Teilen über


Konfigurieren des Administratorzugriffs

Microsoft Defender for Cloud Apps unterstützt die rollenbasierte Zugriffssteuerung. Dieser Artikel enthält Informationen zum Festlegen des Zugriffs auf Defender for Cloud Apps für Ihre Administratoren. Weitere Informationen zu den verfügbaren Rollen finden Sie unter Zuweisen von Administratorrollen in Microsoft Entra ID in den Artikeln zu Microsoft Entra ID und Microsoft 365.

Microsoft 365- und Microsoft Entra-Rollen mit Zugriff auf Defender for Cloud Apps

Hinweis

  • Microsoft 365- und Microsoft Entra-Rollen sind nicht auf der Seite Administratorzugriff verwalten von Defender for Cloud Apps aufgeführt. Wechseln Sie zu den relevanten RBAC-Einstellungen für diesen Dienst, um Rollen in Microsoft 365 oder Microsoft Entra ID zuzuweisen.
  • Defender for Cloud Apps verwendet Microsoft Entra ID, um die Einstellung für das Inaktivitätstimeout auf Verzeichnisebene des Benutzers zu ermitteln. Wenn ein Benutzer in Microsoft Entra ID so konfiguriert ist, dass er sich bei Inaktivität nie abmeldet, gilt die gleiche Einstellung auch in Defender for Cloud Apps.

Standardmäßig haben die folgenden Microsoft 365- und Microsoft Entra ID-Administratorrollen Zugriff auf Defender for Cloud Apps:

Rollenname Beschreibung
Globaler Administrator und Sicherheitsadministrator Administratoren mit Vollzugriff verfügen über vollständige Berechtigungen in Defender for Cloud Apps. Sie können Administratoren, Richtlinien und Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen und SIEM-Agents aufrufen und verwalten.
Cloud App Security-Administrator Lässt vollständigen Zugriff und Berechtigungen in Microsoft Defender for Cloud Apps zu Diese Rolle gewährt Vollberechtigungen für Defender for Cloud-Apps, z. B. die Globale Administratorrolle Microsoft Entra ID. Diese Rolle gilt jedoch für Defender for Cloud Apps und gewährt keine vollständigen Berechtigungen für andere Microsoft Security-Produkte.
Complianceadministrator Diese Benutzer verfügen über schreibgeschützten Zugriff und können Warnungen verwalten. Der Zugriff auf Sicherheitsempfehlungen für Cloudplattformen ist nicht möglich. Sie können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und unter Datenverwaltung alle integrierten Berichte anzeigen.
Compliancedatenadministrator Diese Benutzer verfügen über schreibgeschützten Zugriff und können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und alle Ermittlungsberichte anzeigen. Der Zugriff auf Sicherheitsempfehlungen für Cloudplattformen ist nicht möglich.
Sicherheitsoperator Diese Benutzer verfügen über schreibgeschützten Zugriff und können Warnungen verwalten. Diese Administratoren dürfen die folgenden Aktionen nicht ausführen:
  • Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener Richtlinien
  • Ausführen von Governanceaktionen
  • Hochladen von Ermittlungsprotokollen
  • Sperren oder Genehmigen von Apps von Drittanbietern
  • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-Adressbereich
  • Zugreifen auf und Anzeigen von Systemeinstellungsseiten
  • Zugreifen auf und Anzeigen von Ermittlungseinstellungen
  • Zugreifen auf die und Anzeigen der Seite „App-Connectors“
  • Zugreifen auf das und Anzeigen des Governanceprotokolls
  • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“
Sicherheitsleseberechtigter Verfügt über schreibgeschützte Berechtigungen und kann API-Zugriffstoken erstellen. Diese Administratoren dürfen die folgenden Aktionen nicht ausführen:
    Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener Richtlinien
  • Ausführen von Governanceaktionen
  • Hochladen von Ermittlungsprotokollen
  • Sperren oder Genehmigen von Apps von Drittanbietern
  • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-Adressbereich
  • Zugreifen auf und Anzeigen von Systemeinstellungsseiten
  • Zugreifen auf und Anzeigen von Ermittlungseinstellungen
  • Zugreifen auf die und Anzeigen der Seite „App-Connectors“
  • Zugreifen auf das und Anzeigen des Governanceprotokolls
  • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“
Globaler Leser Verfügt über vollständigen schreibgeschützten Zugriff auf alle Aspekte von Microsoft Defender for Cloud Apps. Es können keine Einstellungen geändert oder Aktionen durchgeführt werden.

Wichtig

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.

Hinweis

App-Governance-Features werden nur von Microsoft Entra-ID-Rollen gesteuert. Weitere Informationen finden Sie unter App-Governance-Rollen.

Rollen und Berechtigungen

Berechtigungen Globaler Administrator Sicherheitsadministrator Admin für Einhaltung von Richtlinien Admin für Einhaltung von Datenrichtlinien Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser PBI-Administrator Cloud App Security-Admin
Kann Warnungen lesen
Verwalten von Warnungen
Kann OAuth-Anwendungen lesen
Kann OAuth-Anwendungsaktionen ausführen
Kann auf erkannte Apps, den Cloud-App-Katalog und andere Cloud Discovery-Daten zugreifen
Kann API-Connectors konfigurieren
Kann Cloud Discovery-Aktionen ausführen
Kann auf Dateidaten und Dateirichtlinien zugreifen
Kann Dateiaktionen durchführen
Kann auf Governanceprotokoll zugreifen
Kann Governanceprotokollaktionen ausführen
Kann auf bereichsbezogenes Discovery-Governanceprotokoll zugreifen
Kann Richtlinien lesen
Kann alle Richtlinienaktionen ausführen
Kann Dateirichtlinienaktionen ausführen
Kann OAuth-Richtlinienaktionen ausführen
Kann Administratorzugriff verwalten
Kann Administrator- und Aktivitätsdatenschutz verwalten

Integrierte Administratorrollen in Defender for Cloud Apps

Die folgenden spezifischen Administratorrollen können im Microsoft Defender-Portal im Bereich Berechtigungen > Cloud Apps > Rollen konfiguriert werden:

Rollenname Beschreibung
Globaler Administrator Hat Vollzugriff, ähnlich wie die Rolle des globalen Microsoft Entra-Administrators, jedoch auf Defender for Cloud Apps beschränkt.
Complianceadministrator Gewährt die gleichen Berechtigungen wie die Rolle Microsoft Entra-Complianceadministrators, jedoch auf Defender for Cloud Apps beschränkt.
Sicherheitsleseberechtigter Gewährt die gleichen Berechtigungen wie die Rolle des Microsoft Entra-Sicherheitsleseberechtigten, jedoch auf Defender for Cloud Apps beschränkt.
Sicherheitsoperator Gewährt die gleichen Berechtigungen wie die Rolle des Microsoft Entra-Sicherheitsoperators, jedoch auf Defender for Cloud Apps beschränkt.
App-/Instanzenadministrator Dieser Benutzer verfügt über Vollzugriff oder Lesezugriff für alle Daten in Defender for Cloud Apps, die sich ausschließlich auf die betreffende App oder die Instanz einer ausgewählten App beziehen.

Angenommen, Sie vergeben eine Administratorberechtigung für Ihre Box European-Instanz an einen Benutzer. Dem Administrator werden nur Daten angezeigt, die mit der Box European-Instanz in Verbindung stehen, also z. B. Dateien, Aktivitäten, Richtlinien oder Warnungen:
  • Seite „Aktivitäten“: Nur Aktivitäten bezüglich der jeweiligen App
  • Warnungen: Nur Warnungen im Zusammenhang mit der jeweiligen App In einigen Fällen auch Warnungsdaten in Zusammenhang mit einer anderen App, wenn sich die Daten auf die jeweilige App beziehen. Die Sichtbarkeit von Warnungsdaten im Zusammenhang mit einer anderen App ist eingeschränkt, und es besteht kein Zugriff auf Detailinformationen.
  • Richtlinien: Alle Richtlinien können angezeigt werden, aber nur Richtlinien in Zusammenhang mit der App/Instanz können erstellt oder bearbeitet werden.
  • Seite „Konten“: Nur Konten für die jeweilige App/Instanz
  • App-Berechtigungen: Nur Berechtigungen für die jeweilige App/Instanz
  • Seite „Dateien“: Nur Dateien aus der jeweiligen App/Instanz
  • App-Steuerung für bedingten Zugriff: Keine Berechtigungen
  • Cloud Discovery-Aktivität: Keine Berechtigungen
  • Sicherheitserweiterungen: Berechtigungen nur für API-Token mit Benutzerberechtigungen
  • Governanceaktionen: Nur für die jeweilige App/Instanz
  • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
  • IP-Bereiche: Keine Berechtigungen
Benutzergruppenadministrator Verfügt über Vollzugriff oder schreibgeschützten Zugriff auf alle Daten in Defender for Cloud Apps, die sich ausschließlich mit den ihnen zugewiesenen spezifischen Gruppen befassen. Wenn Sie z. B. der Gruppe „Deutschland: Alle Benutzer“ Benutzeradministratorberechtigungen erteilen, kann der Administrator nur Informationen für diese Benutzergruppe in Defender for Cloud Apps anzeigen und ändern: Der Benutzergruppenadministrator hat folgende Zugriffsberechtigungen:

  • Seite „Aktivitäten“ – nur Aktivitäten bezüglich der Benutzer in der Gruppe
  • Warnungen: nur Warnungen im Zusammenhang mit den Benutzer*innen in der Gruppe In einigen Fällen auch Warnungsdaten in Zusammenhang mit einem/r anderen Benutzer*in, wenn sich die Benutzer*innen auf der Gruppe beziehen. Die Sichtbarkeit von Warnungsdaten im Zusammenhang mit anderen Benutzer*innen ist eingeschränkt, und es besteht kein Zugriff auf Detailinformationen.
  • Richtlinien: Alle Richtlinien können angezeigt werden, aber nur Richtlinien, die ausschließlich mit der App/Instanz zu tun haben, können erstellt oder bearbeitet werden.
  • Seite „Konten“: Nur Konten für die jeweiligen Benutzer in der Gruppe
  • App-Berechtigungen: Keine Berechtigungen
  • Seite „Dateien“: Keine Berechtigungen
  • App-Steuerung für bedingten Zugriff: Keine Berechtigungen
  • Cloud Discovery-Aktivität: Keine Berechtigungen
  • Sicherheitserweiterungen: Berechtigungen nur für API-Token mit Benutzer*innen in der Gruppe
  • Governanceaktionen: Nur für die jeweiligen Benutzer in der Gruppe
  • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
  • IP-Bereiche: Keine Berechtigungen


Hinweise:
  • Um Benutzergruppenadministratoren Gruppen zuzuweisen, müssen Sie zuerst Benutzergruppen aus verbundenen Apps importieren.
  • Sie können Benutzergruppenadministratoren nur Berechtigungen für importierte Microsoft Entra-Gruppen zuweisen.
Globaler Cloud Discovery-Administrator Besitzt die Berechtigung zum Anzeigen und Bearbeiten aller Cloud Discovery-Einstellungen und -Daten. Der globale Discovery-Administrator verfügt über folgende Zugriffsberechtigungen:

  • Einstellungen: Systemeinstellungen – Nur Ansicht; Cloud Discovery-Einstellungen: Alle anzeigen und bearbeiten (Anonymisierungsberechtigungen hängen davon ab, ob diese während der Rollenzuweisung erteilt wurden)
  • Cloud Discovery-Aktivität: Vollständige Berechtigungen
  • Warnungen: Anzeigen und Verwalten von Warnungen im Zusammenhang mit dem betreffenden Cloud Discovery-Bericht
  • Richtlinien: Kann alle Richtlinien anzeigen und kann nur Cloud Discovery-Richtlinien bearbeiten oder erstellen
  • Seite „Aktivitäten“: Keine Berechtigungen
  • Seite „Konten“: Keine Berechtigungen
  • App-Berechtigungen: Keine Berechtigungen
  • Seite „Dateien“: Keine Berechtigungen
  • App-Steuerung für bedingten Zugriff: Keine Berechtigungen
  • Sicherheitserweiterungen: Erstellen und Löschen eigener API-Token
  • Governanceaktionen: Nur Aktionen im Zusammenhang mit Cloud Discovery
  • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
  • IP-Bereiche: Keine Berechtigungen
Cloud Discovery-Berichtsadministrator
  • Einstellungen: Systemeinstellungen – Nur Ansicht; Cloud Discovery-Einstellungen: Alle anzeigen (Anonymisierungsberechtigungen hängen davon ab, ob diese während der Rollenzuweisung erteilt wurden)
  • Cloud Discovery-Aktivität: Nur Leseberechtigung
  • Warnungen: Anzeigen nur von Warnungen im Zusammenhang mit dem betreffenden Cloud Discovery-Bericht
  • Richtlinien: Kann alle Richtlinien anzeigen und nur Cloud Discovery-Richtlinien erstellen, ohne die Möglichkeit, die Anwendung zu steuern (Tagging, genehmigt und nicht genehmigt)
  • Seite „Aktivitäten“: Keine Berechtigungen
  • Seite „Konten“: Keine Berechtigungen
  • App-Berechtigungen: Keine Berechtigungen
  • Seite „Dateien“: Keine Berechtigungen
  • App-Steuerung für bedingten Zugriff: Keine Berechtigungen
  • Sicherheitserweiterungen: Erstellen und Löschen eigener API-Token
  • Governanceaktionen: Anzeigen nur von Aktionen im Zusammenhang mit dem betreffenden Cloud Discovery-Bericht
  • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
  • IP-Bereiche: Keine Berechtigungen

Wichtig

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.

Die integrierten Defender for Cloud Apps-Administratorrollen bieten nur Zugriffsberechtigungen für Defender for CloudApps.

Außerkraftsetzung von Administratorberechtigungen

Wenn Sie Berechtigungen eines Administrators in Microsoft Entra ID oder Microsoft 365 außer Kraft setzen möchten, fügen Sie den Benutzer Defender for Cloud Apps manuell hinzu, und weisen Sie ihm Berechtigungen zu. Beispiel: Sie möchten Stephanie, eine Sicherheitsleseberechtigte in Microsoft Entra ID, in Defender for Cloud Apps Vollzugriff gewähren. Dazu können Sie sie Defender for Cloud Apps manuell hinzufügen und ihr die Berechtigung Vollzugriff zuweisen, um ihre Rolle außer Kraft zu setzen und ihr die benötigten Berechtigungen in Defender for Cloud Apps zu erteilen. Beachten Sie, dass es nicht möglich ist, Microsoft Entra-Rollen außer Kraft zu setzen, die Vollzugriff gewähren (globaler Administrator, Sicherheitsadministrator und Cloud App Security-Administrator).

Wichtig

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.

Hinzufügen zusätzlicher Administratoren

Sie können Defender for Cloud Apps zusätzliche Administratoren hinzufügen, ohne Benutzer*innen zu den administrativen Rollen von Microsoft Entra hinzuzufügen. Führen Sie die folgenden Schritte aus, um zusätzliche Administratoren hinzuzufügen:

Wichtig

  • Der Zugriff auf die Seite Administratorzugriff verwalten steht Mitgliedern der Gruppen „Globale Administratoren“, „Sicherheitsadministratoren“, „Complianceadministratoren“, „Compliance-Datenadministratoren“, „Sicherheitsoperatoren“, „Sicherheitsleseberechtigten“ und „Globale Leser“ zur Verfügung.
  • Sie müssen mindestens über eine Sicherheitsadministratorrolle verfügen, um die Seite Administratorzugriff verwalten bearbeiten und anderen Benutzern Zugriff auf Defender for Cloud Apps gewähren zu können.

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.

  1. Wählen Sie im Microsoft Defender-Portal im linken Menü die Option Berechtigungen.

  2. Wählen Sie unter Cloud-Apps die Option Rollen.

Menü „Berechtigungen“.

  1. Wählen Sie +Benutzer hinzufügen, um die Administratoren hinzuzufügen, die Zugriff auf Defender for Cloud Apps haben sollen. Geben Sie die E-Mail-Adresse eines Benutzers innerhalb Ihrer Organisation an.

    Hinweis

    Wenn Sie externe Managed Security Service Provider (MSSPs) als Administrator*innen für Defender for Cloud Apps hinzufügen wollen, stellen Sie sicher, dass Sie sie zuerst als Gast in Ihre Organisation einladen.

    Administratoren hinzufügen.

  2. Wählen Sie als Nächstes die Dropdownliste aus, um festzulegen, welche Rolle der Administrator hat. Wählen Sie bei Auswahl von App-/Instanzadministrator die App und Instanz aus, für die der Administrator Berechtigungen haben soll.

    Hinweis

    Administratoren mit beschränktem Zugriff, die versuchen, auf eine Seite mit Zugriffseinschränkung zuzugreifen oder eine Aktion mit Zugriffseinschränkung auszuführen, erhalten eine entsprechende Fehlermeldung.

  3. Wählen Sie erneut Admin hinzufügen.

Einladen externer Administratoren

Mit Defender for Cloud Apps können Sie externe Administrator*innen (MSSPs) als Administrator*innen des Defender for Cloud Apps-Diensts Ihrer Organisation (MSSP-Kunde) einladen. Stellen Sie zum Hinzufügen von MSSPs sicher, dass Defender for Cloud Apps im MSSPs-Mandanten aktiviert ist, und fügen Sie sie dann als Microsoft Entra B2B Collaboration-Benutzer in das Azure-Portal für MSSPs-Kunden hinzu. Nach dem Hinzufügen können MSSPs als Administratoren konfiguriert und jeder der in Defender for Cloud Apps verfügbaren Rollen zugewiesen werden.

Hinzufügen von MSSPs zum Defender for Cloud Apps-Dienst für MSSP-Kunden

  1. Fügen Sie MSSPs als Gast im MSSP-Kundenverzeichnis hinzu, indem Sie die Schritte unter Hinzufügen von Gastbenutzern zum Verzeichnis ausführen.
  2. Fügen Sie MSSPs hinzu, und weisen Sie dem Defender for Cloud Apps-Portal für MSSP-Kunden eine Administratorrolle zu, indem Sie die Schritte unter Hinzufügen zusätzlicher Administratoren ausführen. Geben Sie dieselbe externe E-Mail-Adresse an, die beim Hinzufügen als Gäste im MSSP-Kundenverzeichnis verwendet wird.

Zugriff für MSSPs zum Defender for Cloud Apps-Dienst für MSSP-Kunden

Standardmäßig greifen MSSPs über die folgende URL auf ihren Defender for Cloud Apps-Mandanten zu: https://security.microsoft.com

MSSPs müssen jedoch mithilfe einer mandantenspezifischen URL im folgenden Format auf das Microsoft Defender-Portal für MSSP-Kunden zugreifen: https://security.microsoft.com/?tid=<tenant_id>

MSSPs können die folgenden Schritte verwenden, um die Mandanten-ID des MSSP-Kundenportals abzurufen und dann die ID für den Zugriff auf die mandantenspezifische URL zu verwenden:

  1. Melden Sie sich als MSSP mit Ihren Anmeldedaten bei Microsoft Entra ID an.

  2. Wechseln Sie das Verzeichnis zum Mandanten des MSSP-Kunden.

  3. Wählen Sie Microsoft Entra ID>Eigenschaften. Sie finden die MSSP-Kundenmandanten-ID im Feld Mandanten-ID.

  4. Greifen Sie auf das MSSP-Kundenportal zu, indem Sie den customer_tenant_id-Wert in der folgenden URL ersetzen: https://security.microsoft.com/?tid=<tenant_id>.

Administratoraktivitätsüberwachung

Mit Defender for Cloud Apps können Sie ein Protokoll von Administratoranmeldeaktivitäten und eine Überwachung der Ansichten eines/r bestimmten Benutzer*in oder Warnungen exportieren, die im Rahmen einer Untersuchung stattfinden.

Führen Sie die folgenden Schritte aus, um ein Protokoll zu exportieren:

  1. Wählen Sie im Microsoft Defender-Portal im linken Menü die Option Berechtigungen.

  2. Wählen Sie unter Cloud-Apps die Option Rollen.

  3. Wählen Sie auf der Seite Administratorrollen in der oberen rechten Ecke die Option Administratoraktivitäten exportieren.

  4. Geben Sie den gewünschten Zeitraum an.

  5. Wählen Sie Exportieren.

Nächste Schritte