Udostępnij za pośrednictwem

Konfigurowanie dostępu administratora

  • Artykuł

Microsoft Defender for Cloud Apps obsługuje kontrolę dostępu opartą na rolach. Ten artykuł zawiera instrukcje dotyczące ustawiania dostępu do Defender for Cloud Apps dla administratorów. Aby uzyskać więcej informacji na temat przypisywania ról administratora, zobacz artykuły dotyczące Tożsamość Microsoft Entra i platformy Microsoft 365.

Role platformy Microsoft 365 i Microsoft Entra z dostępem do Defender for Cloud Apps

Uwaga

  • Role platformy Microsoft 365 i Microsoft Entra nie są wyświetlane na stronie Defender for Cloud Apps Zarządzanie dostępem administratora. Aby przypisać role w usłudze Microsoft 365 lub Tożsamość Microsoft Entra, przejdź do odpowiednich ustawień RBAC dla tej usługi.
  • Defender for Cloud Apps używa Tożsamość Microsoft Entra do określenia ustawienia limitu czasu braku aktywności na poziomie katalogu użytkownika. Jeśli użytkownik jest skonfigurowany w Tożsamość Microsoft Entra, aby nigdy nie wylogowywać się, gdy jest nieaktywny, to samo ustawienie będzie miało zastosowanie również w Defender for Cloud Apps.

Domyślnie następujące role administratora platformy Microsoft 365 i Tożsamość Microsoft Entra mają dostęp do Defender for Cloud Apps:

Nazwa roli Opis
administrator globalny i administrator zabezpieczeń Administratorzy z pełnym dostępem mają pełne uprawnienia w Defender for Cloud Apps. Mogą dodawać administratorów, dodawać zasady i ustawienia, przekazywać dzienniki i wykonywać akcje ładu, uzyskiwać dostęp do agentów SIEM i zarządzać nimi.
administrator Cloud App Security Umożliwia pełny dostęp i uprawnienia w Defender for Cloud Apps. Ta rola udziela pełnych uprawnień do Defender for Cloud Apps, takich jak rola Tożsamość Microsoft Entra administrator globalny. Jednak ta rola ma zakres Defender for Cloud Apps i nie przyzna pełnych uprawnień innym produktom zabezpieczającym firmy Microsoft.
Administrator zgodności Ma uprawnienia tylko do odczytu i może zarządzać alertami. Nie można uzyskać dostępu do zaleceń dotyczących zabezpieczeń dla platform w chmurze. Może tworzyć i modyfikować zasady plików, zezwalać na akcje ładu plików i wyświetlać wszystkie wbudowane raporty w obszarze Zarządzanie danymi.
Administrator danych zgodności Ma uprawnienia tylko do odczytu, może tworzyć i modyfikować zasady plików, zezwalać na akcje ładu plików i wyświetlać wszystkie raporty odnajdywania. Nie można uzyskać dostępu do zaleceń dotyczących zabezpieczeń dla platform w chmurze.
Operator zabezpieczeń Ma uprawnienia tylko do odczytu i może zarządzać alertami. Ci administratorzy nie mogą wykonywać następujących akcji:
  • Tworzenie zasad lub edytowanie i zmienianie istniejących
  • Wykonywanie wszelkich akcji ładu
  • Przekazywanie dzienników odnajdywania
  • Blokowanie lub zatwierdzanie aplikacji innych firm
  • Uzyskiwanie dostępu do strony ustawień zakresu adresów IP i wyświetlanie ich
  • Uzyskiwanie dostępu do stron ustawień systemu i wyświetlanie ich
  • Uzyskiwanie dostępu do ustawień odnajdywania i wyświetlanie ich
  • Uzyskiwanie dostępu do strony Łączniki aplikacji i wyświetlanie ich
  • Uzyskiwanie dostępu do dziennika nadzoru i wyświetlanie go
  • Uzyskiwanie dostępu do strony Zarządzanie raportami migawek i wyświetlanie ich
Czytelnik zabezpieczeń Ma uprawnienia tylko do odczytu i może tworzyć tokeny dostępu interfejsu API. Ci administratorzy nie mogą wykonywać następujących akcji:
    Tworzenie zasad lub edytowanie i zmienianie istniejących
  • Wykonywanie wszelkich akcji ładu
  • Przekazywanie dzienników odnajdywania
  • Blokowanie lub zatwierdzanie aplikacji innych firm
  • Uzyskiwanie dostępu do strony ustawień zakresu adresów IP i wyświetlanie ich
  • Uzyskiwanie dostępu do stron ustawień systemu i wyświetlanie ich
  • Uzyskiwanie dostępu do ustawień odnajdywania i wyświetlanie ich
  • Uzyskiwanie dostępu do strony Łączniki aplikacji i wyświetlanie ich
  • Uzyskiwanie dostępu do dziennika nadzoru i wyświetlanie go
  • Uzyskiwanie dostępu do strony Zarządzanie raportami migawek i wyświetlanie ich
Czytelnik globalny Ma pełny dostęp tylko do odczytu do wszystkich aspektów Defender for Cloud Apps. Nie można zmienić żadnych ustawień ani podjąć żadnych akcji.

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Uwaga

Funkcje ładu aplikacji są kontrolowane tylko przez role Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Role ładu aplikacji.

Role i uprawnienia

Uprawnienia Administrator globalny Administracja zabezpieczeń Administracja zgodności Administracja danych zgodności Operator zabezpieczeń Czytelnik zabezpieczeń Czytelnik globalny Administracja PBI administrator Cloud App Security
Odczytywanie alertów
Zarządzaj alertami
Odczytywanie aplikacji OAuth
Wykonywanie akcji aplikacji OAuth
Uzyskiwanie dostępu do odnalezionych aplikacji, wykazu aplikacji w chmurze i innych danych odnajdywania w chmurze
Konfigurowanie łączników interfejsu API
Wykonywanie akcji odnajdywania w chmurze
Uzyskiwanie dostępu do danych plików i zasad plików
Wykonywanie akcji pliku
Dziennik nadzoru dostępu
Wykonywanie akcji dziennika ładu
Dziennik ładu odnajdywania o zakresie dostępu
Zasady odczytu
Wykonywanie wszystkich akcji zasad
Wykonywanie akcji zasad plików
Wykonywanie akcji zasad OAuth
Wyświetlanie zarządzania dostępem administratora
Zarządzanie administratorami i prywatnością działań

Wbudowane role administratora w Defender for Cloud Apps

Następujące określone role administratora można skonfigurować w portalu Microsoft Defender w obszarze Role aplikacji > w chmurze uprawnień>:

Nazwa roli Opis
Administrator globalny Ma pełny dostęp podobny do roli administratora globalnego Microsoft Entra, ale tylko do Defender for Cloud Apps.
Administrator zgodności Udziela tych samych uprawnień co rola administratora zgodności Microsoft Entra, ale tylko do Defender for Cloud Apps.
Czytelnik zabezpieczeń Udziela tych samych uprawnień co rola czytelnika Microsoft Entra Security, ale tylko do Defender for Cloud Apps.
Operator zabezpieczeń Udziela tych samych uprawnień co rola operatora Microsoft Entra Security, ale tylko do Defender for Cloud Apps.
Administrator aplikacji/wystąpienia Ma pełne lub tylko do odczytu uprawnienia do wszystkich danych w Defender for Cloud Apps, które dotyczą wyłącznie określonej aplikacji lub wystąpienia wybranej aplikacji.

Na przykład udzielasz uprawnienia administratora użytkownika do wystąpienia box european. Administrator zobaczy tylko dane związane z wystąpieniem box european, niezależnie od tego, czy są to pliki, działania, zasady czy alerty:
  • Strona Działania — tylko działania dotyczące określonej aplikacji
  • Alerty — tylko alerty dotyczące określonej aplikacji. W niektórych przypadkach dane alertów związane z inną aplikacją, jeśli dane są skorelowane z określoną aplikacją. Widoczność danych alertów związanych z inną aplikacją jest ograniczona i nie ma dostępu do przechodzenia do szczegółów, aby uzyskać więcej szczegółów
  • Zasady — może wyświetlać wszystkie zasady i jeśli przypisano pełne uprawnienia, mogą edytować lub tworzyć tylko zasady, które dotyczą wyłącznie aplikacji/wystąpienia
  • Strona Konta — tylko konta dla określonej aplikacji/wystąpienia
  • Uprawnienia aplikacji — tylko uprawnienia dla określonej aplikacji/wystąpienia
  • Strona Pliki — tylko pliki z określonej aplikacji/wystąpienia
  • Kontrola aplikacji dostępu warunkowego — brak uprawnień
  • Działanie odnajdywania w chmurze — brak uprawnień
  • Rozszerzenia zabezpieczeń — tylko uprawnienia tokenu interfejsu API z uprawnieniami użytkownika
  • Akcje ładu — tylko dla określonej aplikacji/wystąpienia
  • Zalecenia dotyczące zabezpieczeń dla platform w chmurze — brak uprawnień
  • Zakresy adresów IP — brak uprawnień
Administrator grupy użytkowników Ma pełne lub tylko do odczytu uprawnienia do wszystkich danych w Defender for Cloud Apps, które dotyczą wyłącznie określonych grup przypisanych do nich. Jeśli na przykład przypiszesz uprawnienia administratora użytkownika do grupy "Niemcy — wszyscy użytkownicy", administrator może wyświetlać i edytować informacje w Defender for Cloud Apps tylko dla tej grupy użytkowników. Administrator grupy użytkowników ma następujący dostęp:

  • Strona Działania — tylko działania dotyczące użytkowników w grupie
  • Alerty — tylko alerty dotyczące użytkowników w grupie. W niektórych przypadkach dane alertów związane z innym użytkownikiem, jeśli dane są skorelowane z użytkownikami w grupie. Widoczność danych alertów związanych z innymi użytkownikami jest ograniczona i nie ma dostępu do przechodzenia do szczegółów, aby uzyskać więcej szczegółów.
  • Zasady — może wyświetlać wszystkie zasady i jeśli przypisano pełne uprawnienia, mogą edytować lub tworzyć tylko zasady, które dotyczą wyłącznie użytkowników w grupie
  • Strona Konta — tylko konta dla określonych użytkowników w grupie
  • Uprawnienia aplikacji — brak uprawnień
  • Strona Pliki — brak uprawnień
  • Kontrola aplikacji dostępu warunkowego — brak uprawnień
  • Działanie odnajdywania w chmurze — brak uprawnień
  • Rozszerzenia zabezpieczeń — tylko uprawnienia do tokenu interfejsu API z użytkownikami w grupie
  • Akcje ładu — tylko dla określonych użytkowników w grupie
  • Zalecenia dotyczące zabezpieczeń dla platform w chmurze — brak uprawnień
  • Zakresy adresów IP — brak uprawnień


Uwagi:
  • Aby przypisać grupy do administratorów grup użytkowników, należy najpierw zaimportować grupy użytkowników z połączonych aplikacji.
  • Uprawnienia administratorów grup użytkowników można przypisywać tylko do zaimportowanych grup Microsoft Entra.
Administrator globalny usługi Cloud Discovery Ma uprawnienia do wyświetlania i edytowania wszystkich ustawień i danych odnajdywania w chmurze. Administrator usługi Global Discovery ma następujący dostęp:

  • Ustawienia: Ustawienia systemu — tylko widok; Ustawienia usługi Cloud Discovery — wyświetlanie i edytowanie wszystkich (uprawnienia do anonimizowania zależą od tego, czy było to dozwolone podczas przypisywania roli)
  • Działanie odnajdywania w chmurze — pełne uprawnienia
  • Alerty — wyświetlanie tylko alertów związanych z odpowiednim raportem odnajdywania w chmurze i zarządzanie nimi
  • Zasady — może wyświetlać wszystkie zasady i edytować lub tworzyć tylko zasady odnajdywania w chmurze
  • Strona Działania — brak uprawnień
  • Strona Konta — brak uprawnień
  • Uprawnienia aplikacji — brak uprawnień
  • Strona Pliki — brak uprawnień
  • Kontrola aplikacji dostępu warunkowego — brak uprawnień
  • Rozszerzenia zabezpieczeń — tworzenie i usuwanie własnych tokenów interfejsu API
  • Akcje ładu — tylko akcje związane z usługą Cloud Discovery
  • Zalecenia dotyczące zabezpieczeń dla platform w chmurze — brak uprawnień
  • Zakresy adresów IP — brak uprawnień
Administrator raportu usługi Cloud Discovery
  • Ustawienia: Ustawienia systemu — tylko widok; Ustawienia odnajdywania w chmurze — wyświetlanie wszystkich (uprawnienia do anonimizowania zależą od tego, czy było to dozwolone podczas przypisywania roli)
  • Działanie odnajdywania w chmurze — tylko uprawnienia do odczytu
  • Alerty — wyświetlanie tylko alertów związanych z odpowiednim raportem odnajdywania w chmurze
  • Zasady — mogą wyświetlać wszystkie zasady i mogą tworzyć tylko zasady odnajdywania w chmurze bez możliwości zarządzania aplikacjami (tagowanie, sankcja i nieakceptowano)
  • Strona Działania — brak uprawnień
  • Strona Konta — brak uprawnień
  • Uprawnienia aplikacji — brak uprawnień
  • Strona Pliki — brak uprawnień
  • Kontrola aplikacji dostępu warunkowego — brak uprawnień
  • Rozszerzenia zabezpieczeń — tworzenie i usuwanie własnych tokenów interfejsu API
  • Akcje ładu — wyświetlanie tylko akcji związanych z odpowiednim raportem odnajdywania w chmurze
  • Zalecenia dotyczące zabezpieczeń dla platform w chmurze — brak uprawnień
  • Zakresy adresów IP — brak uprawnień

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Wbudowane role administratora Defender for Cloud Apps zapewniają tylko uprawnienia dostępu do Defender for Cloud Apps.

Zastępowanie uprawnień administratora

Jeśli chcesz zastąpić uprawnienia administratora z Tożsamość Microsoft Entra lub platformy Microsoft 365, możesz to zrobić ręcznie dodając użytkownika do Defender for Cloud Apps i przypisując uprawnienia użytkownika. Jeśli na przykład chcesz przypisać Stephanie, która jest czytelnikiem zabezpieczeń w Tożsamość Microsoft Entra, aby mieć pełny dostęp w Defender for Cloud Apps, możesz dodać ją ręcznie, aby Defender for Cloud Apps i przypisać jej pełny dostęp, aby zastąpić jej rolę i zezwolić jej na niezbędne uprawnienia w Defender for Cloud Apps. Należy pamiętać, że nie można zastąpić ról Microsoft Entra, które udzielają pełnego dostępu (administrator globalny, administrator zabezpieczeń i administrator Cloud App Security).

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Dodawanie dodatkowych administratorów

Możesz dodać dodatkowych administratorów do Defender for Cloud Apps bez dodawania użytkowników do Microsoft Entra ról administracyjnych. Aby dodać dodatkowych administratorów, wykonaj następujące czynności:

Ważna

  • Dostęp do strony Zarządzanie dostępem administratora jest dostępny dla członków grup administratorzy globalni, administratorzy zabezpieczeń, administratorzy zgodności, administratorzy danych zgodności, operatorzy zabezpieczeń, czytelnicy zabezpieczeń i globalni czytelnicy.
  • Aby edytować stronę Zarządzanie dostępem administratora i przyznać innym użytkownikom dostęp do Defender for Cloud Apps, musisz mieć co najmniej rolę administratora zabezpieczeń.

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  1. W portalu Microsoft Defender w menu po lewej stronie wybierz pozycję Uprawnienia.

  2. W obszarze Aplikacje w chmurze wybierz pozycję Role.

Menu Uprawnienia.

  1. Wybierz pozycję +Dodaj użytkownika, aby dodać administratorów, którzy powinni mieć dostęp do Defender for Cloud Apps. Podaj adres e-mail użytkownika z twojej organizacji.

    Uwaga

    Jeśli chcesz dodać zewnętrznych zarządzanych dostawców usług zabezpieczeń (MSSP) jako administratorów Defender for Cloud Apps, najpierw zaproś ich jako gościa do swojej organizacji.

    dodaj administratorów.

  2. Następnie wybierz listę rozwijaną, aby ustawić typ roli, jaką ma administrator. Jeśli wybierzesz pozycję Administrator aplikacji/wystąpienia, wybierz aplikację i wystąpienie dla administratora, aby mieć uprawnienia.

    Uwaga

    Każdy administrator, którego dostęp jest ograniczony, który próbuje uzyskać dostęp do strony z ograniczeniami lub wykonać akcję z ograniczeniami, otrzyma błąd, że nie ma uprawnień dostępu do strony ani wykonania akcji.

  3. Wybierz pozycję Dodaj administratora.

Zapraszanie administratorów zewnętrznych

Defender for Cloud Apps umożliwia zapraszanie administratorów zewnętrznych (MSSP) jako administratorów usługi Defender for Cloud Apps organizacji (klienta MSSP). Aby dodać dostawców MSSP, upewnij się, Defender for Cloud Apps jest włączona w dzierżawie mssps, a następnie dodaj je jako Microsoft Entra użytkowników współpracy B2B w klientach mssps Azure Portal. Po dodaniu adresów MSSP można skonfigurować jako administratorów i przypisać dowolną z ról dostępnych w Defender for Cloud Apps.

Aby dodać dostawców MSSP do usługi Defender for Cloud Apps klienta MSSP

  1. Dodaj dostawców MSSP jako gościa w katalogu klienta PROGRAMU MSSP, wykonując kroki opisane w sekcji Dodawanie użytkowników-gości do katalogu.
  2. Dodaj dostawców MSSP i przypisz rolę administratora w portalu Defender for Cloud Apps klienta programu MSSP, wykonując kroki opisane w sekcji Dodawanie dodatkowych administratorów. Podaj ten sam zewnętrzny adres e-mail używany podczas dodawania ich jako gości w katalogu klienta MSSP.

Dostęp dla dostawców MSSP do usługi Defender for Cloud Apps klienta MSSP

Domyślnie dostawcy mssps uzyskują dostęp do swojej dzierżawy Defender for Cloud Apps za pośrednictwem następującego adresu URL: https://security.microsoft.com.

Dostawcy MSSP będą jednak musieli uzyskać dostęp do portalu Microsoft Defender klienta programu MSSP przy użyciu adresu URL specyficznego dla dzierżawy w następującym formacie: https://security.microsoft.com/?tid=<tenant_id>.

Dostawcy mssps mogą wykonać następujące kroki, aby uzyskać identyfikator dzierżawy portalu klienta MSSP, a następnie użyć identyfikatora, aby uzyskać dostęp do adresu URL specyficznego dla dzierżawy:

  1. Jako administrator mssp zaloguj się, aby Tożsamość Microsoft Entra przy użyciu poświadczeń.

  2. Przełącz katalog do dzierżawy klienta programu MSSP.

  3. Wybierz pozycję Tożsamość Microsoft Entra>Właściwości. Identyfikator dzierżawy klienta mssp znajdziesz w polu Identyfikator dzierżawy .

  4. Uzyskaj dostęp do portalu klienta MSSP, zastępując customer_tenant_id wartość w następującym adresie URL: https://security.microsoft.com/?tid=<tenant_id>.

inspekcja działań Administracja

Defender for Cloud Apps umożliwia wyeksportowanie dziennika działań logowania administratora i inspekcji widoków określonego użytkownika lub alertów przeprowadzonych w ramach badania.

Aby wyeksportować dziennik, wykonaj następujące kroki:

  1. W portalu Microsoft Defender w menu po lewej stronie wybierz pozycję Uprawnienia.

  2. W obszarze Aplikacje w chmurze wybierz pozycję Role.

  3. Na stronie role Administracja w prawym górnym rogu wybierz pozycję Eksportuj działania administratora.

  4. Określ wymagany zakres czasu.

  5. Wybierz pozycję Eksportuj.

Następne kroki

Konfigurowanie odnajdywania w chmurze