender for Cloud Apps. He voivat lisätä järjestelmänvalvojia, lisätä käytäntöjä ja asetuksia, ladata lokeja ja suorittaa hallintotoimia sekä käyttää ja hallita SIEM-agentteja.
Cloud App Security järjestelmänvalvoja Sallii täydet käyttöoikeudet ja käyttöoikeudet Defender for Cloud Apps. Tämä rooli myöntää täydet oikeudet Defender for Cloud Apps, kuten Microsoft Entra ID yleinen järjestelmänvalvoja rooliin. Tämän roolin vaikutusalue on kuitenkin Defender for Cloud Apps, eikä sille myönnä täysiä käyttöoikeuksia muissa Microsoftin tietoturvatuotteissa.
Yhteensopivuuden järjestelmänvalvoja Sisältää vain luku -oikeudet ja voi hallita ilmoituksia. Pilviympäristöjen suojaussuosituksia ei voi käyttää. Voi luoda ja muokata tiedostokäytäntöjä, sallia tiedostonhallintatoimia ja tarkastella kaikkia sisäisiä raportteja kohdassa Tiedonhallinta.
Yhteensopivuustietojen järjestelmänvalvoja Sisältää vain luku -oikeudet, voi luoda ja muokata tiedostokäytäntöjä, sallia tiedostonhallintatoimia ja tarkastella kaikkia etsintäraportteja. Pilviympäristöjen suojaussuosituksia ei voi käyttää.
Suojausoperaattori Sisältää vain luku -oikeudet ja voi hallita ilmoituksia. Näitä järjestelmänvalvojia on rajoitettu tekemään seuraavat toiminnot:
  • Luo käytäntöjä tai muokkaa ja muuta olemassa olevia
  • Minkä tahansa hallintotoiminnon suorittaminen
  • Resurssienetsintälokien lataaminen palvelimeen
  • Kolmannen osapuolen sovellusten kieltäminen tai hyväksyminen
  • IP-osoitealueen asetussivun käyttäminen ja tarkasteleminen
  • Järjestelmäasetussivujen käyttäminen ja tarkasteleminen
  • Etsintäasetusten käyttäminen ja tarkasteleminen
  • Sovellusliitinten sivun käyttäminen ja tarkasteleminen
  • Hallintalokin käyttäminen ja tarkasteleminen
  • Tilannevedosraporttien hallinta -sivun käyttäminen ja tarkasteleminen
Suojaustietojen lukija Sisältää vain luku -oikeudet ja voi luoda ohjelmointirajapinnan käyttöoikeustunnuksia. Näitä järjestelmänvalvojia on rajoitettu tekemään seuraavat toiminnot:
    Luo käytäntöjä tai muokkaa ja muuta olemassa olevia
  • Minkä tahansa hallintotoiminnon suorittaminen
  • Resurssienetsintälokien lataaminen palvelimeen
  • Kolmannen osapuolen sovellusten kieltäminen tai hyväksyminen
  • IP-osoitealueen asetussivun käyttäminen ja tarkasteleminen
  • Järjestelmäasetussivujen käyttäminen ja tarkasteleminen
  • Etsintäasetusten käyttäminen ja tarkasteleminen
  • Sovellusliitinten sivun käyttäminen ja tarkasteleminen
  • Hallintalokin käyttäminen ja tarkasteleminen
  • Tilannevedosraporttien hallinta -sivun käyttäminen ja tarkasteleminen
Yleinen lukija Täydet vain luku -oikeudet kaikkiin Defender for Cloud Apps osa-alueisiin. Asetuksia ei voi muuttaa eikä toimintoja tehdä.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Huomautus

Sovellusten hallintaominaisuuksia hallitaan vain Microsoft Entra ID rooleilla. Lisätietoja on kohdassa Sovellusten hallintoroolit.

Roolit ja käyttöoikeudet

Käyttöoikeudet Yleiset Hallinta Suojauksen Hallinta Yhteensopivuuden Hallinta Yhteensopivuustietojen Hallinta Suojausoperaattori Suojauksen lukija Yleinen lukija PBI-Hallinta Cloud App Security järjestelmänvalvoja
Lue ilmoitukset
Hallitse ilmoituksia
Lue OAuth-sovelluksia
OAuth-sovellustoimintojen suorittaminen
Löydettyjen sovellusten, pilvisovellusluettelon ja muiden pilvitietojen etsintätietojen käyttäminen
Ohjelmointirajapintaliittimien määrittäminen
Pilvipalvelun etsintätoimintojen suorittaminen
Käytä tiedostojen tieto- ja tiedostokäytäntöjä
Suorita tiedostotoimintoja
Käyttöoikeuksien hallinnan loki
Hallintolokin toimintojen suorittaminen
Access-alueen etsinnän hallintaloki
Lukukäytännöt
Kaikkien käytäntötoimintojen suorittaminen
Tiedostokäytännön toimintojen suorittaminen
OAuth-käytäntötoimintojen suorittaminen
Näytä järjestelmänvalvojan käyttöoikeuksien hallinta
Järjestelmänvalvojien ja toimintojen tietosuojan hallinta

sisäiset järjestelmänvalvojaroolit Defender for Cloud Apps

Seuraavat tietyt järjestelmänvalvojaroolit voidaan määrittää Microsoft Defender-portaalin Käyttöoikeudet Pilvisovellukset -roolit > ->alueella:

Roolin nimi Kuvaus
Yleinen järjestelmänvalvoja Täydet käyttöoikeudet vastaavat Microsoft Entra yleisen järjestelmänvalvojan roolia mutta vain Defender for Cloud Apps.
Yhteensopivuuden järjestelmänvalvoja Myöntää samat oikeudet kuin Microsoft Entra Compliance -järjestelmänvalvojan rooli, mutta vain Defender for Cloud Apps.
Suojaustietojen lukija Myöntää samat käyttöoikeudet kuin Microsoft Entra Suojauksen lukija -roolille, mutta vain Defender for Cloud Apps.
Suojausoperaattori Myöntää samat käyttöoikeudet kuin Microsoft Entra Käyttöoikeusoperaattorin rooli, mutta vain Defender for Cloud Apps.
Sovelluksen tai esiintymän järjestelmänvalvoja Sisältää täydet tai vain luku -oikeudet kaikkiin Defender for Cloud Apps tietoihin, jotka käsittelevät yksinomaan valittua sovellusta tai esiintymää.

Voit esimerkiksi antaa käyttäjän järjestelmänvalvojalle oikeuden Box European -esiintymään. Järjestelmänvalvoja näkee vain Euroopan laatikko -esiintymään liittyvät tiedot, olivatpa ne tiedostoja, toimintoja, käytäntöjä tai hälytyksiä:
  • Aktiviteetit-sivu – Vain tiettyyn sovellukseen liittyvät aktiviteetit
  • Ilmoitukset – Vain tiettyyn sovellukseen liittyvät ilmoitukset. Joissakin tapauksissa ilmoitus toiseen sovellukseen liittyvistä tiedoista, jos tiedot korreloivat tietyn sovelluksen kanssa. Toiseen sovellukseen liittyvien ilmoitustietojen näkyvyys on rajoitettu, eikä porautumisoikeutta alaspäin voi hakea lisätietoja
  • Käytännöt – Voivat tarkastella kaikkia käytäntöjä, ja jos heille on määritetty täydet käyttöoikeudet, ne voivat muokata tai luoda vain käytäntöjä, jotka käsittelevät yksinomaan sovellusta tai esiintymää
  • Tilit-sivu – Vain tietyn sovelluksen tai esiintymän tilit
  • Sovelluksen käyttöoikeudet – vain tietyn sovelluksen tai esiintymän käyttöoikeudet
  • Tiedostot-sivu – Vain tietyn sovelluksen tai esiintymän tiedostot
  • Ehdollisten käyttöoikeuksien sovelluksen hallinta – Ei käyttöoikeuksia
  • Pilvipalvelun etsintätoiminto – Ei käyttöoikeuksia
  • Suojauslaajennukset – Vain käyttöoikeudet ohjelmointirajapintatunnukseen, jolla on käyttöoikeudet
  • Hallintatoiminnot – vain tietylle sovellukselle tai esiintymälle
  • Pilviympäristöjen suojaussuositukset – ei käyttöoikeuksia
  • IP-alueet – Ei käyttöoikeuksia
Käyttäjäryhmän järjestelmänvalvoja Sisältää täydet tai vain luku -oikeudet kaikkiin Defender for Cloud Apps tietoihin, jotka käsittelevät yksinomaan niille määritettyjä ryhmiä. Jos esimerkiksi määrität käyttäjän järjestelmänvalvojan oikeudet ryhmälle "Saksa – kaikki käyttäjät", järjestelmänvalvoja voi tarkastella ja muokata tietoja Defender for Cloud Apps vain kyseistä käyttäjäryhmää varten. Käyttäjäryhmän järjestelmänvalvojalla on seuraavat käyttöoikeudet:

  • Aktiviteetit-sivu – Vain ryhmän käyttäjiä koskevat aktiviteetit
  • Ilmoitukset – Vain ryhmän käyttäjiin liittyvät ilmoitukset. Joissakin tapauksissa toiseen käyttäjään liittyvät ilmoitustiedot, jos tiedot korreloivat ryhmän käyttäjien kanssa. Toisiin käyttäjiin liittyvien ilmoitustietojen näkyvyys on rajoitettu, eikä porautumisoikeuksia porautua alaspäin.
  • Käytännöt : Voit tarkastella kaikkia käytäntöjä, ja jos heille on määritetty täydet käyttöoikeudet, voit muokata tai luoda vain käytäntöjä, jotka koskevat yksinomaan ryhmän käyttäjiä
  • Tilit-sivu – Kertoo vain ryhmän tietyt käyttäjät
  • Sovelluksen käyttöoikeudet – Ei käyttöoikeuksia
  • Tiedostot-sivu – Ei käyttöoikeuksia
  • Ehdollisten käyttöoikeuksien sovelluksen hallinta – Ei käyttöoikeuksia
  • Pilvipalvelun etsintätoiminto – Ei käyttöoikeuksia
  • Suojauslaajennukset – Vain ohjelmointirajapintatunnuksen käyttöoikeudet ryhmän käyttäjien kanssa
  • Hallintatoiminnot – Vain ryhmän tietyille käyttäjille
  • Pilviympäristöjen suojaussuositukset – ei käyttöoikeuksia
  • IP-alueet – Ei käyttöoikeuksia


Huomautukset:
  • Jos haluat määrittää ryhmiä käyttäjäryhmän järjestelmänvalvojille, sinun on ensin tuotava käyttäjäryhmät yhdistetyistä sovelluksista.
  • Voit määrittää vain käyttäjäryhmän järjestelmänvalvojien käyttöoikeuksia tuoduille Microsoft Entra ryhmille.
Cloud Discoveryn yleinen järjestelmänvalvoja Hänellä on oikeus tarkastella ja muokata kaikkia pilvipalvelun etsintäasetuksia ja tietoja. Yleisen etsinnän järjestelmänvalvojalla on seuraavat käyttöoikeudet:

  • Asetukset: Järjestelmäasetukset - vain näkymä; Cloud Discovery -asetukset – Näytä ja muokkaa kaikkia (anonymisointioikeudet riippuvat siitä, sallittiinko se roolimäärityksen aikana)
  • Pilvipalvelun etsintätoiminto – täydet käyttöoikeudet
  • Ilmoitukset – tarkastele ja hallitse vain aiheeseen liittyvään pilvietsintäraporttiin liittyviä ilmoituksia
  • Käytännöt – Voit tarkastella kaikkia käytäntöjä ja muokata tai luoda vain pilvipalvelun etsintäkäytäntöjä
  • Aktiviteetit-sivu – Ei käyttöoikeuksia
  • Tilit-sivu – Ei käyttöoikeuksia
  • Sovelluksen käyttöoikeudet – Ei käyttöoikeuksia
  • Tiedostot-sivu – Ei käyttöoikeuksia
  • Ehdollisten käyttöoikeuksien sovelluksen hallinta – Ei käyttöoikeuksia
  • Suojauslaajennukset – Omien ohjelmointirajapintatunnusten luominen ja poistaminen
  • Hallintatoiminnot – Vain pilvipalveluun liittyvät etsintätoiminnot
  • Pilviympäristöjen suojaussuositukset – ei käyttöoikeuksia
  • IP-alueet – Ei käyttöoikeuksia
Cloud Discovery -raportin järjestelmänvalvoja
  • Asetukset: Järjestelmäasetukset - vain näkymä; Pilvitietojen etsintäasetukset – Näytä kaikki (anonymisointioikeudet riippuvat siitä, sallittiinko se roolimäärityksen aikana)
  • Pilvipalvelun etsintätoiminto – vain lukuoikeudet
  • Ilmoitukset – tarkastele vain aiheeseen liittyvään pilvietsintäraporttiin liittyviä ilmoituksia
  • Käytännöt – Voit tarkastella kaikkia käytäntöjä ja luoda vain pilvien etsintäkäytäntöjä ilman mahdollisuutta hallita sovellusta (tunnisteet, seuraamukset ja ei-käytännöt)
  • Aktiviteetit-sivu – Ei käyttöoikeuksia
  • Tilit-sivu – Ei käyttöoikeuksia
  • Sovelluksen käyttöoikeudet – Ei käyttöoikeuksia
  • Tiedostot-sivu – Ei käyttöoikeuksia
  • Ehdollisten käyttöoikeuksien sovelluksen hallinta – Ei käyttöoikeuksia
  • Suojauslaajennukset – Omien ohjelmointirajapintatunnusten luominen ja poistaminen
  • Hallintatoiminnot – tarkastele vain aiheeseen liittyvään pilvietsintäraporttiin liittyviä toimintoja
  • Pilviympäristöjen suojaussuositukset – ei käyttöoikeuksia
  • IP-alueet – Ei käyttöoikeuksia

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Sisäiset Defender for Cloud Apps järjestelmänvalvojaroolit antavat vain Defender for Cloud Apps käyttöoikeudet.

Järjestelmänvalvojan käyttöoikeuksien ohittaminen

Jos haluat ohittaa Microsoft Entra ID tai Microsoft 365:n järjestelmänvalvojan käyttöoikeuden, voit tehdä sen lisäämällä käyttäjän manuaalisesti Defender for Cloud Apps ja määrittämällä käyttöoikeudet. Jos esimerkiksi haluat määrittää Stephanielle, joka on suojauksen lukija Microsoft Entra ID täydet käyttöoikeudet Defender for Cloud Apps, voit lisätä hänet manuaalisesti Defender for Cloud Apps ja määrittää hänelle täydet oikeudet ohittaa roolinsa ja antaa hänelle tarvittavat käyttöoikeudet Defender for Cloud Apps. Huomaa, että et voi ohittaa Microsoft Entra rooleja, jotka myöntävät täydet käyttöoikeudet (yleinen järjestelmänvalvoja, suojauksen järjestelmänvalvoja ja Cloud App Security järjestelmänvalvoja).

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Lisää järjestelmänvalvojia

Voit lisätä Defender for Cloud Apps järjestelmänvalvojia lisäämättä käyttäjiä Microsoft Entra hallintarooleihin. Voit lisätä järjestelmänvalvojia seuraavasti:

Tärkeää

  • Järjestelmänvalvojan käyttöoikeussivun käyttöoikeudet ovat yleisten järjestelmänvalvojien, suojauksen järjestelmänvalvojien, vaatimustenmukaisuuden järjestelmänvalvojien, yhteensopivuustietojen järjestelmänvalvojien, suojausoperaattoreiden, suojauksen lukijoiden ja yleisten lukijoiden ryhmien käytettävissä.
  • Jotta voit muokata järjestelmänvalvojan käyttöoikeussivua ja myöntää muille käyttäjille Defender for Cloud Apps, sinulla on oltava vähintään suojauksen järjestelmänvalvojan rooli.

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

  1. Valitse Microsoft Defender portaalin vasemmasta valikosta Käyttöoikeudet.

  2. Valitse Pilvisovellukset-kohdastaRoolit.

Käyttöoikeudet-valikko.

  1. Lisää järjestelmänvalvojat, joilla on oltava Defender for Cloud Apps käyttöoikeus, valitsemalla +Lisää käyttäjä. Anna organisaatiosi käyttäjän sähköpostiosoite.

    Huomautus

    Jos haluat lisätä ulkoisia hallittujen suojauspalvelujen tarjoajia Defender for Cloud Apps järjestelmänvalvojiksi, muista kutsua heidät ensin vieraana organisaatioosi.

    järjestelmänvalvojien lisääminen.

  2. Valitse seuraavaksi avattava valikko määrittääksesi, millainen rooli järjestelmänvalvojalla on. Jos valitset Sovelluksen/Esiintymän järjestelmänvalvoja, valitse sovellus ja esiintymä, jolle järjestelmänvalvojalla on oikeudet.

    Huomautus

    Kaikki järjestelmänvalvojat, joiden käyttöoikeuksia on rajoitettu, jotka yrittävät käyttää rajoitettua sivua tai suorittaa rajoitetun toiminnon, saavat virheilmoituksen, jonka mukaan heillä ei ole sivun käyttöoikeutta tai toiminnon suorittamista.

  3. Valitse Lisää järjestelmänvalvoja.

Kutsu ulkoisia järjestelmänvalvojia

Defender for Cloud Apps avulla voit kutsua ulkoisia järjestelmänvalvojia organisaatiosi (MSSP-asiakkaan) Defender for Cloud Apps -palvelun järjestelmänvalvojiksi. Jos haluat lisätä mssps-suodattimia, varmista, että Defender for Cloud Apps on käytössä mssps-vuokraajassa, ja lisää ne sitten Microsoft Entra B2B-yhteistyökäyttäjiksi MSSPs-asiakkaille Azure-portaali. Kun mssps on lisätty, ne voidaan määrittää järjestelmänvalvojiksi ja määrittää mikä tahansa Defender for Cloud Apps käytettävissä olevista rooleista.

MsSP:n asiakaspalvelun Defender for Cloud Apps palvelun MSSP-palveluiden lisääminen

  1. Lisää MSSP:t vieraana MSSP:n asiakashakemistoon kohdassa Vieraskäyttäjien lisääminen hakemistoon olevien ohjeiden avulla.
  2. Lisää mssp-osoitteita ja määritä järjestelmänvalvojan rooli MSSP-asiakas Defender for Cloud Apps portaalissa lisäjärjestelmänvalvojien lisääminen -kohdan ohjeiden avulla. Anna sama ulkoinen sähköpostiosoite, jota käytetään lisättäessä heidät vieraina MSSP:n asiakashakemistoon.

MSSP-asiakaspalvelun Defender for Cloud Apps palvelun mssp-palveluiden käyttöoikeus

Oletusarvon mukaan MSSP:t käyttävät Defender for Cloud Apps vuokraajaansa seuraavan URL-osoitteen kautta: https://security.microsoft.com.

MSSP-palveluiden tarjoajat on kuitenkin käytettävä MSSP-asiakas Microsoft Defender Portalia vuokraajakohtaisen URL-osoitteen avulla seuraavassa muodossa: https://security.microsoft.com/?tid=<tenant_id>.

MsSp-asiakasportaalin vuokraajan tunnus voidaan noutaa seuraavien vaiheiden avulla ja käyttää sitten vuokraajakohtaista URL-osoitetta tunnuksen avulla:

  1. Kirjaudu MSSP:nä Microsoft Entra ID tunnistetiedoillasi.

  2. Vaihda hakemisto MSSP-asiakkaan vuokraajaan.

  3. Valitse Microsoft Entra ID>Ominaisuudet. MSSP-asiakkaan vuokraajatunnus on Vuokraajan tunnus - kentässä.

  4. Käytä MSSP-asiakasportaalia korvaamalla customer_tenant_id arvo seuraavassa URL-osoitteessa: https://security.microsoft.com/?tid=<tenant_id>.

Hallinta toiminnan valvonta

Defender for Cloud Apps avulla voit viedä lokin järjestelmänvalvojan kirjautumistoiminnoista ja tietyn käyttäjän näkymien valvonnan tai tutkimusten yhteydessä suoritetut hälytykset.

Voit viedä lokin seuraavasti:

  1. Valitse Microsoft Defender portaalin vasemmasta valikosta Käyttöoikeudet.

  2. Valitse Pilvisovellukset-kohdastaRoolit.

  3. Valitse Hallinta roolisivun oikeasta yläkulmasta Vie järjestelmänvalvojan toimet.

  4. Määritä tarvittava aika-alue.

  5. Valitse Vie.

Seuraavat vaiheet

Pilvipalvelun etsinnän määrittäminen