Поделиться через

Настройка доступа администратора

  • Статья

Microsoft Defender for Cloud Apps поддерживает управление доступом на основе ролей. В этой статье содержатся инструкции по настройке доступа к Defender for Cloud Apps для администраторов. Дополнительные сведения о назначении ролей администратора см. в статьях для Microsoft Entra ID и Microsoft 365.

Роли Microsoft 365 и Microsoft Entra с доступом к Defender for Cloud Apps

Примечание.

  • Роли Microsoft 365 и Microsoft Entra не перечислены на странице Defender for Cloud Apps управление доступом администратора. Чтобы назначить роли в Microsoft 365 или Microsoft Entra ID, перейдите к соответствующим параметрам RBAC для этой службы.
  • Defender for Cloud Apps использует Microsoft Entra ID для определения времени ожидания бездействия пользователя на уровне каталога. Если пользователь настроен в Microsoft Entra ID для того, чтобы никогда не выходить из неактивного режима, этот же параметр будет применяться и в Defender for Cloud Apps.

По умолчанию следующие роли администраторов Microsoft 365 и Microsoft Entra ID имеют доступ к Defender for Cloud Apps:

Имя роли Описание
администратор глобальный администратор и безопасности Администраторы с полным доступом имеют полные разрешения в Defender for Cloud Apps. Они могут добавлять администраторов, добавлять политики и параметры, отправлять журналы и выполнять действия по управлению, получать доступ к агентам SIEM и управлять ими.
администратор Cloud App Security Предоставляет полный доступ и разрешения в Defender for Cloud Apps. Эта роль предоставляет полные разрешения для Defender for Cloud Apps, например роль Microsoft Entra ID глобальный администратор. Однако эта роль ограничена Defender for Cloud Apps и не предоставляет полные разрешения для других продуктов майкрософт для обеспечения безопасности.
Администратор соответствия требованиям Разрешения только для чтения; возможность управления оповещениями. Не удается получить доступ к рекомендациям по безопасности для облачных платформ. Может создавать и изменять политики файлов, разрешать действия управления файлами и просматривать все встроенные отчеты в Управление данными.
Администратор данных соответствия требованиям Имеет разрешения только для чтения, может создавать и изменять политики файлов, разрешать действия по управлению файлами и просматривать все отчеты об обнаружении. Не удается получить доступ к рекомендациям по безопасности для облачных платформ.
Оператор безопасности Разрешения только для чтения; возможность управления оповещениями. Этим администраторам запрещено выполнять следующие действия:
  • Создание или изменение существующих политик
  • Выполнение любых действий по управлению
  • Отправка журналов обнаружения
  • Запрет или утверждение сторонних приложений
  • Доступ к странице параметров диапазона IP-адресов и просмотр этой страницы
  • Доступ к страницам параметров системы и их просмотр
  • Доступ к параметрам обнаружения и просмотр их
  • Доступ к странице соединителей приложений и просмотр ее
  • Доступ к журналу управления и его просмотр
  • Доступ и просмотр страницы "Управление отчетами snapshot"
Читатель сведений о безопасности Имеет разрешения только для чтения и может создавать маркеры доступа API. Этим администраторам запрещено выполнять следующие действия:
    Создание или изменение существующих политик
  • Выполнение любых действий по управлению
  • Отправка журналов обнаружения
  • Запрет или утверждение сторонних приложений
  • Доступ к странице параметров диапазона IP-адресов и просмотр этой страницы
  • Доступ к страницам параметров системы и их просмотр
  • Доступ к параметрам обнаружения и просмотр их
  • Доступ к странице соединителей приложений и просмотр ее
  • Доступ к журналу управления и его просмотр
  • Доступ и просмотр страницы "Управление отчетами snapshot"
Глобальный читатель Имеет полный доступ только для чтения ко всем аспектам Defender for Cloud Apps. Не удается изменить параметры или выполнить какие-либо действия.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Примечание.

Функции управления приложениями управляются только Microsoft Entra ID ролями. Дополнительные сведения см. в разделе Роли управления приложениями.

Роли и разрешения

Разрешения Глобальный администратор Администратор безопасности Администратор соответствия требованиям Администратор данных о соответствии Оператор безопасности Читатель сведений о безопасности Глобальный читатель PBI Администратор администратор Cloud App Security
Чтение оповещений
Управление оповещениями
Чтение приложений OAuth
Выполнение действий приложения OAuth
Доступ к обнаруженным приложениям, каталогу облачных приложений и другим данным об обнаружении облака
Настройка соединителей API
Выполнение действий обнаружения в облаке
Доступ к данным и политикам файлов
Выполнение действий с файлами
Доступ к журналу управления
Выполнение действий журнала управления
Доступ к журналу управления обнаружением с ограниченной областью
Политики чтения
Выполнение всех действий политики
Выполнение действий политики файлов
Выполнение действий политики OAuth
Просмотр управления доступом администратора
Управление администраторами и конфиденциальностью действий

Встроенные роли администратора в Defender for Cloud Apps

На портале Microsoft Defender в области Разрешения роли облачных > приложений > можно настроить следующие конкретные роли администратора:

Имя роли Описание
Глобальный администратор Имеет полный доступ, аналогичный роли глобального администратора Microsoft Entra, но только Defender for Cloud Apps.
Администратор соответствия требованиям Предоставляет те же разрешения, что и роль администратора соответствия требованиям Microsoft Entra, но только для Defender for Cloud Apps.
Читатель сведений о безопасности Предоставляет те же разрешения, что и роль читателя безопасности Microsoft Entra, но только для Defender for Cloud Apps.
Оператор безопасности Предоставляет те же разрешения, что и роль оператора безопасности Microsoft Entra, но только для Defender for Cloud Apps.
Администратор приложения или экземпляра Имеет полные разрешения или разрешения только для чтения для всех данных в Defender for Cloud Apps, которые относятся исключительно к конкретному приложению или экземпляру выбранного приложения.

Например, вы предоставляете администратору пользователя разрешение на доступ к вашему экземпляру Box Для Европы. Администратор будет видеть только данные, относящиеся к экземпляру Box European, будь то файлы, действия, политики или оповещения:
  • Страница "Действия" — только действия, относящиеся к конкретному приложению
  • Оповещения — только оповещения, относящиеся к конкретному приложению. В некоторых случаях данные оповещений, связанные с другим приложением, если данные связаны с конкретным приложением. Видимость данных оповещений, связанных с другим приложением, ограничена, и нет доступа к детализации для получения дополнительных сведений
  • Политики. Может просматривать все политики и при назначении полных разрешений может изменять или создавать только политики, которые касаются исключительно приложения или экземпляра.
  • Страница учетных записей — только учетные записи для конкретного приложения или экземпляра
  • Разрешения приложения — только разрешения для конкретного приложения или экземпляра
  • Страница "Файлы" — только файлы из конкретного приложения или экземпляра
  • Управление условным доступом к приложениям — нет разрешений
  • Действие обнаружения в облаке — нет разрешений
  • Расширения безопасности — только разрешения для маркера API с разрешениями пользователя
  • Действия по управлению — только для конкретного приложения или экземпляра
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений
Администратор группы пользователей Имеет полные или доступные только для чтения разрешения на все данные в Defender for Cloud Apps, которые относятся исключительно к определенным группам, назначенным им. Например, если вы назначаете разрешения администратора пользователя группе "Германия — все пользователи", администратор может просматривать и изменять сведения в Defender for Cloud Apps только для этой группы пользователей. Администратор группы пользователей имеет следующий доступ:

  • Страница "Действия" — только действия, касаемые пользователей в группе
  • Оповещения — только оповещения, относящиеся к пользователям в группе. В некоторых случаях оповещать данные, связанные с другим пользователем, если данные коррелируются с пользователями в группе. Видимость данных оповещений, связанных с другими пользователями, ограничена, и нет доступа к детализации для получения дополнительных сведений.
  • Политики. Может просматривать все политики и, если им назначены полные разрешения, может изменять или создавать только политики, которые касаются исключительно пользователей в группе.
  • Страница учетных записей — только учетные записи для определенных пользователей в группе
  • Разрешения приложения — нет разрешений
  • Страница "Файлы" — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Действие обнаружения в облаке — нет разрешений
  • Расширения безопасности — только разрешения для маркера API с пользователями в группе
  • Действия по управлению — только для конкретных пользователей в группе
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений


Примечания.
  • Чтобы назначить группы администраторам групп пользователей, сначала необходимо импортировать группы пользователей из подключенных приложений.
  • Разрешения администраторов групп пользователей можно назначать только импортированным Microsoft Entra группам.
Глобальный администратор Cloud Discovery Имеет разрешение на просмотр и изменение всех параметров и данных обнаружения в облаке. Администратор глобального обнаружения имеет следующий доступ:

  • Параметры: Параметры системы — только просмотр; Параметры Cloud Discovery— просмотр и изменение всех (разрешения на анонимизацию зависят от того, разрешено ли это во время назначения ролей)
  • Действие обнаружения в облаке — полные разрешения
  • Оповещения — просмотр и управление только оповещениями, связанными с соответствующим отчетом об обнаружении облака.
  • Политики. Может просматривать все политики и может изменять или создавать только политики обнаружения в облаке.
  • Страница "Действия" — нет разрешений
  • Страница учетных записей — нет разрешений
  • Разрешения приложения — нет разрешений
  • Страница "Файлы" — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Расширения безопасности — создание и удаление собственных маркеров API
  • Действия по управлению — только действия, связанные с Cloud Discovery
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений
Администратор отчета Cloud Discovery
  • Параметры: Параметры системы — только просмотр; Параметры обнаружения в облаке — просмотреть все (разрешения на анонимизацию зависят от того, разрешено ли это во время назначения ролей)
  • Действие обнаружения в облаке — только разрешения на чтение
  • Оповещения — просмотр только оповещений, связанных с соответствующим отчетом об обнаружении облака.
  • Политики. Может просматривать все политики и создавать только политики обнаружения в облаке без возможности управления приложением (тегами, санкционированием и несанкционированным).
  • Страница "Действия" — нет разрешений
  • Страница учетных записей — нет разрешений
  • Разрешения приложения — нет разрешений
  • Страница "Файлы" — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Расширения безопасности — создание и удаление собственных маркеров API
  • Действия по управлению — просмотр только действий, связанных с соответствующим отчетом об обнаружении облака.
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Встроенные роли администратора Defender for Cloud Apps предоставляют только разрешения на доступ к Defender for Cloud Apps.

Переопределение разрешений администратора

Если вы хотите переопределить разрешение администратора из Microsoft Entra ID или Microsoft 365, это можно сделать, вручную добавив пользователя в Defender for Cloud Apps и назначив ему разрешения. Например, если вы хотите назначить Стефани, которая является читателем безопасности в Microsoft Entra ID иметь полный доступ в Defender for Cloud Apps, вы можете добавить ее вручную в Defender for Cloud Apps и назначить ей полный доступ, чтобы переопределить ее роль и разрешить ей необходимые разрешения в Defender for Cloud Apps. Обратите внимание, что невозможно переопределить Microsoft Entra роли, предоставляющие полный доступ (глобальный администратор, администратор безопасности и администратор Cloud App Security).

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Добавление дополнительных администраторов

Вы можете добавить дополнительных администраторов в Defender for Cloud Apps, не добавляя пользователей в Microsoft Entra административные роли. Чтобы добавить дополнительных администраторов, выполните следующие действия.

Важно!

  • Доступ к странице Управление доступом администратора доступен членам групп глобальных администраторов, администраторов безопасности, администраторов соответствия требованиям, администраторов данных соответствия, операторов безопасности, читателей безопасности и глобальных читателей.
  • Чтобы изменить страницу Управление доступом администратора и предоставить другим пользователям доступ к Defender for Cloud Apps, необходимо иметь по крайней мере роль администратора безопасности.

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  1. На портале Microsoft Defender в меню слева выберите Разрешения.

  2. В разделе Облачные приложения выберите Роли.

Меню

  1. Выберите +Добавить пользователя, чтобы добавить администраторов, которые должны иметь доступ к Defender for Cloud Apps. Укажите адрес электронной почты пользователя из организации.

    Примечание.

    Если вы хотите добавить внешних поставщиков управляемых служб безопасности (MSSP) в качестве администраторов для Defender for Cloud Apps, сначала пригласите их в качестве гостя в свою организацию.

    добавление администраторов.

  2. Затем выберите раскрывающийся список, чтобы задать тип роли администратора. Если выбрать администратор приложения или экземпляра, выберите приложение и экземпляр, для которых у администратора будут разрешения.

    Примечание.

    Любой администратор, доступ которого ограничен, который пытается получить доступ к ограниченной странице или выполнить ограниченное действие, получит сообщение об ошибке о том, что у него нет разрешения на доступ к странице или выполнить действие.

  3. Выберите Добавить администратора.

Приглашение внешних администраторов

Defender for Cloud Apps позволяет приглашать внешних администраторов (MSSP) в качестве администраторов службы Defender for Cloud Apps вашей организации (клиента MSSP). Чтобы добавить поставщиков MSSP, убедитесь, что Defender for Cloud Apps включены в клиенте MSSP, а затем добавьте их как Microsoft Entra пользователей службы совместной работы B2B в клиентах MSSP, портал Azure. После добавления mssp можно настроить в качестве администраторов и назначить любую из ролей, доступных в Defender for Cloud Apps.

Добавление поставщиков mssp в службу клиентского Defender for Cloud Apps MSSP

  1. Добавьте MSSP в качестве гостя в каталог клиента MSSP, выполнив действия, описанные в разделе Добавление гостевых пользователей в каталог.
  2. Добавьте поставщиков mssp и назначьте роль администратора на портале клиентского Defender for Cloud Apps MSSP, выполнив действия, описанные в разделе Добавление дополнительных администраторов. Укажите тот же внешний адрес электронной почты, который используется при добавлении гостей в каталог клиента MSSP.

Доступ для mssp к службе клиентского Defender for Cloud Apps MSSP

По умолчанию MSSP обращаются к клиенту Defender for Cloud Apps через следующий URL-адрес: https://security.microsoft.com.

Тем не менее, msSP должны получить доступ к клиентскому порталу MSSP Microsoft Defender, используя URL-адрес для конкретного клиента в следующем формате: https://security.microsoft.com/?tid=<tenant_id>.

Поставщики служб MSSP могут выполнить следующие действия, чтобы получить идентификатор клиента портала клиента MSSP, а затем использовать идентификатор для доступа к URL-адресу для конкретного клиента:

  1. Войдите в службу MSSP Microsoft Entra ID с учетными данными.

  2. Переключите каталог на клиент клиента MSSP.

  3. Выберите Microsoft Entra ID>Свойства. Идентификатор клиента MSSP можно найти в поле Идентификатор клиента .

  4. Для доступа к клиентскому порталу MSSP замените customer_tenant_id значение в следующем URL-адресе: https://security.microsoft.com/?tid=<tenant_id>.

аудит действий Администратор

Defender for Cloud Apps позволяет экспортировать журнал действий администратора при входе и аудит представлений конкретного пользователя или оповещений, выполненных в рамках исследования.

Чтобы экспортировать журнал, выполните следующие действия.

  1. На портале Microsoft Defender в меню слева выберите Разрешения.

  2. В разделе Облачные приложения выберите Роли.

  3. На странице Администратор ролей в правом верхнем углу выберите Экспорт действий администратора.

  4. Укажите требуемый диапазон времени.

  5. Выберите Экспорт.

Дальнейшие действия

Настройка облачного обнаружения