Správa přístupu správce

Poznámka

  • Přejmenovali jsme microsoft Cloud App Security. Teď se mu říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovky a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Microsoftu najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět úlohy zabezpečení na jednom místě. Tím se zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč vašimi identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Microsoft Defender for Cloud Apps podporuje řízení přístupu na základě role. Tento článek obsahuje pokyny k nastavení přístupu k portálu Defender for Cloud Apps pro správce. Další informace o přiřazování rolí správce najdete v článcích pro Azure Active Directory (Azure AD) a Office 365.

role Office 365 a Azure AD s přístupem k Defenderu pro Cloud Apps

Poznámka

  • role Office 365 a Azure AD nejsou uvedené na stránce Pro správu přístupu správce Defenderu pro Cloud Apps. Pokud chcete přiřadit role v Office 365 nebo Azure Active Directory, přejděte na příslušná nastavení RBAC pro danou službu.
  • Defender for Cloud Apps používá Azure Active Directory k určení nastavení časového limitu nečinnosti na úrovni adresáře uživatele. Pokud je uživatel nakonfigurovaný v Azure Active Directory tak, aby se při nečinnosti nikdy neodhlasoval, použije se stejné nastavení i v Programu Defender for Cloud Apps.

Ve výchozím nastavení mají následující role správce Office 365 a Azure AD přístup k Defenderu for Cloud Apps:

  • Globální správce a správce zabezpečení: Správci s úplným přístupem mají úplná oprávnění v Programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení, nahrávat protokoly a provádět akce zásad správného řízení, přístup k agentům SIEM a spravovat je.

  • správce Cloud App Security: Povolí úplný přístup a oprávnění v programu Defender for Cloud Apps. Tato role uděluje úplná oprávnění programu Defender for Cloud Apps, jako je role Azure AD Globální správce. Tato role je ale vymezená na Defender for Cloud Apps a nebude udělovat úplná oprávnění v jiných produktech zabezpečení Microsoftu.

  • Správce dodržování předpisů: Má oprávnění jen pro čtení a může spravovat výstrahy. Nejde získat přístup k doporučením zabezpečení pro cloudové platformy. Může vytvářet a upravovat zásady souborů, povolit akce zásad správného řízení souborů a zobrazit všechny předdefinované sestavy v rámci Správa dat.

  • Správce dat dodržování předpisů: Má oprávnění jen pro čtení, může vytvářet a upravovat zásady souborů, povolovat akce zásad správného řízení souborů a zobrazovat všechny sestavy zjišťování. Nejde získat přístup k doporučením zabezpečení pro cloudové platformy.

Poznámka

Od 28. srpna 2022 nebudou moct uživatelé, kteří mají přiřazenou roli čtenáře zabezpečení Azure AD, spravovat výstrahy Microsoft Defender for Cloud Apps. Tato změna se postupně zavádí pro všechny zákazníky během několika příštích týdnů. Pokud chcete dál spravovat výstrahy, měla by se role uživatele aktualizovat na operátor zabezpečení Azure AD.

  • Operátor zabezpečení: Má oprávnění jen pro čtení a může spravovat výstrahy. Tito správci jsou omezeni na provedení následujících akcí:

    • Vytvářet zásady, upravovat nebo měnit stávající zásady
    • Provádět akce zásad správného řízení
    • Nahrávat protokoly z Discovery
    • Zákaz nebo schvalování aplikací třetích stran
    • Otevírat nebo prohlížet stránku s nastavením rozsahu IP adres
    • Přístup ke stránkám nastavení systému a jejich prohlížení
    • Přístup k nastavení zjišťování a zobrazení nastavení zjišťování
    • Přístup ke stránce Konektory aplikací a jejich zobrazení
    • Otevírat nebo prohlížet protokol zásad správného řízení
    • Otevírat nebo prohlížet stránku, kde se spravují sestavy snímků
    • Přístup k agentům SIEM a jejich prohlížení
  • Čtenář zabezpečení: Má oprávnění jen pro čtení. Tito správci jsou omezeni na provedení následujících akcí:

    • Vytvářet zásady, upravovat nebo měnit stávající zásady
    • Provádět akce zásad správného řízení
    • Nahrávat protokoly z Discovery
    • Zákaz nebo schvalování aplikací třetích stran
    • Otevírat nebo prohlížet stránku s nastavením rozsahu IP adres
    • Přístup ke stránkám nastavení systému a jejich prohlížení
    • Přístup k nastavení zjišťování a zobrazení nastavení zjišťování
    • Přístup ke stránce Konektory aplikací a jejich zobrazení
    • Otevírat nebo prohlížet protokol zásad správného řízení
    • Otevírat nebo prohlížet stránku, kde se spravují sestavy snímků
    • Přístup k agentům SIEM a jejich prohlížení
  • Globální čtenář: Má úplný přístup jen pro čtení ke všem aspektům Defenderu pro Cloud Apps. Nelze změnit žádná nastavení ani provádět žádné akce.

Role a oprávnění

Oprávnění Globální správce Správce zabezpečení Správa dodržování předpisů Správa dat dodržování předpisů Operátor zabezpečení Čtenář zabezpečení Globální čtenář PBI Správa správce Cloud App Security
Načtení výstrah
Správa výstrah
Čtení aplikací OAuth
Provádění akcí aplikace OAuth
Přístup k zjištěných aplikacím, katalogu cloudových aplikací a dalším datům cloud discovery
Konfigurace konektorů rozhraní API
Provádění akcí cloud discovery
Přístup k datům souborů a zásadám souborů
Provádění akcí souborů
Protokol zásad správného řízení přístupu
Provádění akcí protokolu zásad správného řízení
Přístup k protokolu zásad správného řízení zjišťování s vymezeným oborem
Čtení zásad
Provádění všech akcí zásad
Provádění akcí zásad souborů
Provádění akcí zásad OAuth
Zobrazení přístupu správce
Správa ochrany osobních údajů správců a aktivit

Předdefinované role správců v Programu Defender for Cloud Apps

Na portálu Defender for Cloud Apps je možné nakonfigurovat následující konkrétní role správce:

  • Globální správce: Má úplný přístup podobný roli Azure AD Globální správce, ale jenom Defender for Cloud Apps.

  • Správce dodržování předpisů: Udělí stejná oprávnění jako role správce Azure AD dodržování předpisů, ale jenom defender for Cloud Apps.

  • Čtenář zabezpečení: Uděluje stejná oprávnění jako role čtenáře zabezpečení Azure AD, ale pouze Defender for Cloud Apps.

  • Operátor zabezpečení: Udělí stejná oprávnění jako role operátoru zabezpečení Azure AD, ale pouze programu Defender for Cloud Apps.

  • Správce aplikace/instance: Má úplná nebo jen pro čtení oprávnění ke všem datům v Programu Defender for Cloud Apps, která se zabývá výhradně konkrétní aplikací nebo instancí vybrané aplikace. Například udělíte správci uživatele oprávnění k vaší instanci Box European. Správce uvidí jenom data, která se týkají evropské instance Boxu, ať už se jedná o soubory, aktivity, zásady nebo výstrahy:

    • Stránka Aktivity – Pouze aktivity týkající se konkrétní aplikace
    • Výstrahy – Pouze výstrahy související s konkrétní aplikací
    • Zásady – Může zobrazit všechny zásady a pokud přiřazená úplná oprávnění můžou upravovat nebo vytvářet jenom zásady, které se týkají výhradně aplikace nebo instance.
    • Stránka Účty – Pouze účty pro konkrétní aplikaci nebo instanci
    • Oprávnění aplikace – Pouze oprávnění pro konkrétní aplikaci nebo instanci
    • Stránka Soubory – Pouze soubory z konkrétní aplikace nebo instance
    • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
    • Aktivita Cloud Discovery – Žádná oprávnění
    • Rozšíření zabezpečení – Pouze oprávnění pro token rozhraní API s uživatelskými oprávněními
    • Akce zásad správného řízení – pouze pro konkrétní aplikaci nebo instanci
    • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Správce skupiny uživatelů: Má úplná nebo jen pro čtení oprávnění ke všem datům v programu Defender for Cloud Apps, která se zabývá výhradně konkrétními skupinami přiřazenými k nim. Pokud například přiřadíte oprávnění správce uživatele ke skupině "Německo – všichni uživatelé", může správce zobrazit a upravit informace v programu Defender for Cloud Apps pouze pro tuto skupinu uživatelů. Správce skupiny uživatelů má následující přístup:

    • Stránka Aktivity – Pouze aktivity týkající se uživatelů ve skupině

    • Výstrahy – pouze výstrahy týkající se uživatelů ve skupině

    • Zásady – Může zobrazit všechny zásady a pokud jsou přiřazená úplná oprávnění, můžou upravovat nebo vytvářet jenom zásady, které se týkají výhradně uživatelů ve skupině.

    • Stránka Účty – Pouze účty pro konkrétní uživatele ve skupině

    • Oprávnění aplikace – Žádná oprávnění

    • Stránka Soubory – Žádná oprávnění

    • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění

    • Aktivita Cloud Discovery – Žádná oprávnění

    • Rozšíření zabezpečení – Pouze oprávnění pro token rozhraní API s uživateli ve skupině

    • Akce zásad správného řízení – pouze pro konkrétní uživatele ve skupině

    • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění

      Poznámka

      • Pokud chcete přiřadit skupiny správcům skupin uživatelů, musíte nejdřív importovat skupiny uživatelů z připojených aplikací.
      • K importovaným skupinám Azure AD můžete přiřadit oprávnění jenom správcům skupin uživatelů.
  • Globální správce Cloud Discovery: Má oprávnění k zobrazení a úpravám všech nastavení a dat Cloud Discovery. Globální správce zjišťování má následující přístup:

    • Nastavení
      • Nastavení systému – jenom zobrazení
      • Nastavení Cloud Discovery – Zobrazení a úprava všech (anonymizační oprávnění závisí na tom, jestli byla povolená během přiřazení role).
    • Aktivita Cloud Discovery – úplná oprávnění
    • Výstrahy – zobrazení a správa jenom výstrah souvisejících s příslušnou sestavou Cloud Discovery
    • Zásady – Může zobrazit všechny zásady a může upravovat nebo vytvářet jenom zásady Cloud Discovery.
    • Stránka Aktivity – Žádná oprávnění
    • Stránka Účty – Žádná oprávnění
    • Oprávnění aplikace – Žádná oprávnění
    • Stránka Soubory – Žádná oprávnění
    • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
    • Rozšíření zabezpečení – Vytváření a odstraňování vlastních tokenů rozhraní API
    • Akce zásad správného řízení – Pouze akce související se službou Cloud Discovery
    • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
    • Rozsahy IP adres – Žádná oprávnění
  • Správce sestav Cloud Discovery:

    • Nastavení
      • Nastavení systému – jenom zobrazení
      • Nastavení Cloud Discovery – Zobrazení všech (oprávnění k anonymizaci závisí na tom, jestli byla povolená během přiřazení role)
    • Aktivita Cloud Discovery – jen oprávnění ke čtení
    • Výstrahy – zobrazení pouze výstrah souvisejících s příslušnou sestavou Cloud Discovery
    • Zásady – Může zobrazit všechny zásady a může vytvářet jenom zásady Cloud Discovery, aniž by bylo možné řídit aplikaci (označování, schválení a neschválené)
    • Stránka Aktivity – Žádná oprávnění
    • Stránka Účty – Žádná oprávnění
    • Oprávnění aplikace – Žádná oprávnění
    • Stránka Soubory – Žádná oprávnění
    • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
    • Rozšíření zabezpečení – Vytváření a odstraňování vlastních tokenů rozhraní API
    • Akce zásad správného řízení – zobrazení pouze akcí souvisejících s příslušnou sestavou Cloud Discovery
    • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
    • Rozsahy IP adres – Žádná oprávnění

Poznámka

Předdefinované role správce Defenderu for Cloud Apps poskytují přístupová oprávnění jenom k Programu Defender for Cloud Apps.

Přepsání oprávnění správce

Pokud chcete přepsat oprávnění správce z Azure AD nebo Office 365, můžete to udělat ručním přidáním uživatele do Defenderu for Cloud Apps a přiřazením uživatelských oprávnění. Pokud například chcete přiřadit Stephanie, která je čtenářem zabezpečení v Azure AD mít v Programu Defender for Cloud Apps úplný přístup, můžete ji přidat ručně do Programu Defender for Cloud Apps a přiřadit jí úplný přístup k přepsání její role a povolit jí potřebná oprávnění v Programu Defender for Cloud Apps. Všimněte si, že není možné přepsat role Azure AD, které uděluje úplný přístup (Globální správce, správce zabezpečení a správce Cloud App Security).

Přidání dalších správců

Do Programu Defender for Cloud Apps můžete přidat další správce, aniž byste museli přidávat uživatele do Azure AD rolí pro správu. Pokud chcete přidat další správce, proveďte následující kroky:

Důležité

  • Přístup na stránku Spravovat přístup správce je k dispozici členům globálních správců, správců zabezpečení, správců dodržování předpisů, správcům dat dodržování předpisů, operátorům zabezpečení, čtenářům zabezpečení a skupinám globálních čtenářů.
  • Přístupovou stránku spravovat správce můžou upravovat jenom Azure AD globální správci nebo správci zabezpečení a udělit ostatním uživatelům přístup ke službě Defender for Cloud Apps.
  1. Vyberte ikonu nastavení ozubeného kola. a pak spravovat přístup správce.

  2. Výběrem ikony plus přidejte správce, kteří by měli mít přístup k Programu Defender for Cloud Apps. Zadejte e-mailovou adresu uživatele z vaší organizace.

    Poznámka

    Pokud chcete přidat externí poskytovatele spravovaných služeb zabezpečení (MSSPs) jako správce portálu Defender for Cloud Apps, nezapomeňte je nejdřív pozvat jako hosta do vaší organizace.

    přidat správce.

  3. Potom vyberte rozevírací seznam a nastavte, jaký typ role má správce, globální správce, čtenář zabezpečení, správce dodržování předpisů, správce aplikací/instancí, správce skupiny uživatelů, globální správce Cloud Discovery nebo správce sestav Cloud Discovery. Pokud vyberete správce aplikace nebo instance, vyberte aplikaci a instanci, ke které má správce oprávnění.

    Poznámka

    Každému správci, jehož přístup je omezený, který se pokusí o přístup k omezené stránce nebo provedení akce s omezeným přístupem, se zobrazí chyba, že nemá oprávnění k přístupu k stránce nebo provedení akce.

  4. Vyberte Přidat správce.

Pozvání externích správců

Defender for Cloud Apps umožňuje pozvat externí správce (MSSPs) jako správce portálu Programu MSSP (zákazníka MSSP) vaší organizace. Pokud chcete přidat mssp, ujistěte se, že je v tenantovi MSSPs povolený Defender for Cloud Apps, a pak je přidejte jako Azure AD uživatele spolupráce B2B v Azure Portal zákazníků MSSPs. Po přidání je možné msSP nakonfigurovat jako správce a přiřadit některou z rolí dostupných v programu Defender for Cloud Apps.

Přidání poskytovatelů MSSP na portál Customer Defender pro Cloud Apps v programu MSSP

  1. Pomocí kroků v části Přidat uživatele typu host do adresáře zákazníka MSSP přidejte poskytovatele msSPs jako hosta do adresáře.
  2. Přidejte poskytovatele MSSPs a přiřaďte roli správce na portálu MicrosoftSp Customer Defender for Cloud Apps pomocí postupu v části Přidání dalších správců. Zadejte stejnou externí e-mailovou adresu, kterou jste použili při přidávání jako hosty v adresáři zákazníka MSSP.

Přístup pro poskytovatele MSSP k portálu Defender zákazníka MSSP pro Cloud Apps

MsSPs ve výchozím nastavení přistupují k tenantovi Defender for Cloud Apps prostřednictvím následující adresy URL: https://portal.cloudappsecurity.com.

Poskytovatelé msSPs ale budou muset získat přístup k portálu MsSP Customer Defender for Cloud Apps pomocí adresy URL specifické pro tenanta v následujícím formátu: https://portal.cloudappsecurity.com?tid=customer_tenant_id.

Poskytovatelé msSPs můžou pomocí následujícího postupu získat ID tenanta zákaznického portálu MSSP a pak pomocí ID získat přístup k adrese URL specifické pro tenanta:

  1. Jako poskytovatel MSSP se přihlaste k Azure AD pomocí svých přihlašovacích údajů.

  2. Přepněte adresář na tenanta zákazníka MSSP.

  3. Vyberte Azure Active Directory>Vlastnosti. ID tenanta zákazníka MSSP najdete v poli ID tenanta tenanta .

  4. Přístup k zákaznickému portálu MSSP nahraďte customer_tenant_id hodnotou v následující adrese URL: https://portal.cloudappsecurity.com?tid=customer_tenant_id.

auditování aktivit Správa

Defender for Cloud Apps umožňuje exportovat protokol aktivit přihlašování správců a audit zobrazení konkrétních uživatelů nebo výstrah provedených v rámci šetření.

Pokud chcete exportovat protokol, proveďte následující kroky:

  1. Na stránce Spravovat správce vyberte Exportovat aktivity správce.

  2. Zadejte požadovaný časový rozsah.

  3. Vyberte Exportovat.

Další kroky