Delen via

Beheerderstoegang configureren

  • Artikel

Microsoft Defender for Cloud Apps ondersteunt op rollen gebaseerd toegangsbeheer. Dit artikel bevat instructies voor het instellen van toegang tot Defender for Cloud Apps voor uw beheerders. Zie de artikelen voor Microsoft Entra ID en Microsoft 365 voor meer informatie over het toewijzen van beheerdersrollen.

Microsoft 365- en Microsoft Entra-rollen met toegang tot Defender for Cloud Apps

Opmerking

  • Microsoft 365- en Microsoft Entra-rollen worden niet weergegeven op de pagina Defender for Cloud Apps Beheerderstoegang beheren. Als u rollen wilt toewijzen in Microsoft 365 of Microsoft Entra ID, gaat u naar de relevante RBAC-instellingen voor die service.
  • Defender for Cloud Apps gebruikt Microsoft Entra ID om de time-outinstelling voor inactiviteit op directoryniveau te bepalen. Als een gebruiker is geconfigureerd in Microsoft Entra ID om zich nooit af te melden wanneer deze inactief is, is dezelfde instelling ook van toepassing in Defender for Cloud Apps.

Standaard hebben de volgende Microsoft 365- en Microsoft Entra ID-beheerdersrollen toegang tot Defender for Cloud Apps:

Rolnaam Beschrijving
Globale beheerder- en beveiligingsbeheerder Beheerders met volledige toegang hebben volledige machtigingen in Defender for Cloud Apps. Ze kunnen beheerders toevoegen, beleidsregels en instellingen toevoegen, logboeken uploaden en beheeracties uitvoeren, SIEM-agents openen en beheren.
Cloud App Security beheerder Hiermee staat u volledige toegang en machtigingen toe in Defender for Cloud Apps. Deze rol verleent volledige machtigingen voor Defender for Cloud Apps, zoals de Microsoft Entra ID Globale beheerder rol. Deze rol is echter gericht op Defender for Cloud Apps en verleent geen volledige machtigingen voor andere Microsoft-beveiligingsproducten.
Beheerder voor naleving Heeft alleen-lezen machtigingen en kan waarschuwingen beheren. Kan geen toegang krijgen tot beveiligingsaanbeveling voor cloudplatforms. Kan bestandsbeleid maken en wijzigen, acties voor bestandsbeheer toestaan en alle ingebouwde rapporten weergeven onder Gegevensbeheer.
Beheerder van nalevingsgegevens Heeft alleen-lezenmachtigingen, kan bestandsbeleid maken en wijzigen, acties voor bestandsbeheer toestaan en alle detectierapporten weergeven. Kan geen toegang krijgen tot beveiligingsaanbeveling voor cloudplatforms.
Beveiligingsoperator Heeft alleen-lezen machtigingen en kan waarschuwingen beheren. Deze beheerders kunnen de volgende acties niet uitvoeren:
  • Beleid maken of bestaande beleidsregels bewerken en wijzigen
  • Beheeracties uitvoeren
  • Detectielogboeken uploaden
  • Apps van derden verbieden of goedkeuren
  • De pagina met instellingen voor IP-adresbereik openen en weergeven
  • Pagina's met systeeminstellingen openen en weergeven
  • De detectie-instellingen openen en weergeven
  • De pagina App-connectors openen en weergeven
  • Het governancelogboek openen en weergeven
  • De pagina Momentopnamerapporten beheren openen en weergeven
Beveiligingslezer Heeft alleen-lezenmachtigingen en kan API-toegangstokens maken. Deze beheerders kunnen de volgende acties niet uitvoeren:
    Beleid maken of bestaande beleidsregels bewerken en wijzigen
  • Beheeracties uitvoeren
  • Detectielogboeken uploaden
  • Apps van derden verbieden of goedkeuren
  • De pagina met instellingen voor IP-adresbereik openen en weergeven
  • Pagina's met systeeminstellingen openen en weergeven
  • De detectie-instellingen openen en weergeven
  • De pagina App-connectors openen en weergeven
  • Het governancelogboek openen en weergeven
  • De pagina Momentopnamerapporten beheren openen en weergeven
Globale lezer Heeft volledige alleen-lezentoegang tot alle aspecten van Defender for Cloud Apps. Kan geen instellingen wijzigen en geen acties uitvoeren.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Opmerking

Functies voor app-beheer worden alleen beheerd door Microsoft Entra ID rollen. Zie App-governancerollen voor meer informatie.

Rollen en machtigingen

Machtigingen Algemene beheerder Beveiligings Beheer Nalevings Beheer Beheer voor nalevingsgegevens Beveiligingsoperator Beveiligingslezer Algemene lezer PBI-Beheer Cloud App Security-beheerder
Waarschuwingen lezen
Waarschuwingen beheren
OAuth-toepassingen lezen
OAuth-toepassingsacties uitvoeren
Toegang tot gedetecteerde apps, de catalogus met cloud-apps en andere clouddetectiegegevens
API-connectors configureren
Clouddetectieacties uitvoeren
Toegang tot bestanden gegevens en bestandsbeleid
Bestandsacties uitvoeren
Toegangsbeheerlogboek
Beheerlogboekacties uitvoeren
Toegangsbeheerlogboek voor detectie
Beleid lezen
Alle beleidsacties uitvoeren
Bestandsbeleidsacties uitvoeren
OAuth-beleidsacties uitvoeren
Beheerderstoegang beheren weergeven
Beheerders en activiteitsprivacy beheren

Ingebouwde beheerdersrollen in Defender for Cloud Apps

De volgende specifieke beheerdersrollen kunnen worden geconfigureerd in de Microsoft Defender-portal, in het gebied Machtigingen > cloud-appsrollen>:

Rolnaam Beschrijving
Globale beheerder Heeft volledige toegang die vergelijkbaar is met de rol Microsoft Entra globale beheerder, maar alleen voor Defender for Cloud Apps.
Beheerder voor naleving Verleent dezelfde machtigingen als de rol Microsoft Entra Compliancebeheerder, maar alleen aan Defender for Cloud Apps.
Beveiligingslezer Verleent dezelfde machtigingen als de rol Microsoft Entra Beveiligingslezer, maar alleen aan Defender for Cloud Apps.
Beveiligingsoperator Verleent dezelfde machtigingen als de rol Microsoft Entra Beveiligingsoperator, maar alleen aan Defender for Cloud Apps.
App-/exemplaarbeheerder Heeft volledige of alleen-lezen machtigingen voor alle gegevens in Defender for Cloud Apps die uitsluitend betrekking heeft op de specifieke app of het exemplaar van een geselecteerde app.

U geeft bijvoorbeeld een gebruikersbeheerder toestemming voor uw Box European-exemplaar. De beheerder ziet alleen gegevens die betrekking hebben op het Europese Box-exemplaar, of het nu gaat om bestanden, activiteiten, beleidsregels of waarschuwingen:
  • Pagina Activiteiten - Alleen activiteiten over de specifieke app
  • Waarschuwingen: alleen waarschuwingen met betrekking tot de specifieke app. In sommige gevallen worden gegevens met betrekking tot een andere app gewaarschuwd als de gegevens zijn gecorreleerd met de specifieke app. De zichtbaarheid van waarschuwingsgegevens met betrekking tot een andere app is beperkt en er is geen toegang om in te zoomen voor meer informatie
  • Beleid: kan alle beleidsregels weergeven en als volledige machtigingen zijn toegewezen, kunnen alleen beleidsregels worden bewerkt of gemaakt die uitsluitend betrekking hebben op de app/instantie
  • Pagina Accounts: alleen accounts voor de specifieke app/instantie
  • App-machtigingen: alleen machtigingen voor de specifieke app/instantie
  • Pagina Bestanden - Alleen bestanden van de specifieke app/instantie
  • App-beheer voor voorwaardelijke toegang - Geen machtigingen
  • Activiteit voor clouddetectie : geen machtigingen
  • Beveiligingsextensies: alleen machtigingen voor API-token met gebruikersmachtigingen
  • Governanceacties: alleen voor de specifieke app/instantie
  • Beveiligingsaanbevelingen voor cloudplatforms - Geen machtigingen
  • IP-bereiken - geen machtigingen
Beheerder van gebruikersgroep Heeft volledige of alleen-lezen machtigingen voor alle gegevens in Defender for Cloud Apps die uitsluitend betrekking heeft op de specifieke groepen die eraan zijn toegewezen. Als u bijvoorbeeld gebruikersbeheerdersmachtigingen toewijst aan de groep 'Duitsland - alle gebruikers', kan de beheerder informatie in Defender for Cloud Apps alleen voor die gebruikersgroep bekijken en bewerken. De beheerder van de gebruikersgroep heeft de volgende toegang:

  • Activiteitenpagina: alleen activiteiten over de gebruikers in de groep
  • Waarschuwingen: alleen waarschuwingen met betrekking tot de gebruikers in de groep. In sommige gevallen worden gegevens met betrekking tot een andere gebruiker gewaarschuwd als de gegevens zijn gecorreleerd met de gebruikers in de groep. De zichtbaarheid van waarschuwingsgegevens met betrekking tot andere gebruikers is beperkt en er is geen toegang om in te zoomen voor meer informatie.
  • Beleid: kan alle beleidsregels weergeven en als volledige machtigingen zijn toegewezen, kunnen alleen beleidsregels worden bewerkt of gemaakt die uitsluitend betrekking hebben op gebruikers in de groep
  • Pagina Accounts: alleen accounts voor de specifieke gebruikers in de groep
  • App-machtigingen : geen machtigingen
  • Pagina Bestanden : geen machtigingen
  • App-beheer voor voorwaardelijke toegang - Geen machtigingen
  • Activiteit voor clouddetectie : geen machtigingen
  • Beveiligingsextensies: alleen machtigingen voor API-token met gebruikers in de groep
  • Governanceacties: alleen voor de specifieke gebruikers in de groep
  • Beveiligingsaanbevelingen voor cloudplatforms - Geen machtigingen
  • IP-bereiken - geen machtigingen


Opmerkingen:
  • Als u groepen wilt toewijzen aan beheerders van gebruikersgroepen, moet u eerst gebruikersgroepen importeren uit verbonden apps.
  • U kunt alleen beheerdersmachtigingen voor gebruikersgroepen toewijzen aan geïmporteerde Microsoft Entra groepen.
Globale beheerder van Cloud Discovery Heeft toestemming om alle instellingen en gegevens voor clouddetectie weer te geven en te bewerken. De globale detectiebeheerder heeft de volgende toegang:

  • Instellingen: Systeeminstellingen - Alleen weergeven; Cloud Discovery-instellingen: alles weergeven en bewerken (anonimiseringsmachtigingen zijn afhankelijk van of dit is toegestaan tijdens de roltoewijzing)
  • Activiteit voor clouddetectie - volledige machtigingen
  • Waarschuwingen: alleen waarschuwingen weergeven en beheren die betrekking hebben op het relevante clouddetectierapport
  • Beleid: kan alle beleidsregels weergeven en kan alleen clouddetectiebeleid bewerken of maken
  • Pagina Activiteiten - geen machtigingen
  • Pagina Accounts - Geen machtigingen
  • App-machtigingen : geen machtigingen
  • Pagina Bestanden : geen machtigingen
  • App-beheer voor voorwaardelijke toegang - Geen machtigingen
  • Beveiligingsextensies: hun eigen API-tokens maken en verwijderen
  • Governanceacties : alleen acties die betrekking hebben op Cloud Discovery
  • Beveiligingsaanbevelingen voor cloudplatforms - Geen machtigingen
  • IP-bereiken - geen machtigingen
Cloud Discovery-rapportbeheerder
  • Instellingen: Systeeminstellingen - Alleen weergeven; Instellingen voor clouddetectie: alles weergeven (anonimiseringsmachtigingen zijn afhankelijk van of dit is toegestaan tijdens roltoewijzing)
  • Activiteit voor clouddetectie : alleen leesmachtigingen
  • Waarschuwingen: alleen waarschuwingen weergeven die betrekking hebben op het relevante clouddetectierapport
  • Beleid: kan alle beleidsregels weergeven en kan alleen clouddetectiebeleid maken, zonder de mogelijkheid om de toepassing te beheren (taggen, goedkeuren en niet-goedgekeurd)
  • Pagina Activiteiten - geen machtigingen
  • Pagina Accounts - Geen machtigingen
  • App-machtigingen : geen machtigingen
  • Pagina Bestanden : geen machtigingen
  • App-beheer voor voorwaardelijke toegang - Geen machtigingen
  • Beveiligingsextensies: hun eigen API-tokens maken en verwijderen
  • Governanceacties: alleen acties weergeven die betrekking hebben op het relevante clouddetectierapport
  • Beveiligingsaanbevelingen voor cloudplatforms - Geen machtigingen
  • IP-bereiken - geen machtigingen

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

De ingebouwde Defender for Cloud Apps beheerdersrollen bieden alleen toegangsmachtigingen voor Defender for Cloud Apps.

Beheerdersmachtigingen overschrijven

Als u de beheerdersmachtiging van Microsoft Entra ID of Microsoft 365 wilt overschrijven, kunt u dit doen door de gebruiker handmatig toe te voegen aan Defender for Cloud Apps en de gebruikersmachtigingen toe te wijzen. Als u bijvoorbeeld Stephanie, die een beveiligingslezer in Microsoft Entra ID is, volledige toegang wilt toewijzen in Defender for Cloud Apps, kunt u haar handmatig toevoegen aan Defender for Cloud Apps en haar volledige toegang toewijzen om haar rol te overschrijven en haar de benodigde machtigingen toe te staan in Defender for Cloud Apps. Houd er rekening mee dat het niet mogelijk is om Microsoft Entra rollen te overschrijven die volledige toegang verlenen (Globale beheerder, beveiligingsbeheerder en Cloud App Security beheerder).

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Extra beheerders toevoegen

U kunt extra beheerders toevoegen aan Defender for Cloud Apps zonder gebruikers toe te voegen aan Microsoft Entra beheerdersrollen. Voer de volgende stappen uit om extra beheerders toe te voegen:

Belangrijk

  • Toegang tot de pagina Beheerderstoegang beheren is beschikbaar voor leden van de groepen Globale beheerders, Beveiligingsbeheerders, Compliancebeheerders, Beheerders van compliancegegevens, Beveiligingsoperators, Beveiligingslezers en Globale lezers.
  • Als u de pagina Beheerderstoegang beheren wilt bewerken en andere gebruikers toegang wilt verlenen tot Defender for Cloud Apps, moet u ten minste de rol Beveiligingsbeheerder hebben.

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

  1. Selecteer in de Microsoft Defender Portal in het linkermenu Machtigingen.

  2. Kies rollen onder Cloud-apps.

Menu Machtigingen.

  1. Selecteer +Gebruiker toevoegen om de beheerders toe te voegen die toegang moeten hebben tot Defender for Cloud Apps. Geef een e-mailadres op van een gebruiker binnen uw organisatie.

    Opmerking

    Als u externe MANAGED Security Service Providers (MSSP's) wilt toevoegen als beheerders voor Defender for Cloud Apps, moet u ze eerst uitnodigen als gast voor uw organisatie.

    beheerders toevoegen.

  2. Selecteer vervolgens de vervolgkeuzelijst om in te stellen welk type rol de beheerder heeft. Als u App-/exemplaarbeheerder selecteert, selecteert u de app en het exemplaar waarvoor de beheerder machtigingen moet hebben.

    Opmerking

    Elke beheerder van wie de toegang is beperkt, die probeert toegang te krijgen tot een beperkte pagina of een beperkte actie probeert uit te voeren, krijgt een foutmelding dat hij of zij niet gemachtigd is om de pagina te openen of de actie uit te voeren.

  3. Selecteer Beheerder toevoegen.

Externe beheerders uitnodigen

Defender for Cloud Apps stelt u in staat externe beheerders (MSSP's) uit te nodigen als beheerders van de Defender for Cloud Apps-service van uw organisatie (MSSP-klant). Als u MSSP's wilt toevoegen, controleert u of Defender for Cloud Apps is ingeschakeld op de MSSP-tenant en voegt u deze vervolgens toe als Microsoft Entra gebruikers van B2B-samenwerking in de MSSP-klanten Azure Portal. Zodra mssp's zijn toegevoegd, kunnen ze worden geconfigureerd als beheerders en worden alle rollen toegewezen die beschikbaar zijn in Defender for Cloud Apps.

MSSP's toevoegen aan de DEFENDER FOR CLOUD APPS-service van de MSSP-klant

  1. Voeg MSSP's toe als gast in de MSSP-klantmap met behulp van de stappen onder Gastgebruikers toevoegen aan de directory.
  2. Voeg MSSP's toe en wijs een beheerdersrol toe in de MSSP-klant Defender for Cloud Apps portal met behulp van de stappen onder Extra beheerders toevoegen. Geef hetzelfde externe e-mailadres op dat is gebruikt bij het toevoegen als gasten in de MSSP-klantadreslijst.

Toegang voor MSSP's tot de MSSP-klant Defender for Cloud Apps service

MSSP's hebben standaard toegang tot hun Defender for Cloud Apps tenant via de volgende URL: https://security.microsoft.com.

MSSP's moeten echter toegang hebben tot de MSSP-klant Microsoft Defender Portal met behulp van een tenantspecifieke URL in de volgende indeling: https://security.microsoft.com/?tid=<tenant_id>.

MSSP's kunnen de volgende stappen gebruiken om de tenant-id van de MSSP-klantportal op te halen en vervolgens de id te gebruiken voor toegang tot de tenantspecifieke URL:

  1. Meld u als MSSP aan bij Microsoft Entra ID met uw referenties.

  2. Schakel de map over naar de tenant van de MSSP-klant.

  3. Selecteer Microsoft Entra ID>Eigenschappen. U vindt de tenant-id van de MSSP-klant in het veld Tenant-id .

  4. Ga naar de MSSP-klantportal door de customer_tenant_id waarde in de volgende URL te vervangen: https://security.microsoft.com/?tid=<tenant_id>.

controle van Beheer activiteit

met Defender for Cloud Apps kunt u een logboek exporteren van aanmeldingsactiviteiten voor beheerders en een controle van weergaven van een specifieke gebruiker of waarschuwingen die zijn uitgevoerd als onderdeel van een onderzoek.

Voer de volgende stappen uit om een logboek te exporteren:

  1. Selecteer in de Microsoft Defender Portal in het linkermenu Machtigingen.

  2. Kies rollen onder Cloud-apps.

  3. Selecteer op de pagina Beheer rollen in de rechterbovenhoek de optie Beheeractiviteiten exporteren.

  4. Geef het vereiste tijdsbereik op.

  5. Selecteer Exporteren.

Volgende stappen

Clouddetectie instellen