Configurar o acesso de administrador
Microsoft Defender para Aplicativos de Nuvem suporta o controlo de acesso baseado em funções. Este artigo fornece instruções para definir o acesso ao Defender para Aplicativos de Nuvem para os seus administradores. Para obter mais informações sobre a atribuição de funções de administrador, consulte os artigos para o Microsoft Entra ID e o Microsoft 365.
Funções do Microsoft 365 e Microsoft Entra com acesso a Defender para Aplicativos de Nuvem
Observação
- As funções do Microsoft 365 e Microsoft Entra não estão listadas na página Gerir acesso de administrador Defender para Aplicativos de Nuvem. Para atribuir funções no Microsoft 365 ou Microsoft Entra ID, aceda às definições RBAC relevantes desse serviço.
- Defender para Aplicativos de Nuvem utiliza Microsoft Entra ID para determinar a definição de tempo limite de inatividade ao nível do diretório do utilizador. Se um utilizador estiver configurado no Microsoft Entra ID nunca terminar sessão quando estiver inativo, também será aplicada a mesma definição no Defender para Aplicativos de Nuvem.
Por predefinição, as seguintes funções de administrador do Microsoft 365 e Microsoft Entra ID têm acesso a Defender para Aplicativos de Nuvem:
Nome da função | Descrição |
---|---|
administrador de segurança e Administrador global | Os administradores com Acesso total têm permissões completas no Defender para Aplicativos de Nuvem. Podem adicionar administradores, adicionar políticas e definições, carregar registos e executar ações de governação, aceder e gerir agentes SIEM. |
Cloud App Security administrador | Permite acesso total e permissões no Defender para Aplicativos de Nuvem. Esta função concede permissões completas para Defender para Aplicativos de Nuvem, como a função Microsoft Entra ID Administrador global. No entanto, esta função está confinada a Defender para Aplicativos de Nuvem e não concede permissões completas noutros produtos de segurança da Microsoft. |
Administrador de conformidade | Tem permissões somente leitura e pode gerenciar alertas. Não é possível aceder às Recomendações de segurança para plataformas na cloud. Pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios incorporados em Gerenciamento de Dados. |
Administrador de dados de conformidade | Tem permissões só de leitura, pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios de deteção. Não é possível aceder às Recomendações de segurança para plataformas na cloud. |
Operador de segurança | Tem permissões somente leitura e pode gerenciar alertas. Estes administradores estão impedidos de realizar as seguintes ações:
|
Leitor de segurança | Tem permissões só de leitura e pode criar tokens de acesso à API. Estes administradores estão impedidos de realizar as seguintes ações:
|
Leitor global | Tem acesso só de leitura completo a todos os aspetos do Defender para Aplicativos de Nuvem. Não é possível alterar as definições nem efetuar quaisquer ações. |
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Observação
As funcionalidades de governação de aplicações são controladas apenas por funções Microsoft Entra ID. Para obter mais informações, veja Funções de governação de aplicações.
Funções e permissões
Permissões | Administrador Global | Administrador de Segurança | Administração de conformidade | Administração de Dados de Conformidade | Operador de Segurança | Leitor de Segurança | Leitor Global | PBI Administração | administrador Cloud App Security |
---|---|---|---|---|---|---|---|---|---|
Ler alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Gerenciar alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
Ler aplicações OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar ações da aplicação OAuth | ✔ | ✔ | ✔ | ✔ | |||||
Aceder a aplicações detetadas, ao catálogo de aplicações na cloud e a outros dados de deteção da cloud | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Configurar conectores de API | ✔ | ✔ | ✔ | ✔ | |||||
Executar ações de deteção da cloud | ✔ | ✔ | ✔ | ||||||
Aceder a políticas de ficheiros e dados | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar ações de ficheiro | ✔ | ✔ | ✔ | ✔ | |||||
Registo de governação de acesso | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar ações de registo de governação | ✔ | ✔ | ✔ | ✔ | |||||
Aceder ao registo de governação de deteção no âmbito | ✔ | ✔ | ✔ | ||||||
Ler políticas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar todas as ações de política | ✔ | ✔ | ✔ | ✔ | |||||
Executar ações de política de ficheiros | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
Executar ações de política OAuth | ✔ | ✔ | ✔ | ✔ | |||||
Ver gerir o acesso de administrador | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Gerir administradores e privacidade da atividade | ✔ | ✔ | ✔ |
Funções de administrador incorporadas no Defender para Aplicativos de Nuvem
As seguintes funções de administrador específicas podem ser configuradas no portal Microsoft Defender, na área Funções de Aplicações > na Cloud de Permissões>:
Nome da função | Descrição |
---|---|
Administrador global | Tem acesso total semelhante à função administrador global Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem. |
Administrador de conformidade | Concede as mesmas permissões que a função de administrador de Conformidade do Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem. |
Leitor de segurança | Concede as mesmas permissões que a função leitor de Segurança Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem. |
Operador de segurança | Concede as mesmas permissões que a função de operador de Segurança Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem. |
Administrador de aplicações/instâncias | Tem permissões completas ou só de leitura para todos os dados no Defender para Aplicativos de Nuvem que lida exclusivamente com a aplicação ou instância específica de uma aplicação selecionada. Por exemplo, dá a um administrador de utilizador permissão para a sua instância do Box European. O administrador só verá dados relacionados com a instância do Box European, sejam ficheiros, atividades, políticas ou alertas:
|
Administrador do grupo de utilizadores | Tem permissões completas ou só de leitura para todos os dados no Defender para Aplicativos de Nuvem que lida exclusivamente com os grupos específicos atribuídos aos mesmos. Por exemplo, se atribuir permissões de administrador de utilizador ao grupo "Alemanha - todos os utilizadores", o administrador pode ver e editar informações no Defender para Aplicativos de Nuvem apenas para esse grupo de utilizadores. O administrador do Grupo de utilizadores tem o seguinte acesso:
Observações:
|
Administrador global da Cloud Discovery | Tem permissão para ver e editar todas as definições e dados da cloud Discovery. O administrador da Deteção Global tem o seguinte acesso:
|
Administrador de relatórios da Cloud Discovery |
|
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
As funções de administrador Defender para Aplicativos de Nuvem incorporadas apenas fornecem permissões de acesso para Defender para Aplicativos de Nuvem.
Substituir permissões de administrador
Se quiser substituir a permissão de um administrador do Microsoft Entra ID ou do Microsoft 365, pode fazê-lo ao adicionar manualmente o utilizador para Defender para Aplicativos de Nuvem e atribuir as permissões de utilizador. Por exemplo, se pretender atribuir a Stephanie, que é leitora de segurança no Microsoft Entra ID ter acesso total no Defender para Aplicativos de Nuvem, pode adicioná-la manualmente a Defender para Aplicativos de Nuvem e atribuir-lhe Acesso total para substituir o seu papel e permitir-lhe as permissões necessárias no Defender para Aplicativos de Nuvem. Tenha em atenção que não é possível substituir Microsoft Entra funções que concedem Acesso total (Administrador global, Administrador de segurança e administrador Cloud App Security).
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Administradores adicionais
Pode adicionar administradores adicionais a Defender para Aplicativos de Nuvem sem adicionar utilizadores a Microsoft Entra funções administrativas. Para adicionar administradores adicionais, execute os seguintes passos:
Importante
- O acesso à página Gerir acesso de administrador está disponível para os membros dos grupos Administradores Globais, Administradores de Segurança, Administradores de Conformidade, Administradores de Dados de Conformidade, Operadores de Segurança, Leitores de Segurança e Leitores Globais.
- Para editar a página Gerir acesso de administrador e conceder a outros utilizadores acesso a Defender para Aplicativos de Nuvem, tem de ter, pelo menos, uma função de Administrador de Segurança.
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
No Portal do Microsoft Defender, no menu do lado esquerdo, selecione Permissões.
Em Aplicações na Cloud, selecione Funções.
Selecione +Adicionar utilizador para adicionar os administradores que devem ter acesso a Defender para Aplicativos de Nuvem. Forneça um endereço de e-mail de um utilizador de dentro da sua organização.
Observação
Se quiser adicionar Fornecedores de Serviços de Segurança Gerida (MSSPs) externos como administradores para Defender para Aplicativos de Nuvem, certifique-se de que os convida primeiro como convidado para a sua organização.
Em seguida, selecione o menu pendente para definir o tipo de função que o administrador tem. Se selecionar Administrador de Aplicações/Instâncias, selecione a aplicação e a instância para a qual o administrador tem permissões.
Observação
Qualquer administrador, cujo acesso seja limitado, que tente aceder a uma página restrita ou executar uma ação restrita, receberá um erro a indicar que não tem permissão para aceder à página ou executar a ação.
Selecione Adicionar administrador.
Convidar administradores externos
Defender para Aplicativos de Nuvem permite-lhe convidar administradores externos (MSSPs) como administradores do serviço de Defender para Aplicativos de Nuvem da sua organização (cliente MSSP). Para adicionar MSSPs, certifique-se de Defender para Aplicativos de Nuvem está ativado no inquilino do MSSPs e, em seguida, adicione-os como Microsoft Entra utilizadores de colaboração B2B nos clientes MSSPs portal do Azure. Depois de adicionados, os MSSPs podem ser configurados como administradores e atribuídas a qualquer uma das funções disponíveis no Defender para Aplicativos de Nuvem.
Para adicionar MSSPs ao serviço de Defender para Aplicativos de Nuvem de clientes do MSSP
- Adicione MSSPs como convidado no diretório de clientes do MSSP com os passos em Adicionar utilizadores convidados ao diretório.
- Adicione MSSPs e atribua uma função de administrador no portal de Defender para Aplicativos de Nuvem de clientes do MSSP com os passos em Adicionar administradores adicionais. Indique o mesmo endereço de e-mail externo utilizado ao adicioná-los como convidados no diretório de clientes do MSSP.
Acesso de MSSPs ao serviço de Defender para Aplicativos de Nuvem de clientes do MSSP
Por predefinição, os MSSPs acedem ao respetivo inquilino Defender para Aplicativos de Nuvem através do seguinte URL: https://security.microsoft.com
.
No entanto, os MSSPs terão de aceder ao cliente do MSSP Microsoft Defender Portal através de um URL específico do inquilino no seguinte formato: https://security.microsoft.com/?tid=<tenant_id>
.
Os MSSPs podem utilizar os seguintes passos para obter o ID de inquilino do portal do cliente do MSSP e, em seguida, utilizar o ID para aceder ao URL específico do inquilino:
Como MSSP, inicie sessão no Microsoft Entra ID com as suas credenciais.
Mude o diretório para o inquilino do cliente do MSSP.
Selecione Microsoft Entra ID>Propriedades. Encontrará o ID do inquilino do cliente do MSSP no campo ID do Inquilino .
Aceda ao portal de cliente do MSSP ao substituir o
customer_tenant_id
valor no seguinte URL:https://security.microsoft.com/?tid=<tenant_id>
.
auditoria de atividade do Administração
Defender para Aplicativos de Nuvem permite exportar um registo de atividades de início de sessão de administrador e uma auditoria das vistas de um utilizador específico ou alertas realizados como parte de uma investigação.
Para exportar um registo, execute os seguintes passos:
No Portal do Microsoft Defender, no menu do lado esquerdo, selecione Permissões.
Em Aplicações na Cloud, selecione Funções.
Na página Administração funções, no canto superior direito, selecione Exportar atividades de administrador.
Especifique o intervalo de tempo necessário.
Selecione Exportar.