配置管理员访问权限

Microsoft Defender for Cloud Apps 支持基于角色的访问控制。 本文介绍了有关设置管理员对 Defender for Cloud Apps 的访问权限的说明。 有关分配管理员角色的更多信息,请参阅有关 Microsoft Entra IDMicrosoft 365 的文章。

有权访问 Defender for Cloud Apps 的 Microsoft 365 和 Microsoft Entra 角色

注意

  • Microsoft 365 和 Microsoft Entra 角色未在 Defender for Cloud Apps 管理管理员的访问权限页中列出。 要在 Microsoft 365 或 Microsoft Entra ID 中分配角色,请转到该服务的相关 RBAC 设置。
  • Defender for Cloud Apps 使用 Microsoft Entra ID 来确定用户的目录级非活动超时设置。 如果在 Microsoft Entra ID 中将用户配置为在非活动状态时永不退出登录,则同样会在 Defender for Cloud Apps 中应用相同的设置。

默认情况下,以下 Microsoft 365 和 Microsoft Entra ID 管理员角色有权访问 Defender for Cloud Apps:

角色名称 说明
全局管理员和安全管理员 具有完全访问权限的管理员在 Defender for Cloud Apps 中具有完全权限。 他们可以添加管理员、添加策略和设置、上传日志和执行治理操作、访问和管理 SIEM 代理。
Cloud App Security 管理员 允许在 Defender for Cloud Apps 中具有完全访问和权限。 此角色授予对 Defender for Cloud Apps 的完整权限,类似于 Microsoft Entra ID 全局管理员角色。 但是,此角色的范围仅限于 Defender for Cloud Apps,并且不会授予跨其他 Microsoft 安全产品的完整权限。
法规管理员 拥有只读权限,可以管理警报。 无法访问云平台的安全建议。 可以创建和修改文件策略,允许文件管理操作,以及查看“数据管理”下的所有内置报表。
合规性数据管理员 具有只读权限,可以创建和修改文件策略、允许文件治理操作以及查看所有发现报告。 无法访问云平台的安全建议。
安全操作员 拥有只读权限,可以管理警报。 这些管理员无法执行以下操作:
  • 创建策略或编辑和更改现有策略
  • 执行任何治理操作
  • 上载发现日志
  • 禁止或批准第三方应用
  • 访问和查看“IP 地址范围”设置页
  • 访问和查看任何系统设置页
  • 访问和查看发现设置
  • 访问和查看“应用连接器”页
  • 访问和查看治理日志
  • 访问和查看“管理快照报表”页
安全读取者 具有只读权限,可以创建 API 访问令牌。 这些管理员无法执行以下操作:
    创建策略或编辑和更改现有策略
  • 执行任何治理操作
  • 上载发现日志
  • 禁止或批准第三方应用
  • 访问和查看“IP 地址范围”设置页
  • 访问和查看任何系统设置页
  • 访问和查看发现设置
  • 访问和查看“应用连接器”页
  • 访问和查看治理日志
  • 访问和查看“管理快照报表”页
全局读取者 对 Defender for Cloud Apps 的所有方面具有完全只读访问权限。 无法更改任何设置或执行任何操作。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

注意

应用治理功能仅受 Microsoft Entra ID 角色的控制。 有关详细信息,请参阅应用治理角色

角色和权限

权限 全局管理员 安全管理员 合规性管理员 合规性数据管理员 安全操作员 安全读取者 全局读取者 PBI 管理员 云应用安全管理员
读取警报
管理警报
读取 OAuth 应用程序
执行 OAuth 应用程序操作
访问发现的应用、云应用目录和其他 Cloud Discovery 数据
配置 API 连接器
执行云发现操作
访问文件数据和文件策略
执行文件操作
访问治理日志
执行治理日志操作
访问限定范围的发现治理日志
读取策略
执行所有策略操作
执行文件策略操作
执行 OAuth 策略操作
查看管理管理员访问权限
管理管理员和活动隐私

Defender for Cloud Apps 中的内置管理员角色

可在 Microsoft Defender 门户的权限 > 云应用 > 角色区域中配置以下特定管理员角色:

角色名称 说明
全局管理员 具有类似于 Microsoft Entra 全局管理员角色的完全访问权限,但仅限于 Defender for Cloud Apps。
法规管理员 授予与 Microsoft Entra 符合性管理员角色相同的权限,但仅限于 Defender for Cloud Apps。
安全读取者 授予与 Microsoft Entra 安全信息读取者角色相同的权限,但仅限于 Defender for Cloud Apps。
安全操作员 授予与 Microsoft Entra 安全操作员角色相同的权限,但仅限于 Defender for Cloud Apps。
应用/实例管理员 拥有对 Defender for Cloud Apps 中所有数据的完全或只读权限,这些数据专门处理特定应用或选定应用的实例。

例如,授予用户对 Box European 实例的管理员权限。 管理员只能看见与 Box European 实例相关的数据(无论是文件、活动、策略或警报):
  • “活动”页 - 仅包含与特定应用相关的活动
  • 警报 - 仅与特定应用相关的警报。 在某些情况下,如果数据与特定应用关联,则会显示与特定应用相关的警报数据。 与其他应用相关的警报数据的可见性有限,并且无法向下钻取以获取更多详细信息
  • 策略 - 可以查看所有策略,如果分配了完整权限,则只能编辑或创建专门处理应用/实例的策略
  • “帐户”页 - 仅针对特定应用/实例的帐户
  • 应用权限 - 仅针对特定应用/实例的权限
  • 文件页 - 仅来自特定应用/实例的文件
  • 条件访问应用控制 - 无权限
  • Cloud Discovery 活动 - 无权限
  • 安全扩展插件 - 仅具有用户权限的 API 令牌的权限
  • 治理操作 - 仅针对特定应用/实例
  • 云平台的安全建议 - 无权限
  • IP 范围 - 无权限
用户组管理员 对 Defender for Cloud Apps 中的所有数据拥有完全或只读权限,这些数据专门处理分配给他们的特定组。 例如,如果将用户管理员权限分配给“德国-所有用户”组,则管理员只能在 Defender for Cloud Apps 中查看和编辑该用户组的信息。 用户组管理员拥有以下访问权限:

  • “活动”页 - 仅包含与组用户相关的活动
  • 警报 - 仅与组中的用户相关的警报。 在某些情况下,如果数据与组中的用户关联,则会显示与其他用户相关的警报数据。 与其他用户相关的警报数据的可见性有限,并且无法向下钻取以获取更多详细信息。
  • 策略 - 可以查看所有策略,如果分配了完整权限,则只能编辑或创建专门处理组中用户的策略
  • “帐户”页 - 仅针对组中特定用户的帐户
  • 应用权限 - 无权限
  • “文件”页 - 无权限
  • 条件访问应用控制 - 无权限
  • Cloud Discovery 活动 - 无权限
  • 安全扩展插件 - 仅具有组中用户的 API 令牌权限
  • 治理操作 - 仅包含与组用户相关的治理操作
  • 云平台的安全建议 - 无权限
  • IP 范围 - 无权限


注释
  • 要将组分配给用户组管理员,必须先从连接的应用中导入用户组
  • 你只能为导入的 Microsoft Entra 组分配用户组管理员权限。
Cloud Discovery 全局管理员 有权查看和编辑所有 Cloud Discovery 设置和数据。 全局发现管理员拥有以下访问权限:

  • 设置:系统设置 - 仅查看;Cloud Discovery 设置 - 查看和编辑所有内容(匿名权限取决于在角色分配期间是否允许)
  • Cloud Discovery 活动 - 完全权限
  • 警报 - 仅查看和管理与相关 Cloud Discovery 报告有关的警报
  • 策略 - 可以查看所有策略,并且可以仅编辑或创建 Cloud Discovery 策略
  • “活动”页 - 无权限
  • “帐户”页 - 无权限
  • 应用权限 - 无权限
  • “文件”页 - 无权限
  • 条件访问应用控制 - 无权限
  • 安全扩展插件 - 创建和删除自己的 API 令牌
  • 治理操作 - 仅与 Cloud Discovery 相关的操作
  • 云平台的安全建议 - 无权限
  • IP 范围 - 无权限
Cloud Discovery 报表管理员
  • 设置:系统设置 - 仅查看;Cloud Discovery 设置 - 查看和编辑所有内容(匿名权限取决于在角色分配期间是否允许)
  • Cloud Discovery 活动 - 仅限读取权限
  • 警报 - 仅查看与相关 Cloud Discovery 报告有关的警报
  • 策略 - 可以查看所有策略,并且只能创建 Cloud Discovery 策略,而不能治理应用程序(标记、批准和未批准)
  • “活动”页 - 无权限
  • “帐户”页 - 无权限
  • 应用权限 - 无权限
  • “文件”页 - 无权限
  • 条件访问应用控制 - 无权限
  • 安全扩展插件 - 创建和删除自己的 API 令牌
  • 治理操作 - 仅查看与相关 Cloud Discovery 报告有关的操作
  • 云平台的安全建议 - 无权限
  • IP 范围 - 无权限

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

内置的 Defender for Cloud Apps 管理员角色仅提供对 Defender for Cloud Apps 的访问权限。

替换管理员权限

要替代 Microsoft Entra ID 或 Microsoft 365 中的管理员权限,可以将用户手动添加到 Defender for Cloud Apps 中,然后为其分配权限。 例如,假设要分配给 Stephanie,她是 Microsoft Entra ID 中的安全信息读取者,但要在 Defender for Cloud Apps 中拥有完全访问权限,你可以将其手动添加到 Defender for Cloud Apps 中,并向她分配完全访问权限,从而替代她的角色,使其在 Defender for Cloud Apps 中拥有必要的权限。 请注意,无法替代授予完全访问权限的 Microsoft Entra 角色(全局管理员、安全管理员和云应用安全管理员)。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

添加其他管理员

你可以将其他管理员添加到 Defender for Cloud Apps,而无需将用户添加到 Microsoft Entra 管理角色中。 若要添加其他管理员,请执行以下步骤:

重要

  • “管理管理员访问”页可供全局管理员成员、安全管理员、合规性管理员、合规性数据管理员、安全操作员、安全信息读取者和全局读取者组的成员访问。
  • 若要编辑管理管理员访问页并授予其他用户对 Defender for Cloud Apps 的访问权限,必须至少具有安全管理员角色。

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

  1. 在 Microsoft Defender 门户的左侧菜单中,选择“权限”

  2. 在“Cloud Apps”下,选择“角色”

“权限”菜单。

  1. 选择“+ 添加用户”以添加有权访问 Defender for Cloud Apps 的管理员。 提供组织内部用户的电子邮件地址。

    注意

    如果要将外部托管安全服务提供商 (MSSP) 添加为 Defender for Cloud Apps 的管理员,则请确保首先邀请他们作为来宾以加入组织。

    添加管理员。

  2. 接下来,选择下拉列表以设置管理员拥有的角色类型。 如果选择“应用/实例管理员”,为管理员选择具有相应权限的应用和实例。

    注意

    任何尝试访问受限页面或执行受限操作的访问受限的管理员都会看到错误消息,提醒其无权访问相应页面或执行相应操作。

  3. 选择“添加管理员”

邀请外部管理员

借助 Defender for Cloud Apps,可邀请外部管理员 (MSSP) 作为组织的(MSSP 客户)Defender for Cloud Apps 服务的管理员。 要添加 MSSP,请确保在 MSSP 租户上启用了 Defender for Cloud Apps,然后在 MSSP 客户 Azure 门户中将其添加为 Microsoft Entra B2B 协作用户。 添加后,可以将 MSSP 配置为管理员,并为其分配 Defender for Cloud Apps 中可用的任何角色。

将 MSSP 添加到 MSSP 客户 Defender for Cloud Apps 服务

  1. 使用“将来宾用户添加到目录”下的步骤,将 MSSP 添加为 MSSP 客户目录中的来宾。
  2. 使用“添加其他管理员”下的步骤,在 MSSP 客户 Defender for Cloud Apps 门户中添加 MSSP 并分配管理员角色。 提供在 MSSP 客户目录中将其添加为来宾时使用的相同外部电子邮件地址。

添加到 MSSP 客户 Defender for Cloud Apps 服务的 MSSP 的访问权限

默认情况下,MSSP 通过以下 URL 访问其 Defender for Cloud Apps 租户:https://security.microsoft.com

但是,MSSP 需要使用以下格式的特定于租户的 URL 来访问 MSSP 客户 Microsoft Defender 门户:https://security.microsoft.com/?tid=<tenant_id>

MSSP 可以使用以下步骤获取 MSSP 客户门户租户 ID,然后使用该 ID 访问特定于租户的 URL:

  1. 作为 MSSP,使用你的凭据登录 Microsoft Entra ID。

  2. 将目录切换到 MSSP 客户的租户。

  3. 选择 Microsoft Entra ID>属性。 可在“租户 ID”字段中找到 MSSP 客户租户 ID。

  4. 通过替换以下 URL 中的 customer_tenant_id 值来访问 MSSP 客户门户:https://security.microsoft.com/?tid=<tenant_id>

管理员活动审核

Defender for Cloud Apps 允许你导出管理员登录活动的日志,并审核在调查过程中执行的特定用户或警报的视图。

要导出日志,请执行以下步骤:

  1. 在 Microsoft Defender 门户的左侧菜单中,选择“权限”

  2. 在“Cloud Apps”下,选择“角色”

  3. 在“管理员角色”页的右上角,选择“导出管理员活动”

  4. 指定所需的时间范围。

  5. 选择导出

后续步骤