Compartilhar via


Configurar o acesso de administrador

Microsoft Defender para Aplicativos de Nuvem suporta o controlo de acesso baseado em funções. Este artigo fornece instruções para definir o acesso ao Defender para Aplicativos de Nuvem para os seus administradores. Para obter mais informações sobre a atribuição de funções de administrador, consulte os artigos para o Microsoft Entra ID e o Microsoft 365.

Funções do Microsoft 365 e Microsoft Entra com acesso a Defender para Aplicativos de Nuvem

Observação

  • As funções do Microsoft 365 e Microsoft Entra não estão listadas na página Gerir acesso de administrador Defender para Aplicativos de Nuvem. Para atribuir funções no Microsoft 365 ou Microsoft Entra ID, aceda às definições RBAC relevantes desse serviço.
  • Defender para Aplicativos de Nuvem utiliza Microsoft Entra ID para determinar a definição de tempo limite de inatividade ao nível do diretório do utilizador. Se um utilizador estiver configurado no Microsoft Entra ID nunca terminar sessão quando estiver inativo, também será aplicada a mesma definição no Defender para Aplicativos de Nuvem.

Por predefinição, as seguintes funções de administrador do Microsoft 365 e Microsoft Entra ID têm acesso a Defender para Aplicativos de Nuvem:

Nome da função Descrição
administrador de segurança e Administrador global Os administradores com Acesso total têm permissões completas no Defender para Aplicativos de Nuvem. Podem adicionar administradores, adicionar políticas e definições, carregar registos e executar ações de governação, aceder e gerir agentes SIEM.
Cloud App Security administrador Permite acesso total e permissões no Defender para Aplicativos de Nuvem. Esta função concede permissões completas para Defender para Aplicativos de Nuvem, como a função Microsoft Entra ID Administrador global. No entanto, esta função está confinada a Defender para Aplicativos de Nuvem e não concede permissões completas noutros produtos de segurança da Microsoft.
Administrador de conformidade Tem permissões somente leitura e pode gerenciar alertas. Não é possível aceder às Recomendações de segurança para plataformas na cloud. Pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios incorporados em Gerenciamento de Dados.
Administrador de dados de conformidade Tem permissões só de leitura, pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios de deteção. Não é possível aceder às Recomendações de segurança para plataformas na cloud.
Operador de segurança Tem permissões somente leitura e pode gerenciar alertas. Estes administradores estão impedidos de realizar as seguintes ações:
  • Criar políticas ou editar e alterar políticas existentes
  • Executar quaisquer ações de governação
  • Carregar registos de deteção
  • Banir ou aprovar aplicações de terceiros
  • Aceder e ver a página de definições do intervalo de endereços IP
  • Aceder e visualizar páginas de definições do sistema
  • Aceder e ver as definições de Deteção
  • Aceder e ver a página Conectores de aplicações
  • Aceder e ver o registo de Governação
  • Aceder e ver a página Gerir relatórios do snapshot
Leitor de segurança Tem permissões só de leitura e pode criar tokens de acesso à API. Estes administradores estão impedidos de realizar as seguintes ações:
    Criar políticas ou editar e alterar políticas existentes
  • Executar quaisquer ações de governação
  • Carregar registos de deteção
  • Banir ou aprovar aplicações de terceiros
  • Aceder e ver a página de definições do intervalo de endereços IP
  • Aceder e visualizar páginas de definições do sistema
  • Aceder e ver as definições de Deteção
  • Aceder e ver a página Conectores de aplicações
  • Aceder e ver o registo de Governação
  • Aceder e ver a página Gerir relatórios do snapshot
Leitor global Tem acesso só de leitura completo a todos os aspetos do Defender para Aplicativos de Nuvem. Não é possível alterar as definições nem efetuar quaisquer ações.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Observação

As funcionalidades de governação de aplicações são controladas apenas por funções Microsoft Entra ID. Para obter mais informações, veja Funções de governação de aplicações.

Funções e permissões

Permissões Administrador Global Administrador de Segurança Administração de conformidade Administração de Dados de Conformidade Operador de Segurança Leitor de Segurança Leitor Global PBI Administração administrador Cloud App Security
Ler alertas
Gerenciar alertas
Ler aplicações OAuth
Executar ações da aplicação OAuth
Aceder a aplicações detetadas, ao catálogo de aplicações na cloud e a outros dados de deteção da cloud
Configurar conectores de API
Executar ações de deteção da cloud
Aceder a políticas de ficheiros e dados
Executar ações de ficheiro
Registo de governação de acesso
Executar ações de registo de governação
Aceder ao registo de governação de deteção no âmbito
Ler políticas
Executar todas as ações de política
Executar ações de política de ficheiros
Executar ações de política OAuth
Ver gerir o acesso de administrador
Gerir administradores e privacidade da atividade

Funções de administrador incorporadas no Defender para Aplicativos de Nuvem

As seguintes funções de administrador específicas podem ser configuradas no portal Microsoft Defender, na área Funções de Aplicações > na Cloud de Permissões>:

Nome da função Descrição
Administrador global Tem acesso total semelhante à função administrador global Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem.
Administrador de conformidade Concede as mesmas permissões que a função de administrador de Conformidade do Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem.
Leitor de segurança Concede as mesmas permissões que a função leitor de Segurança Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem.
Operador de segurança Concede as mesmas permissões que a função de operador de Segurança Microsoft Entra, mas apenas para Defender para Aplicativos de Nuvem.
Administrador de aplicações/instâncias Tem permissões completas ou só de leitura para todos os dados no Defender para Aplicativos de Nuvem que lida exclusivamente com a aplicação ou instância específica de uma aplicação selecionada.

Por exemplo, dá a um administrador de utilizador permissão para a sua instância do Box European. O administrador só verá dados relacionados com a instância do Box European, sejam ficheiros, atividades, políticas ou alertas:
  • Página Atividades - Apenas atividades sobre a aplicação específica
  • Alertas – apenas alertas relacionados com a aplicação específica. Em alguns casos, alertará os dados relacionados com outra aplicação se os dados estiverem correlacionados com a aplicação específica. A visibilidade para alertar dados relacionados com outra aplicação é limitada e não há acesso para desagregar para obter mais detalhes
  • Políticas – pode ver todas as políticas e se forem atribuídas permissões completas pode editar ou criar apenas políticas que lidam exclusivamente com a aplicação/instância
  • Página Contas - Apenas contas para a aplicação/instância específica
  • Permissões de aplicações – apenas permissões para a aplicação/instância específica
  • Página Ficheiros - Apenas ficheiros da aplicação/instância específica
  • Controlo de aplicações de acesso condicional – Sem permissões
  • Atividade de deteção da cloud – Sem permissões
  • Extensões de segurança – apenas permissões para o token de API com permissões de utilizador
  • Ações de governação – apenas para a aplicação/instância específica
  • Recomendações de segurança para plataformas na cloud – Sem permissões
  • Intervalos de IP - Sem permissões
Administrador do grupo de utilizadores Tem permissões completas ou só de leitura para todos os dados no Defender para Aplicativos de Nuvem que lida exclusivamente com os grupos específicos atribuídos aos mesmos. Por exemplo, se atribuir permissões de administrador de utilizador ao grupo "Alemanha - todos os utilizadores", o administrador pode ver e editar informações no Defender para Aplicativos de Nuvem apenas para esse grupo de utilizadores. O administrador do Grupo de utilizadores tem o seguinte acesso:

  • Página Atividades - Apenas atividades sobre os utilizadores no grupo
  • Alertas – apenas alertas relacionados com os utilizadores no grupo. Em alguns casos, alertará os dados relacionados com outro utilizador se os dados estiverem correlacionados com os utilizadores no grupo. A visibilidade para alertar dados relacionados com outros utilizadores é limitada e não há acesso para desagregar para obter mais detalhes.
  • Políticas – pode ver todas as políticas e, se lhe forem atribuídas permissões completas, pode editar ou criar apenas políticas que lidam exclusivamente com utilizadores no grupo
  • Página Contas – apenas as contas dos utilizadores específicos no grupo
  • Permissões de aplicações – sem permissões
  • Página Ficheiros – Sem permissões
  • Controlo de aplicações de acesso condicional – Sem permissões
  • Atividade de deteção da cloud – Sem permissões
  • Extensões de segurança – apenas permissões para o token de API com utilizadores no grupo
  • Ações de governação – apenas para os utilizadores específicos no grupo
  • Recomendações de segurança para plataformas na cloud – Sem permissões
  • Intervalos de IP - Sem permissões


Observações:
  • Para atribuir grupos a administradores de grupos de utilizadores, primeiro tem de importar grupos de utilizadores de aplicações ligadas.
  • Só pode atribuir permissões de administradores de grupos de utilizadores a grupos de Microsoft Entra importados.
Administrador global da Cloud Discovery Tem permissão para ver e editar todas as definições e dados da cloud Discovery. O administrador da Deteção Global tem o seguinte acesso:

  • Definições: Definições do sistema – Apenas visualização; Definições da Cloud Discovery – ver e editar tudo (as permissões de anonimização dependem se foi permitida durante a atribuição de função)
  • Atividade de deteção da cloud – permissões completas
  • Alertas – ver e gerir apenas alertas relacionados com o relatório de deteção da cloud relevante
  • Políticas – pode ver todas as políticas e pode editar ou criar apenas políticas de deteção de cloud
  • Página Atividades - Sem permissões
  • Página Contas - Sem permissões
  • Permissões de aplicações – sem permissões
  • Página Ficheiros – Sem permissões
  • Controlo de aplicações de acesso condicional – Sem permissões
  • Extensões de segurança – Criar e eliminar os seus próprios tokens de API
  • Ações de governação – Apenas ações relacionadas com a Cloud Discovery
  • Recomendações de segurança para plataformas na cloud – Sem permissões
  • Intervalos de IP - Sem permissões
Administrador de relatórios da Cloud Discovery
  • Definições: Definições do sistema – Apenas visualização; Definições de deteção da cloud – veja tudo (as permissões de anonimização dependem se foi permitida durante a atribuição de função)
  • Atividade de deteção da cloud – apenas permissões de leitura
  • Alertas – ver apenas alertas relacionados com o relatório de deteção da cloud relevante
  • Políticas – pode ver todas as políticas e pode criar apenas políticas de deteção de cloud, sem a possibilidade de governar a aplicação (etiquetagem, sanção e não aprovadas)
  • Página Atividades - Sem permissões
  • Página Contas - Sem permissões
  • Permissões de aplicações – sem permissões
  • Página Ficheiros – Sem permissões
  • Controlo de aplicações de acesso condicional – Sem permissões
  • Extensões de segurança – Criar e eliminar os seus próprios tokens de API
  • Ações de governação – ver apenas as ações relacionadas com o relatório de deteção de cloud relevante
  • Recomendações de segurança para plataformas na cloud – Sem permissões
  • Intervalos de IP - Sem permissões

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

As funções de administrador Defender para Aplicativos de Nuvem incorporadas apenas fornecem permissões de acesso para Defender para Aplicativos de Nuvem.

Substituir permissões de administrador

Se quiser substituir a permissão de um administrador do Microsoft Entra ID ou do Microsoft 365, pode fazê-lo ao adicionar manualmente o utilizador para Defender para Aplicativos de Nuvem e atribuir as permissões de utilizador. Por exemplo, se pretender atribuir a Stephanie, que é leitora de segurança no Microsoft Entra ID ter acesso total no Defender para Aplicativos de Nuvem, pode adicioná-la manualmente a Defender para Aplicativos de Nuvem e atribuir-lhe Acesso total para substituir o seu papel e permitir-lhe as permissões necessárias no Defender para Aplicativos de Nuvem. Tenha em atenção que não é possível substituir Microsoft Entra funções que concedem Acesso total (Administrador global, Administrador de segurança e administrador Cloud App Security).

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Administradores adicionais

Pode adicionar administradores adicionais a Defender para Aplicativos de Nuvem sem adicionar utilizadores a Microsoft Entra funções administrativas. Para adicionar administradores adicionais, execute os seguintes passos:

Importante

  • O acesso à página Gerir acesso de administrador está disponível para os membros dos grupos Administradores Globais, Administradores de Segurança, Administradores de Conformidade, Administradores de Dados de Conformidade, Operadores de Segurança, Leitores de Segurança e Leitores Globais.
  • Para editar a página Gerir acesso de administrador e conceder a outros utilizadores acesso a Defender para Aplicativos de Nuvem, tem de ter, pelo menos, uma função de Administrador de Segurança.

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

  1. No Portal do Microsoft Defender, no menu do lado esquerdo, selecione Permissões.

  2. Em Aplicações na Cloud, selecione Funções.

Menu Permissões.

  1. Selecione +Adicionar utilizador para adicionar os administradores que devem ter acesso a Defender para Aplicativos de Nuvem. Forneça um endereço de e-mail de um utilizador de dentro da sua organização.

    Observação

    Se quiser adicionar Fornecedores de Serviços de Segurança Gerida (MSSPs) externos como administradores para Defender para Aplicativos de Nuvem, certifique-se de que os convida primeiro como convidado para a sua organização.

    adicionar administradores.

  2. Em seguida, selecione o menu pendente para definir o tipo de função que o administrador tem. Se selecionar Administrador de Aplicações/Instâncias, selecione a aplicação e a instância para a qual o administrador tem permissões.

    Observação

    Qualquer administrador, cujo acesso seja limitado, que tente aceder a uma página restrita ou executar uma ação restrita, receberá um erro a indicar que não tem permissão para aceder à página ou executar a ação.

  3. Selecione Adicionar administrador.

Convidar administradores externos

Defender para Aplicativos de Nuvem permite-lhe convidar administradores externos (MSSPs) como administradores do serviço de Defender para Aplicativos de Nuvem da sua organização (cliente MSSP). Para adicionar MSSPs, certifique-se de Defender para Aplicativos de Nuvem está ativado no inquilino do MSSPs e, em seguida, adicione-os como Microsoft Entra utilizadores de colaboração B2B nos clientes MSSPs portal do Azure. Depois de adicionados, os MSSPs podem ser configurados como administradores e atribuídas a qualquer uma das funções disponíveis no Defender para Aplicativos de Nuvem.

Para adicionar MSSPs ao serviço de Defender para Aplicativos de Nuvem de clientes do MSSP

  1. Adicione MSSPs como convidado no diretório de clientes do MSSP com os passos em Adicionar utilizadores convidados ao diretório.
  2. Adicione MSSPs e atribua uma função de administrador no portal de Defender para Aplicativos de Nuvem de clientes do MSSP com os passos em Adicionar administradores adicionais. Indique o mesmo endereço de e-mail externo utilizado ao adicioná-los como convidados no diretório de clientes do MSSP.

Acesso de MSSPs ao serviço de Defender para Aplicativos de Nuvem de clientes do MSSP

Por predefinição, os MSSPs acedem ao respetivo inquilino Defender para Aplicativos de Nuvem através do seguinte URL: https://security.microsoft.com.

No entanto, os MSSPs terão de aceder ao cliente do MSSP Microsoft Defender Portal através de um URL específico do inquilino no seguinte formato: https://security.microsoft.com/?tid=<tenant_id>.

Os MSSPs podem utilizar os seguintes passos para obter o ID de inquilino do portal do cliente do MSSP e, em seguida, utilizar o ID para aceder ao URL específico do inquilino:

  1. Como MSSP, inicie sessão no Microsoft Entra ID com as suas credenciais.

  2. Mude o diretório para o inquilino do cliente do MSSP.

  3. Selecione Microsoft Entra ID>Propriedades. Encontrará o ID do inquilino do cliente do MSSP no campo ID do Inquilino .

  4. Aceda ao portal de cliente do MSSP ao substituir o customer_tenant_id valor no seguinte URL: https://security.microsoft.com/?tid=<tenant_id>.

auditoria de atividade do Administração

Defender para Aplicativos de Nuvem permite exportar um registo de atividades de início de sessão de administrador e uma auditoria das vistas de um utilizador específico ou alertas realizados como parte de uma investigação.

Para exportar um registo, execute os seguintes passos:

  1. No Portal do Microsoft Defender, no menu do lado esquerdo, selecione Permissões.

  2. Em Aplicações na Cloud, selecione Funções.

  3. Na página Administração funções, no canto superior direito, selecione Exportar atividades de administrador.

  4. Especifique o intervalo de tempo necessário.

  5. Selecione Exportar.

Próximas etapas