Gérer l’accès administrateur

  • Article

Microsoft Defender for Cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Cet article explique comment définir l’accès à Defender for Cloud Apps pour vos administrateurs. Pour plus d’informations sur l’affectation des rôles disponibles, consultez les articles relatifs à Microsoft Entra ID et Microsoft 365.

Rôles Microsoft 365 et Microsoft Entra avec accès à Defender for Cloud Apps

Remarque

  • Les rôles Microsoft 365 et Microsoft Entra ne sont pas répertoriés dans la page Gérer l’accès administrateur de Defender for Cloud Apps. Pour attribuer des rôles dans Microsoft 365 ou Microsoft Entra ID, accédez aux paramètres RBAC appropriés pour ce service.
  • Defender for Cloud Apps utilise Microsoft Entra ID pour déterminer le paramètre de délai d’inactivité au niveau du répertoire de l’utilisateur. Si un utilisateur est configuré dans Microsoft Entra ID pour ne jamais se déconnecter lorsqu’il est inactif, le même paramètre s’applique également dans Defender for Cloud Apps.

Par défaut, les rôles d’administrateur Microsoft 365 et Microsoft Entra ID suivants ont accès à Defender for Cloud Apps :

  • Administrateur général et administrateur de sécurité : les administrateurs disposant d’un accès complet disposent d’autorisations complètes dans Defender pour Cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres, charger des journaux et effectuer des actions de gouvernance, accéder aux agents SIEM et les gérer.

  • Administrateur Sécurité des applications cloud : autorise l’accès complet et les autorisations dans Defender for Cloud Apps. Ce rôle accorde des autorisations complètes à Defender for Cloud Apps, comme le rôle Administrateur général de Microsoft Entra ID. Toutefois, ce rôle est étendu à Defender for Cloud Apps et n’accorde pas d’autorisations complètes sur d’autres produits de sécurité Microsoft.

  • Administrateur de conformité : dispose d’autorisations en lecture seule et peut gérer les alertes. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud. Peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichier et afficher tous les rapports intégrés sous Gestion des données.

  • Administrateur des données de conformité : il dispose d’autorisations en lecture seule, peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichiers et afficher tous les rapports de découverte. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud.

  • Opérateur de sécurité : il dispose d'autorisations en lecture seule et peut gérer les alertes. Ces administrateurs ne peuvent pas effectuer les actions suivantes :

    • Créer des stratégies ou modifier et changer des stratégies existantes
    • Effectuer des actions de gouvernance
    • Charger des journaux de découverte
    • Interdire ou approuver des applications tierces
    • Accéder à la page de paramètres de la plage d’adresses IP
    • Accès et affichage des pages de paramètres système
    • Accéder aux paramètres de découverte
    • Accéder à la page de connecteurs d’applications
    • Accéder au journal de gouvernance
    • Accéder à la page Gérer des rapports d’instantanés
    • Accès et affichage des agents Gestion des informations et des événements de sécurité

  • Lecteur Sécurité : dispose d’autorisations en lecture seule. Ces administrateurs ne peuvent pas effectuer les actions suivantes :

    • Créer des stratégies ou modifier et changer des stratégies existantes
    • Effectuer des actions de gouvernance
    • Charger des journaux de découverte
    • Interdire ou approuver des applications tierces
    • Accéder à la page de paramètres de la plage d’adresses IP
    • Accès et affichage des pages de paramètres système
    • Accéder aux paramètres de découverte
    • Accéder à la page de connecteurs d’applications
    • Accéder au journal de gouvernance
    • Accéder à la page Gérer des rapports d’instantanés
    • Accès aux agents Gestion des informations et des événements de sécurité et affichage

  • Lecteur général : il dispose d’un accès complet en lecture seule à tous les aspects de Defender pour Cloud Apps. Impossible de modifier des paramètres ou d’effectuer des actions.

Remarque

Les fonctions de gouvernance des applications sont contrôlées par les rôles Microsoft Entra ID uniquement. Pour plus d’informations, consultez Rôles de gouvernances des applications.

Rôles et autorisations

Autorisations Administrateur général Administrateur de la sécurité Administrateur de conformité Administrateur des données de conformité Opérateur de sécurité Lecteur de sécurité Lecteur général Administration PBI Administration Sécurité des applications cloud
Lire des alertes
Gérer les alertes
Lire les applications OAuth
Effectuer des actions d’application OAuth
Accéder aux applications découvertes, au catalogue d’applications cloud et à d’autres données Cloud Discovery
Configurer des connecteurs d'API
Effectuer des actions Cloud Discovery
Accéder aux données de fichiers et aux stratégies de fichiers
Effectuer les actions de fichier
Accéder au journal de gouvernance
Effectuer des actions de journal de gouvernance
Accéder au journal de gouvernance de la découverte limitée
Lire les stratégies
Effectuer toutes les actions de stratégie
Effectuer les actions de stratégie de fichier
Effectuer les actions de stratégie OAuth
Afficher Gérer l’accès administrateur
Gérer les administrateurs et la confidentialité des activités

Rôle d’administrateur prédéfini dans Defender for Cloud Apps

Les rôles d'administrateur spécifiques suivants peuvent être configurés dans le portail Microsoft Defender, dans la zone Permissions > Cloud Apps > Rôles :

  • Administrateur général : dispose d’un accès complet similaire au rôle Administrateur général de Microsoft Entra, mais uniquement à Defender for Cloud Apps.

  • Administrateur de conformité : accorde les mêmes autorisations que le rôle Administrateur de conformité Microsoft Entra, mais uniquement pour Defender for Cloud Apps.

  • Lecteur de sécurité : accorde les mêmes autorisations que le rôle lecteur Microsoft Entra, mais uniquement pour Defender for Cloud Apps.

  • Opérateur de sécurité : accorde les mêmes autorisations que le rôle d’opérateur de sécurité Microsoft Entra, mais uniquement aux applications Defender for Cloud Apps.

  • Administrateur d’application/d’instance : dispose des autorisations pour toutes les données dans Microsoft Defender for Cloud Apps qui portent exclusivement sur l’application spécifique ou l’instance d’une application sélectionnée. Par exemple, vous accordez à un utilisateur l’autorisation d’administrateur sur votre instance de Box European. L’administrateur verra uniquement les données qui sont liées à l’instance de Box European, qu’il s’agisse de fichiers, d’activités, de stratégies ou d’alertes :

    • Page des activités : seules les activités concernant l’application spécifique
    • Alertes : seules les alertes relatives à l’application spécifique. Dans certains cas, les données d’alerte liées à une autre application si les données sont mises en corrélation avec l’application spécifique. La visibilité des données d’alerte liées à une autre application est limitée et il n'y a pas d'accès pour approfondir les détails.
    • Stratégies : peut afficher toutes les stratégies et, si des autorisations totales sont attribuées, modifier ou créer uniquement les stratégies qui traitent exclusivement de l’application/instance
    • Page Comptes : seuls les comptes de l’application/instance spécifique
    • Autorisations d’application : seules les autorisations pour l’application/instance spécifique
    • Page des fichiers : seuls les fichiers de l’application/instance spécifique
    • Contrôle d’application par conditionnel aux applications - aucune autorisation
    • Activité Cloud Discovery : aucune autorisation
    • Extensions de sécurité - Autorisations uniquement pour un jeton d’API avec des autorisations utilisateur
    • Actions de gouvernance : uniquement pour l’application/instance spécifique
    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
    • Plages d’adresses IP - Aucune autorisation

  • Administrateur de groupe d’utilisateurs : dispose d’autorisations complètes ou en lecture seule pour toutes les données de Defender for Cloud Apps qui traitent exclusivement des groupes spécifiques qui leur sont attribués. Par exemple, si vous accordez à un utilisateur l’autorisation d’administrateur sur le groupe « Allemagne - tous les utilisateurs », l’administrateur peut visualiser et modifier les informations dans Microsoft Defender for Cloud Apps uniquement pour ce groupe d’utilisateurs : L’administrateur du groupe d’utilisateurs dispose de l’accès suivant :

    • Page des activités : seules les activités concernant les utilisateurs dans le groupe

    • Alertes : seules les alertes relatives aux utilisateurs dans le groupe. Dans certains incidents, alerter les données liées à un autre utilisateur si les données sont en corrélation avec les utilisateurs du groupe. La visibilité des données d’alerte liées à d’autres utilisateurs est limitée et il n'y a pas d'accès pour approfondir les détails.

    • Stratégies : peut afficher toutes les stratégies et, si des autorisations totales sont attribuées, modifier ou créer uniquement les stratégies qui traitent exclusivement des utilisateurs dans le groupe

    • Page Comptes : seuls les comptes pour les utilisateurs spécifiques dans le groupe

    • Autorisations d’application : aucune autorisation

    • Page Fichiers : aucune autorisation

    • Contrôle d’application par conditionnel aux applications - aucune autorisation

    • Activité Cloud Discovery : aucune autorisation

    • Extensions de sécurité - Autorisations uniquement pour un jeton d’API avec les utilisateurs dans le groupe

    • Actions de gouvernance : uniquement pour les utilisateurs spécifiques dans le groupe

    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation

    • Plages d’adresses IP - Aucune autorisation

      Remarque

      • Pour affecter des groupes à des administrateurs de groupes d’utilisateurs, vous devez d’abord importer des groupes d’utilisateurs à partir d’applications connectées.
      • Vous pouvez uniquement affecter des autorisations d’administrateur de groupe d’utilisateurs aux groupes Microsoft Entra importés.

  • Administrateur général Cloud Discovery : A l’autorisation d’afficher et de modifier l’ensemble des données et paramètres Cloud Discovery. L’administrateur Global Discovery dispose des accès suivants :

    • Paramètres
      • Paramètres du système - Affichage uniquement
      • Paramètres Cloud Discovery - Tout afficher et modifier (les autorisations d’anonymisation dépendent de l’autorisation de celle-ci lors de l’attribution de rôle)
    • Activité Cloud Discovery - Autorisations complètes
    • Alertes - afficher et gérer uniquement les alertes liées au rapport Cloud Discovery approprié
    • Stratégies - Peut afficher toutes les stratégies et peut modifier ou créer uniquement des stratégies Cloud Discovery
    • Page Activités - Aucune autorisation
    • Page Comptes - Aucune autorisation
    • Autorisations d’application : aucune autorisation
    • Page Fichiers : aucune autorisation
    • Contrôle d’application par conditionnel aux applications - aucune autorisation
    • Extensions de sécurité - création et suppression de leurs propres jetons d’API
    • Actions liées à la gouvernance - Cloud Discovery uniquement
    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
    • Plages d’adresses IP - Aucune autorisation

  • Administrateur du rapport Cloud Discovery :

    • Paramètres
      • Paramètres du système - Affichage uniquement
      • Paramètres Cloud Discovery - Tout afficher (les autorisations d’anonymisation dépendent de l’autorisation de celle-ci lors de l’attribution de rôle)
    • Activité Cloud Discovery - Autorisations en lecture uniquement
    • Alertes - afficher uniquement les alertes liées au rapport Cloud Discovery approprié
    • Stratégies - peut afficher toutes les stratégies et créer uniquement des stratégies Cloud Discovery, sans possibilité de régir l’application (balisage, approbation et non approbation)
    • Page Activités - Aucune autorisation
    • Page Comptes - Aucune autorisation
    • Autorisations d’application : aucune autorisation
    • Page Fichiers : aucune autorisation
    • Contrôle d’application par conditionnel aux applications - aucune autorisation
    • Extensions de sécurité - création et suppression de leurs propres jetons d’API
    • Actions de gouvernance – afficher uniquement les actions liées au rapport Cloud Discovery approprié
    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
    • Plages d’adresses IP - Aucune autorisation

Remarque

Les rôles d’administrateur Defender for Cloud Apps prédéfinis fournissent uniquement des autorisations d’accès à Defender for Cloud Apps.

Remplacer les autorisations d’administrateur

Si vous souhaitez remplacer une autorisation d’administrateur dans Microsoft Entra ID ou Microsoft 365, vous pouvez le faire manuellement en ajoutant l’utilisateur à Defender for Cloud Apps et en lui affectant des autorisations utilisateur. Par exemple, pour affecter à Stéphanie, qui est titulaire du rôle Lecteur de sécurité dans Microsoft Entra ID, un accès total à Defender for Cloud Apps, vous pouvez l’ajouter manuellement à Defender for Cloud Apps et lui accorder un accès total. Son rôle est ainsi remplacé, et elle dispose des autorisations nécessaires dans Defender for Cloud Apps. Notez qu’il n’est pas possible de remplacer les rôles Microsoft Entra qui accordent un accès complet (administrateur général, administrateur de la sécurité et administrateur Sécurité des applications cloud).

Ajouter des administrateurs supplémentaires

Vous pouvez ajouter des administrateurs supplémentaires à Defender for Cloud Apps sans ajouter de rôles d'administrateur Microsoft Entra à des utilisateurs. Pour ajouter des administrateurs, procédez comme suit :

Important

  • L’accès à la page Gérer l’accès administrateur est disponible pour les membres des groupes Administrateurs généraux, Administrateurs de la sécurité, Administrateurs de la conformité, Administrateurs des données de conformité, Opérateurs de sécurité, Lecteurs de sécurité et Lecteurs généraux.
  • Seuls les administrateurs généraux ou les administrateurs de la sécurité Microsoft Entra peuvent modifier la page Gérer l’accès administrateur et accorder à d’autres utilisateurs l’accès à Defender for Cloud Apps.

  1. Dans le portail Microsoft Defender, dans le menu de gauche, sélectionnez Autorisations.

  2. Sous Applications cloud, choisissez Rôles.

Permissions menu.

  1. Sélectionnez +Ajouter un utilisateur pour ajouter les administrateurs qui doivent avoir accès à Defender for Cloud Apps. Fournissez une adresse e-mail d’un utilisateur de votre organisation.

    Remarque

    Si vous souhaitez ajouter des fournisseurs de services de sécurité gérés (MSSP) externes en tant qu'administrateurs de Defender for Cloud Apps, assurez-vous d'abord de les inviter en tant qu'invité dans votre organisation.

    add admins.

  2. Ensuite, sélectionnez la liste déroulante pour définir le type de rôle dont dispose l’administrateur, administrateur général, lecteur de sécurité, administrateur de conformité, administrateur d’application/instance, administrateur de groupe d’utilisateurs, administrateur général Cloud Discovery ou administrateur de rapport Cloud Discovery. Si vous sélectionnez Administrateur d’application/instance, sélectionnez l’application et l’instance pour lesquelles l’administrateur dispose des autorisations nécessaires.

    Remarque

    Tout administrateur dont l’accès est limité et qui tente d’accéder à une page restreinte ou d’effectuer une action restreinte reçoit une erreur indiquant qu’il ne dispose pas des autorisations nécessaires pour accéder à la page ou effectuer l’action.

  3. Cliquez sur Ajouter un administrateur.

Inviter des administrateurs externes

Defender for Cloud Apps vous permet d'inviter des administrateurs externes (MSSP) en tant qu'administrateurs du service Defender for Cloud Apps de votre organisation (client MSSP). Pour ajouter des fournisseurs MSSP, assurez-vous que Defender for Cloud Apps est activé sur le client MSSP, puis ajoutez-les en tant qu’utilisateurs Microsoft Entra B2B Collaboration dans le portail Azure des clients MSSP. Une fois ajoutés, les MSSP peuvent être configurés en tant qu’administrateurs et affectés à l’un des rôles disponibles dans Defender for Cloud Apps.

Pour ajouter des MSSP au service Defender for Cloud Apps du client MSSP, procédez comme suit .

  1. Ajoutez des MSSP en tant qu’invité dans l’annuaire client MSSP à l’aide des étapes décrites sous Ajouter des utilisateurs invités à l’annuaire.
  2. Ajoutez des MSSP et attribuez un rôle d’administrateur dans le portail Defender for Cloud Apps des clients MSSP à l’aide des étapes décrites sous Ajouter des administrateurs supplémentaires. Fournissez la même adresse e-mail externe utilisée lors de leur ajout en tant qu’invités dans l’annuaire client MSSP.

Accès des MSSP au service Defender for Cloud Apps du client MSSP

Par défaut, les MSSP accèdent à leur client Defender for Cloud Apps via l’URL suivante : https://security.microsoft.com.

Toutefois, les MSSP devront accéder au portail Microsoft Defender client MSSP à l’aide d’une URL spécifique au client au format suivant : https://security.microsoft.com/?tid=<tenant_id>.

Les fournisseurs MSSP peuvent utiliser les étapes suivantes pour obtenir l’ID de client du portail client MSSP, puis utiliser l’ID pour accéder à l’URL spécifique au client :

  1. En tant que MSSP, connectez-vous à Microsoft Entra ID avec vos identifiants.

  2. Basculez l’annuaire vers le client du client MSSP.

  3. Sélectionnez Microsoft Entra ID>Propriétés. Vous trouverez l’ID de client MSSP dans le champ ID de client.

  4. Accédez au portail client MSSP en remplaçant la valeur customer_tenant_id dans l’URL suivante : https://security.microsoft.com/?tid=<tenant_id>.

Audit d'activité par l’administrateur

Defender for Cloud Apps vous permet d’exporter un journal des activités de connexion administrateur et d’auditer les vues d’un utilisateur ou des alertes spécifiques effectués dans le cadre d’une enquête.

Pour exporter un journal, effectuez les étapes suivantes :

  1. Dans le portail Microsoft Defender, dans le menu de gauche, sélectionnez Autorisations.

  2. Sous Applications cloud, choisissez Rôles.

  3. Dans la page Rôles d’administrateur, dans le coin supérieur droit, sélectionnez Exporter les activités d’administrateur.

  4. Indiquez l’intervalle de temps requis.

  5. Sélectionnez Exporter.

Étapes suivantes

Configurer Cloud Discovery