Administratorzugriff verwalten

  • Artikel

Microsoft Defender for Cloud Apps unterstützt die rollenbasierte Zugriffssteuerung. Dieser Artikel enthält Informationen zum Festlegen des Zugriffs auf Defender for Cloud Apps für Ihre Administratoren. Weitere Informationen zu den verfügbaren Rollen finden Sie unter Zuweisen von Administratorrollen in Microsoft Entra ID in den Artikeln zu Microsoft Entra ID und Microsoft 365.

Microsoft 365- und Microsoft Entra-Rollen mit Zugriff auf Defender for Cloud Apps

Hinweis

  • Microsoft 365- und Microsoft Entra-Rollen sind nicht auf der Seite Administratorzugriff verwalten von Defender for Cloud Apps aufgeführt. Wechseln Sie zu den relevanten RBAC-Einstellungen für diesen Dienst, um Rollen in Microsoft 365 oder Microsoft Entra ID zuzuweisen.
  • Defender for Cloud Apps verwendet Microsoft Entra ID, um die Einstellung für das Inaktivitätstimeout auf Verzeichnisebene des Benutzers zu ermitteln. Wenn ein Benutzer in Microsoft Entra ID so konfiguriert ist, dass er sich bei Inaktivität nie abmeldet, gilt die gleiche Einstellung auch in Defender for Cloud Apps.

Standardmäßig haben die folgenden Microsoft 365- und Microsoft Entra ID-Administratorrollen Zugriff auf Defender for Cloud Apps:

  • Globaler Administrator und Sicherheitsadministrator: Administratoren mit Vollzugriff verfügen über vollständige Berechtigungen in Microsoft Defender for Cloud Apps. Sie können Administratoren, Richtlinien und Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen und SIEM-Agents aufrufen und verwalten.

  • Cloud App Security-Administrator: Ermöglicht Vollzugriff und Berechtigungen in Defender for Cloud Apps. Diese Rolle gewährt Vollberechtigungen für Defender for Cloud-Apps, z. B. die Globale Administratorrolle Microsoft Entra ID. Diese Rolle gilt jedoch für Defender for Cloud Apps und gewährt keine vollständigen Berechtigungen für andere Microsoft Security-Produkte.

  • Complianceadministrator: Diese Benutzer verfügen über schreibgeschützten Zugriff und können Warnungen verwalten. Der Zugriff auf Sicherheitsempfehlungen für Cloudplattformen ist nicht möglich. Sie können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und unter Datenverwaltung alle integrierten Berichte anzeigen.

  • Compliancedatenadministrator: Diese Benutzer verfügen über schreibgeschützten Zugriff und können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und alle Ermittlungsberichte anzeigen. Der Zugriff auf Sicherheitsempfehlungen für Cloudplattformen ist nicht möglich.

  • Sicherheitsoperator: Diese Benutzer*innen verfügen über schreibgeschützten Zugriff und können Warnungen verwalten. Diese Administratoren dürfen die folgenden Aktionen nicht ausführen:

    • Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener Richtlinien
    • Ausführen von Governanceaktionen
    • Hochladen von Ermittlungsprotokollen
    • Sperren oder Genehmigen von Apps von Drittanbietern
    • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-Adressbereich
    • Zugreifen auf und Anzeigen von Systemeinstellungsseiten
    • Zugreifen auf und Anzeigen von Ermittlungseinstellungen
    • Zugreifen auf die und Anzeigen der Seite „App-Connectors“
    • Zugreifen auf das und Anzeigen des Governanceprotokolls
    • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“
    • Zugreifen auf und Anzeigen von SIEM-Agents

  • Sicherheitsleseberechtigter: Diese Benutzer*innen verfügen über schreibgeschützten Zugriff und können Warnungen verwalten. Diese Administratoren dürfen die folgenden Aktionen nicht ausführen:

    • Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener Richtlinien
    • Ausführen von Governanceaktionen
    • Hochladen von Ermittlungsprotokollen
    • Sperren oder Genehmigen von Apps von Drittanbietern
    • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-Adressbereich
    • Zugreifen auf und Anzeigen von Systemeinstellungsseiten
    • Zugreifen auf und Anzeigen von Ermittlungseinstellungen
    • Zugreifen auf die und Anzeigen der Seite „App-Connectors“
    • Zugreifen auf das und Anzeigen des Governanceprotokolls
    • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“
    • Zugreifen auf und Anzeigen von SIEM-Agents

  • Globaler Leser: Diese Benutzer*innen verfügen über vollständigen schreibgeschützten Zugriff auf alle Aspekte von Microsoft Defender for Cloud Apps. Es können keine Einstellungen geändert oder Aktionen durchgeführt werden.

Hinweis

App-Governance-Features werden nur von Microsoft Entra-ID-Rollen gesteuert. Weitere Informationen finden Sie unter App-Governance-Rollen.

Rollen und Berechtigungen

Berechtigungen Globaler Administrator Sicherheitsadministrator Admin für Einhaltung von Richtlinien Admin für Einhaltung von Datenrichtlinien Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser PBI-Administrator Cloud App Security-Admin
Kann Warnungen lesen
Verwalten von Warnungen
Kann OAuth-Anwendungen lesen
Kann OAuth-Anwendungsaktionen ausführen
Kann auf erkannte Apps, den Cloud-App-Katalog und andere Cloud Discovery-Daten zugreifen
Kann API-Connectors konfigurieren
Kann Cloud Discovery-Aktionen ausführen
Kann auf Dateidaten und Dateirichtlinien zugreifen
Kann Dateiaktionen durchführen
Kann auf Governanceprotokoll zugreifen
Kann Governanceprotokollaktionen ausführen
Kann auf bereichsbezogenes Discovery-Governanceprotokoll zugreifen
Kann Richtlinien lesen
Kann alle Richtlinienaktionen ausführen
Kann Dateirichtlinienaktionen ausführen
Kann OAuth-Richtlinienaktionen ausführen
Kann Administratorzugriff verwalten
Kann Administrator- und Aktivitätsdatenschutz verwalten

Integrierte Administratorrollen in Defender for Cloud Apps

Die folgenden spezifischen Administratorrollen können im Microsoft Defender-Portal im Bereich Berechtigungen > Cloud Apps > Rollen konfiguriert werden:

  • Globaler Administrator: Hat Vollzugriff, ähnlich wie die Rolle des globalen Microsoft Entra-Administrators, jedoch auf Defender for Cloud Apps beschränkt.

  • Complianceadministrator: Gewährt die gleichen Berechtigungen wie die Rolle Microsoft Entra-Complianceadministrators, jedoch auf Defender for Cloud Apps beschränkt.

  • Sicherheitsleseberechtigter: Gewährt die gleichen Berechtigungen wie die Rolle des Microsoft Entra-Sicherheitsleseberechtigten, jedoch auf Defender for Cloud Apps beschränkt.

  • Sicherheitsoperator: Gewährt die gleichen Berechtigungen wie die Rolle des Microsoft Entra-Sicherheitsoperators, jedoch auf Defender for Cloud Apps beschränkt.

  • App-/Instanzadministrator: Dieser Benutzer verfügt über Vollzugriff oder Lesezugriff für alle Daten in Defender for Cloud Apps, die sich ausschließlich auf die betreffende App oder die Instanz einer ausgewählten App beziehen. Angenommen, Sie vergeben eine Administratorberechtigung für Ihre Box European-Instanz an einen Benutzer. Dem Administrator werden nur Daten angezeigt, die mit der Box European-Instanz in Verbindung stehen, also z.B. Dateien, Aktivitäten, Richtlinien oder Warnungen:

    • Seite „Aktivitäten“: Nur Aktivitäten bezüglich der jeweiligen App
    • Warnungen: Nur Warnungen im Zusammenhang mit der jeweiligen App In einigen Fällen auch Warnungsdaten in Zusammenhang mit einer anderen App, wenn sich die Daten auf die jeweilige App beziehen. Die Sichtbarkeit von Warnungsdaten im Zusammenhang mit einer anderen App ist eingeschränkt, und es besteht kein Zugriff auf Detailinformationen.
    • Richtlinien: Alle Richtlinien können angezeigt werden, aber nur Richtlinien in Zusammenhang mit der App/Instanz können erstellt oder bearbeitet werden.
    • Seite „Konten“: Nur Konten für die jeweilige App/Instanz
    • App-Berechtigungen: Nur Berechtigungen für die jeweilige App/Instanz
    • Seite „Dateien“: Nur Dateien aus der jeweiligen App/Instanz
    • Conditional Access App Control: Keine Berechtigungen
    • Cloud Discovery-Aktivität: Keine Berechtigungen
    • Sicherheitserweiterungen: Berechtigungen nur für API-Token mit Benutzerberechtigungen
    • Governanceaktionen: Nur für die jeweilige App/Instanz
    • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
    • IP-Bereiche: Keine Berechtigungen

  • Benutzergruppenadministrator: Verfügt über Vollzugriff oder schreibgeschützten Zugriff auf alle Daten in Defender for Cloud Apps, die sich ausschließlich mit den ihnen zugewiesenen spezifischen Gruppen befassen. Wenn Sie z. B. der Gruppe „Deutschland: Alle Benutzer“ Benutzeradministratorberechtigungen erteilen, kann der Administrator nur Informationen für diese Benutzergruppe in Defender for Cloud Apps anzeigen und ändern: Der Benutzergruppenadministrator hat folgende Zugriffsberechtigungen:

    • Seite „Aktivitäten“ – nur Aktivitäten bezüglich der Benutzer in der Gruppe

    • Warnungen: nur Warnungen im Zusammenhang mit den Benutzer*innen in der Gruppe In einigen Fällen auch Warnungsdaten in Zusammenhang mit einem/r anderen Benutzer*in, wenn sich die Benutzer*innen auf der Gruppe beziehen. Die Sichtbarkeit von Warnungsdaten im Zusammenhang mit anderen Benutzer*innen ist eingeschränkt, und es besteht kein Zugriff auf Detailinformationen.

    • Richtlinien: Alle Richtlinien können angezeigt werden, aber nur Richtlinien, die ausschließlich mit der App/Instanz zu tun haben, können erstellt oder bearbeitet werden.

    • Seite „Konten“: Nur Konten für die jeweiligen Benutzer in der Gruppe

    • App-Berechtigungen: Keine Berechtigungen

    • Seite „Dateien“: Keine Berechtigungen

    • Conditional Access App Control: Keine Berechtigungen

    • Cloud Discovery-Aktivität: Keine Berechtigungen

    • Sicherheitserweiterungen: Berechtigungen nur für API-Token mit Benutzer*innen in der Gruppe

    • Governanceaktionen: Nur für die jeweiligen Benutzer in der Gruppe

    • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen

    • IP-Bereiche: Keine Berechtigungen

      Hinweis

      • Um Benutzergruppenadministratoren Gruppen zuzuweisen, müssen Sie zuerst Benutzergruppen aus verbundenen Apps importieren.
      • Sie können Benutzergruppenadministratoren nur Berechtigungen für importierte Microsoft Entra-Gruppen zuweisen.

  • Globaler Admin von Cloud Discovery: Kann alle Cloud Discovery-Einstellungen und -Daten anzeigen und bearbeiten. Der globale Discovery-Administrator verfügt über folgende Zugriffsberechtigungen:

    • Einstellungen
      • Systemeinstellungen: Schreibgeschützter Zugriff
      • Cloud Discovery-Einstellungen: Alle anzeigen und bearbeiten (Anonymisierungsberechtigungen hängen davon ab, ob diese während der Rollenzuweisung erteilt wurden)
    • Cloud Discovery-Aktivität: Vollständige Berechtigungen
    • Warnungen: Anzeigen und Verwalten von Warnungen im Zusammenhang mit dem betreffenden Cloud Discovery-Bericht
    • Richtlinien: Kann alle Richtlinien anzeigen und kann nur Cloud Discovery-Richtlinien bearbeiten oder erstellen
    • Seite „Aktivitäten“: Keine Berechtigungen
    • Seite „Konten“: Keine Berechtigungen
    • App-Berechtigungen: Keine Berechtigungen
    • Seite „Dateien“: Keine Berechtigungen
    • Conditional Access App Control: Keine Berechtigungen
    • Sicherheitserweiterungen: Erstellen und Löschen eigener API-Token
    • Governanceaktionen: Nur Aktionen im Zusammenhang mit Cloud Discovery
    • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
    • IP-Bereiche: Keine Berechtigungen

  • Cloud Discovery-Berichtsadministrator*in:

    • Einstellungen
      • Systemeinstellungen: Schreibgeschützter Zugriff
      • Cloud-Discovery-Einstellungen: Alle anzeigen (Anonymisierungsberechtigungen hängen davon ab, ob sie bei der Rollenzuweisung zugelassen wurden)
    • Cloud Discovery-Aktivität: Nur Leseberechtigung
    • Warnungen: Anzeigen nur von Warnungen im Zusammenhang mit dem betreffenden Cloud Discovery-Bericht
    • Richtlinien: Kann alle Richtlinien anzeigen und nur Cloud Discovery-Richtlinien erstellen, ohne die Möglichkeit, die Anwendung zu steuern (Tagging, genehmigt und nicht genehmigt)
    • Seite „Aktivitäten“: Keine Berechtigungen
    • Seite „Konten“: Keine Berechtigungen
    • App-Berechtigungen: Keine Berechtigungen
    • Seite „Dateien“: Keine Berechtigungen
    • Conditional Access App Control: Keine Berechtigungen
    • Sicherheitserweiterungen: Erstellen und Löschen eigener API-Token
    • Governanceaktionen: Anzeigen nur von Aktionen im Zusammenhang mit dem betreffenden Cloud Discovery-Bericht
    • Sicherheitsempfehlungen für Cloud-Plattformen: Keine Berechtigungen
    • IP-Bereiche: Keine Berechtigungen

Hinweis

Die integrierten Defender for Cloud Apps-Administratorrollen bieten nur Zugriffsberechtigungen für Defender for CloudApps.

Außerkraftsetzung von Administratorberechtigungen

Wenn Sie Berechtigungen eines Administrators in Microsoft Entra ID oder Microsoft 365 außer Kraft setzen möchten, fügen Sie den Benutzer Defender for Cloud Apps manuell hinzu, und weisen Sie ihm Berechtigungen zu. Beispiel: Sie möchten Stephanie, eine Sicherheitsleseberechtigte in Microsoft Entra ID, in Defender for Cloud Apps Vollzugriff gewähren. Dazu können Sie sie Defender for Cloud Apps manuell hinzufügen und ihr die Berechtigung Vollzugriff zuweisen, um ihre Rolle außer Kraft zu setzen und ihr die benötigten Berechtigungen in Defender for Cloud Apps zu erteilen. Beachten Sie, dass es nicht möglich ist, Microsoft Entra-Rollen außer Kraft zu setzen, die Vollzugriff gewähren (globaler Administrator, Sicherheitsadministrator und Cloud App Security-Administrator).

Hinzufügen zusätzlicher Administratoren

Sie können Defender for Cloud Apps zusätzliche Administratoren hinzufügen, ohne Benutzer*innen zu den administrativen Rollen von Microsoft Entra hinzuzufügen. Führen Sie die folgenden Schritte aus, um zusätzliche Administratoren hinzuzufügen:

Wichtig

  • Der Zugriff auf die Seite Administratorzugriff verwalten steht Mitgliedern der Gruppen „Globale Administratoren“, „Sicherheitsadministratoren“, „Complianceadministratoren“, „Compliance-Datenadministratoren“, „Sicherheitsoperatoren“, „Sicherheitsleseberechtigten“ und „Globale Leser“ zur Verfügung.
  • Nur globale Microsoft Entra-Administratoren oder Sicherheitsadministratoren können die Seite Administratorzugriff verwalten bearbeiten und anderen Benutzern Zugriff auf Defender for Cloud Apps gewähren.

  1. Wählen Sie im Microsoft Defender-Portal im linken Menü die Option Berechtigungen.

  2. Wählen Sie unter Cloud-Apps die Option Rollen.

Permissions menu.

  1. Wählen Sie +Benutzer hinzufügen, um die Administratoren hinzuzufügen, die Zugriff auf Defender for Cloud Apps haben sollen. Geben Sie die E-Mail-Adresse eines Benutzers innerhalb Ihrer Organisation an.

    Hinweis

    Wenn Sie externe Managed Security Service Provider (MSSPs) als Administrator*innen für Defender for Cloud Apps hinzufügen wollen, stellen Sie sicher, dass Sie sie zuerst als Gast in Ihre Organisation einladen.

    add admins.

  2. Wählen Sie als Nächstes die Einblendliste aus, um festzulegen, um die Rolle des Administrators festzulegen: Globaler Administrator, Sicherheitsleseberechtigter, Complianceadministrator, App-/Instanzadministrator, Benutzergruppenadministrator, globaler Cloud Discovery-Administrator oder Cloud Discovery-Berichtsadministrator. Wenn Sie App/Instanz-Administrator wählen, wählen Sie die App und Instanz, für die Sie dem Administrator Berechtigungen zuweisen möchten.

    Hinweis

    Administratoren mit beschränktem Zugriff, die versuchen, auf eine Seite mit Zugriffseinschränkung zuzugreifen oder eine Aktion mit Zugriffseinschränkung auszuführen, erhalten eine entsprechende Fehlermeldung.

  3. Wählen Sie erneut Admin hinzufügen.

Einladen externer Administratoren

Mit Defender for Cloud Apps können Sie externe Administrator*innen (MSSPs) als Administrator*innen des Defender for Cloud Apps-Diensts Ihrer Organisation (MSSP-Kunde) einladen. Stellen Sie zum Hinzufügen von MSSPs sicher, dass Defender for Cloud Apps im MSSPs-Mandanten aktiviert ist, und fügen Sie sie dann als Microsoft Entra B2B Collaboration-Benutzer in das Azure-Portal für MSSPs-Kunden hinzu. Nach dem Hinzufügen können MSSPs als Administratoren konfiguriert und jeder der in Defender for Cloud Apps verfügbaren Rollen zugewiesen werden.

Hinzufügen von MSSPs zum Defender for Cloud Apps-Dienst für MSSP-Kunden

  1. Fügen Sie MSSPs als Gast im MSSP-Kundenverzeichnis hinzu, indem Sie die Schritte unter Hinzufügen von Gastbenutzern zum Verzeichnis ausführen.
  2. Fügen Sie MSSPs hinzu, und weisen Sie dem Defender for Cloud Apps-Portal für MSSP-Kunden eine Administratorrolle zu, indem Sie die Schritte unter Hinzufügen zusätzlicher Administratoren ausführen. Geben Sie dieselbe externe E-Mail-Adresse an, die beim Hinzufügen als Gäste im MSSP-Kundenverzeichnis verwendet wird.

Zugriff für MSSPs zum Defender for Cloud Apps-Dienst für MSSP-Kunden

Standardmäßig greifen MSSPs über die folgende URL auf ihren Defender for Cloud Apps-Mandanten zu: https://security.microsoft.com

MSSPs müssen jedoch mithilfe einer mandantenspezifischen URL im folgenden Format auf das Microsoft Defender-Portal für MSSP-Kunden zugreifen: https://security.microsoft.com/?tid=<tenant_id>

MSSPs können die folgenden Schritte verwenden, um die Mandanten-ID des MSSP-Kundenportals abzurufen und dann die ID für den Zugriff auf die mandantenspezifische URL zu verwenden:

  1. Melden Sie sich als MSSP mit Ihren Anmeldedaten bei Microsoft Entra ID an.

  2. Wechseln Sie das Verzeichnis zum Mandanten des MSSP-Kunden.

  3. Wählen Sie Microsoft Entra ID>Eigenschaften. Sie finden die MSSP-Kundenmandanten-ID im Feld Mandanten-ID.

  4. Greifen Sie auf das MSSP-Kundenportal zu, indem Sie den customer_tenant_id-Wert in der folgenden URL ersetzen: https://security.microsoft.com/?tid=<tenant_id>.

Administratoraktivitätsüberwachung

Mit Defender for Cloud Apps können Sie ein Protokoll von Administratoranmeldeaktivitäten und eine Überwachung der Ansichten eines/r bestimmten Benutzer*in oder Warnungen exportieren, die im Rahmen einer Untersuchung stattfinden.

Führen Sie die folgenden Schritte aus, um ein Protokoll zu exportieren:

  1. Wählen Sie im Microsoft Defender-Portal im linken Menü die Option Berechtigungen.

  2. Wählen Sie unter Cloud-Apps die Option Rollen.

  3. Wählen Sie auf der Seite Administratorrollen in der oberen rechten Ecke die Option Administratoraktivitäten exportieren.

  4. Geben Sie den gewünschten Zeitraum an.

  5. Wählen Sie Exportieren.

Nächste Schritte

Einrichten von Cloud Discovery