Partager via


Configurer l’accès administrateur

Microsoft Defender for Cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Cet article explique comment définir l’accès à Defender for Cloud Apps pour vos administrateurs. Pour plus d’informations sur l’affectation des rôles disponibles, consultez les articles relatifs à Microsoft Entra ID et Microsoft 365.

Rôles Microsoft 365 et Microsoft Entra avec accès à Defender for Cloud Apps

Remarque

  • Les rôles Microsoft 365 et Microsoft Entra ne sont pas répertoriés dans la page Gérer l’accès administrateur de Defender for Cloud Apps. Pour attribuer des rôles dans Microsoft 365 ou Microsoft Entra ID, accédez aux paramètres RBAC appropriés pour ce service.
  • Defender for Cloud Apps utilise Microsoft Entra ID pour déterminer le paramètre de délai d’inactivité au niveau du répertoire de l’utilisateur. Si un utilisateur est configuré dans Microsoft Entra ID pour ne jamais se déconnecter lorsqu’il est inactif, le même paramètre s’applique également dans Defender for Cloud Apps.

Par défaut, les rôles d’administrateur Microsoft 365 et Microsoft Entra ID suivants ont accès à Defender for Cloud Apps :

Nom de rôle Description
Administrateur général et Administrateur de la sécurité Les administrateurs bénéficiant d'un accès complet disposent de toutes les autorisations dans Defender for Cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres, charger des journaux et effectuer des actions de gouvernance, accéder aux agents SIEM et les gérer.
Administrateur de la sécurité Cloud App Dispose de l'ensemble des accès et des autorisations dans Defender for Cloud Apps. Ce rôle accorde des autorisations complètes à Defender for Cloud Apps, comme le rôle Administrateur général de Microsoft Entra ID. Toutefois, ce rôle est étendu à Defender for Cloud Apps et n’accorde pas d’autorisations complètes sur d’autres produits de sécurité Microsoft.
Administrateur de conformité Dispose d’autorisations en lecture seule et peut gérer les alertes. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud. Peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichier et afficher tous les rapports intégrés sous Gestion des données.
Administrateur des données de conformité Dispose d’autorisations en lecture seule, peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichiers et afficher tous les rapports de découverte. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud.
Opérateur de sécurité Dispose d’autorisations en lecture seule et peut gérer les alertes. Ces administrateurs ne peuvent pas effectuer les actions suivantes :
  • Créer des stratégies ou modifier et changer des stratégies existantes
  • Effectuer des actions de gouvernance
  • Charger des journaux de découverte
  • Interdire ou approuver des applications tierces
  • Accéder à la page de paramètres de la plage d’adresses IP
  • Accès et affichage des pages de paramètres système
  • Accéder aux paramètres de découverte
  • Accéder à la page de connecteurs d’applications
  • Accéder au journal de gouvernance
  • Accéder à la page de gestion des rapports d’instantanés
Lecteur de sécurité Dispose d'autorisations en lecture seule et peut créer des jetons d'accès à l'API. Ces administrateurs ne peuvent pas effectuer les actions suivantes :
    Créer des stratégies ou modifier et changer des stratégies existantes
  • Effectuer des actions de gouvernance
  • Charger des journaux de découverte
  • Interdire ou approuver des applications tierces
  • Accéder à la page de paramètres de la plage d’adresses IP
  • Accès et affichage des pages de paramètres système
  • Accéder aux paramètres de découverte
  • Accéder à la page de connecteurs d’applications
  • Accéder au journal de gouvernance
  • Accéder à la page de gestion des rapports d’instantanés
Lecteur général Dispose d’un accès complet en lecture seule à tous les aspects de Defender pour Cloud Apps. Impossible de modifier des paramètres ou d’effectuer des actions.

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Remarque

Les fonctions de gouvernance des applications sont contrôlées par les rôles Microsoft Entra ID uniquement. Pour plus d’informations, consultez Rôles de gouvernances des applications.

Rôles et autorisations

autorisations Administrateur général Administrateur de la sécurité Administrateur de conformité Administrateur des données de conformité Opérateur de sécurité Lecteur Sécurité Lecteur général Administration PBI Administration Sécurité des applications cloud
Lire des alertes
Gérer les alertes
Lire les applications OAuth
Effectuer des actions d’application OAuth
Accéder aux applications découvertes, au catalogue d’applications cloud et à d’autres données Cloud Discovery
Configurer des connecteurs d'API
Effectuer des actions Cloud Discovery
Accéder aux données de fichiers et aux stratégies de fichiers
Effectuer les actions de fichier
Accéder au journal de gouvernance
Effectuer des actions de journal de gouvernance
Accéder au journal de gouvernance de la découverte limitée
Lire les stratégies
Effectuer toutes les actions de stratégie
Effectuer les actions de stratégie de fichier
Effectuer les actions de stratégie OAuth
Afficher Gérer l’accès administrateur
Gérer les administrateurs et la confidentialité des activités

Rôle d’administrateur prédéfini dans Defender for Cloud Apps

Les rôles d'administrateur spécifiques suivants peuvent être configurés dans le portail Microsoft Defender, dans la zone Permissions > Cloud Apps > Rôles :

Nom de rôle Description
Administrateur global Dispose d’un accès complet similaire à celui du rôle Administrateur Microsoft Entra Global, mais uniquement pour Defender for Cloud Apps.
Administrateur de conformité Octroie les mêmes autorisations que le rôle Administrateur de conformité de Microsoft Entra, mais uniquement pour Defender for Cloud Apps.
Lecteur de sécurité Octroie les mêmes autorisations que le rôle Lecteur de sécurité de Microsoft Entra, mais uniquement pour Defender for Cloud Apps.
Opérateur de sécurité Octroie les mêmes autorisations que le rôle Opérateur de sécurité de Microsoft Entra, mais uniquement pour Defender for Cloud Apps.
Administrateur d’application/d’instance Dispose d'autorisations complètes ou en lecture seule sur toutes les données de Microsoft Defender for Cloud Apps qui concernent exclusivement l'application ou l'instance spécifique d'une application sélectionnée.

Par exemple, vous accordez à un utilisateur l’autorisation d’administrateur sur votre instance de Box European. L’administrateur verra exclusivement les données liées à l’instance de Box European, qu’il s’agisse de fichiers, d’activités, de stratégies ou d’alertes :
  • Page des activités : seules les activités concernant l’application spécifique
  • Alertes : seules les alertes relatives à l’application spécifique. Dans certains cas, les données d’alerte liées à une autre application si les données sont mises en corrélation avec l’application spécifique. La visibilité des données d’alerte liées à une autre application est limitée et il n'y a pas d'accès pour approfondir les détails.
  • Stratégies : peut afficher toutes les stratégies et, si des autorisations totales sont attribuées, modifier ou créer uniquement les stratégies qui traitent exclusivement de l’application/instance
  • Page Comptes : seuls les comptes de l’application/instance spécifique
  • Autorisations d’application : seules les autorisations pour l’application/instance spécifique
  • Page des fichiers : seuls les fichiers de l’application/instance spécifique
  • Contrôle d’application par accès conditionnel : aucune autorisation
  • Activité Cloud Discovery : aucune autorisation
  • Extensions de sécurité - Autorisations uniquement pour un jeton d’API avec des autorisations utilisateur
  • Actions de gouvernance : uniquement pour l’application/instance spécifique
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP : aucune autorisation
Administrateur de groupe d’utilisateurs Dispose d’autorisations complètes ou en lecture seule sur toutes les données de Defender for Cloud Apps qui concernent exclusivement les groupes spécifiques qui lui ont été attribués. Par exemple, si vous accordez à un utilisateur l’autorisation d’administrateur sur le groupe « Allemagne - tous les utilisateurs », l’administrateur peut visualiser et modifier les informations dans Microsoft Defender for Cloud Apps uniquement pour ce groupe d’utilisateurs : Un Administrateur de groupe d’utilisateurs dispose des accès suivant :

  • Page des activités : seules les activités concernant les utilisateurs dans le groupe
  • Alertes : seules les alertes relatives aux utilisateurs dans le groupe. Dans certains incidents, alerter les données liées à un autre utilisateur si les données sont en corrélation avec les utilisateurs du groupe. La visibilité des données d’alerte liées à d’autres utilisateurs est limitée et il n'y a pas d'accès pour approfondir les détails.
  • Stratégies : peut afficher toutes les stratégies et, si des autorisations totales sont attribuées, modifier ou créer uniquement les stratégies qui traitent exclusivement des utilisateurs dans le groupe
  • Page Comptes : seuls les comptes pour les utilisateurs spécifiques dans le groupe
  • Autorisations d’application : aucune autorisation
  • Page Fichiers : aucune autorisation
  • Contrôle d’application par accès conditionnel : aucune autorisation
  • Activité Cloud Discovery : aucune autorisation
  • Extensions de sécurité - Autorisations uniquement pour un jeton d’API avec les utilisateurs dans le groupe
  • Actions de gouvernance : uniquement pour les utilisateurs spécifiques dans le groupe
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP : aucune autorisation


Remarques:
  • Pour affecter des groupes à des administrateurs de groupes d’utilisateurs, vous devez d’abord importer des groupes d’utilisateurs à partir d’applications connectées.
  • Vous pouvez uniquement affecter des autorisations d’administrateur de groupe d’utilisateurs aux groupes Microsoft Entra importés.
Administration globale de Cloud Discovery Est autorisé à afficher et modifier l’ensemble des données et paramètres Cloud Discovery. L’administrateur Global Discovery dispose des accès suivants :

  • Paramètres : Paramètres système - Affichage uniquement ; Paramètres Cloud Discovery - Peut tout afficher et modifier (les autorisations d’anonymisation dépendent du fait que celle-ci a ou non été autorisée lors de l’attribution de rôle)
  • Activité Cloud Discovery - Autorisations complètes
  • Alertes - Peut afficher et gérer uniquement les alertes liées au rapport Cloud Discovery concerné
  • Stratégies - Peut afficher toutes les stratégies et peut modifier ou créer uniquement des stratégies Cloud Discovery
  • Page Activités - Aucune autorisation
  • Page Comptes - Aucune autorisation
  • Autorisations d’application : aucune autorisation
  • Page Fichiers : aucune autorisation
  • Contrôle d’application par accès conditionnel : aucune autorisation
  • Extensions de sécurité - création et suppression de leurs propres jetons d’API
  • Actions liées à la gouvernance - Cloud Discovery uniquement
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP - Aucune autorisation
Administration du rapport Cloud Discovery
  • Paramètres : Paramètres système - Affichage uniquement ; Paramètres Cloud Discovery - Peut tout afficher (les autorisations d’anonymisation dépendent du fait que celle-ci a ou non été autorisée lors de l’attribution de rôle)
  • Activité Cloud Discovery - Autorisations en lecture uniquement
  • Alertes - Peut afficher uniquement les alertes liées au rapport Cloud Discovery concerné
  • Stratégies - Peut afficher toutes les stratégies et créer uniquement des stratégies Cloud Discovery, sans possibilité de régir l’application (balisage, approbation et non approbation)
  • Page Activités - Aucune autorisation
  • Page Comptes - Aucune autorisation
  • Autorisations d’application : aucune autorisation
  • Page Fichiers : aucune autorisation
  • Contrôle d’application par accès conditionnel : aucune autorisation
  • Extensions de sécurité - création et suppression de leurs propres jetons d’API
  • Actions de gouvernance – Peut afficher uniquement les actions liées au rapport Cloud Discovery concerné
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP - Aucune autorisation

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Les rôles d’administrateur Defender for Cloud Apps prédéfinis fournissent uniquement des autorisations d’accès à Defender for Cloud Apps.

Remplacer les autorisations d’administrateur

Si vous souhaitez remplacer une autorisation d’administrateur dans Microsoft Entra ID ou Microsoft 365, vous pouvez le faire manuellement en ajoutant l’utilisateur à Defender for Cloud Apps et en lui affectant des autorisations utilisateur. Par exemple, pour affecter à Stéphanie, qui est titulaire du rôle Lecteur de sécurité dans Microsoft Entra ID, un accès total à Defender for Cloud Apps, vous pouvez l’ajouter manuellement à Defender for Cloud Apps et lui accorder un accès total. Son rôle est ainsi remplacé, et elle dispose des autorisations nécessaires dans Defender for Cloud Apps. Notez qu’il n’est pas possible de remplacer les rôles Microsoft Entra qui accordent un accès complet (administrateur général, administrateur de la sécurité et administrateur Sécurité des applications cloud).

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Ajouter des administrateurs supplémentaires

Vous pouvez ajouter des administrateurs supplémentaires à Defender for Cloud Apps sans ajouter de rôles d'administrateur Microsoft Entra à des utilisateurs. Pour ajouter des administrateurs, procédez comme suit :

Important

  • L’accès à la page Gérer l’accès administrateur est disponible pour les membres des groupes Administrateurs généraux, Administrateurs de la sécurité, Administrateurs de la conformité, Administrateurs des données de conformité, Opérateurs de sécurité, Lecteurs de sécurité et Lecteurs généraux.
  • Pour modifier la page Gérer l’accès administrateur et octroyer à d’autres utilisateurs l’accès à Defender for Cloud Apps, vous devez avoir au moins un rôle d'Administrateur de la sécurité.

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  1. Dans le portail Microsoft Defender, dans le menu de gauche, sélectionnez Autorisations.

  2. Sous Applications cloud, choisissez Rôles.

Menu Permissions.

  1. Sélectionnez +Ajouter un utilisateur pour ajouter les administrateurs qui doivent avoir accès à Defender for Cloud Apps. Fournissez une adresse e-mail d’un utilisateur de votre organisation.

    Remarque

    Si vous souhaitez ajouter des fournisseurs de services de sécurité gérés (MSSP) externes en tant qu'administrateurs de Defender for Cloud Apps, assurez-vous d'abord de les inviter en tant qu'invité dans votre organisation.

    ajouter des administrateurs.

  2. Ensuite, sélectionnez la liste déroulante pour définir le type de rôle de l’administrateur. Si vous sélectionnez Administrateur de l’application/instance, sélectionnez l’application et l’instance pour lesquelles l’administrateur doit avoir des autorisations.

    Remarque

    Tout administrateur dont l’accès est limité et qui tente d’accéder à une page restreinte ou d’effectuer une action restreinte reçoit une erreur indiquant qu’il ne dispose pas des autorisations nécessaires pour accéder à la page ou effectuer l’action.

  3. Cliquez sur Ajouter un administrateur.

Inviter des administrateurs externes

Defender for Cloud Apps vous permet d'inviter des administrateurs externes (MSSP) en tant qu'administrateurs du service Defender for Cloud Apps de votre organisation (client MSSP). Pour ajouter des fournisseurs MSSP, assurez-vous que Defender for Cloud Apps est activé sur le client MSSP, puis ajoutez-les en tant qu’utilisateurs Microsoft Entra B2B Collaboration dans le portail Azure des clients MSSP. Une fois ajoutés, les MSSP peuvent être configurés en tant qu’administrateurs et affectés à l’un des rôles disponibles dans Defender for Cloud Apps.

Pour ajouter des MSSP au service Defender for Cloud Apps du client MSSP, procédez comme suit .

  1. Ajoutez des MSSP en tant qu’invité dans l’annuaire client MSSP à l’aide des étapes décrites sous Ajouter des utilisateurs invités à l’annuaire.
  2. Ajoutez des MSSP et attribuez un rôle d’administrateur dans le portail Defender for Cloud Apps des clients MSSP à l’aide des étapes décrites sous Ajouter des administrateurs supplémentaires. Fournissez la même adresse e-mail externe utilisée lors de leur ajout en tant qu’invités dans l’annuaire client MSSP.

Accès des MSSP au service Defender for Cloud Apps du client MSSP

Par défaut, les MSSP accèdent à leur client Defender for Cloud Apps via l’URL suivante : https://security.microsoft.com.

Toutefois, les MSSP devront accéder au portail Microsoft Defender client MSSP à l’aide d’une URL spécifique au client au format suivant : https://security.microsoft.com/?tid=<tenant_id>.

Les fournisseurs MSSP peuvent utiliser les étapes suivantes pour obtenir l’ID de client du portail client MSSP, puis utiliser l’ID pour accéder à l’URL spécifique au client :

  1. En tant que MSSP, connectez-vous à Microsoft Entra ID avec vos identifiants.

  2. Basculez l’annuaire vers le client du client MSSP.

  3. Sélectionnez Microsoft Entra ID>Propriétés. Vous trouverez l’ID de client MSSP dans le champ ID de client.

  4. Accédez au portail client MSSP en remplaçant la valeur customer_tenant_id dans l’URL suivante : https://security.microsoft.com/?tid=<tenant_id>.

Audit d'activité par l’administrateur

Defender for Cloud Apps vous permet d’exporter un journal des activités de connexion administrateur et d’auditer les vues d’un utilisateur ou des alertes spécifiques effectués dans le cadre d’une enquête.

Pour exporter un journal, effectuez les étapes suivantes :

  1. Dans le portail Microsoft Defender, dans le menu de gauche, sélectionnez Autorisations.

  2. Sous Applications cloud, choisissez Rôles.

  3. Dans la page Rôles d’administrateur, dans le coin supérieur droit, sélectionnez Exporter les activités d’administrateur.

  4. Indiquez l’intervalle de temps requis.

  5. Sélectionnez Exporter.

Étapes suivantes