Lire en anglais

Partager via


Configurer l’accès administrateur

Microsoft Defender for Cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Cet article fournit des instructions pour définir l’accès à Defender for Cloud Apps pour vos administrateurs. Pour plus d’informations sur l’attribution de rôles d’administrateur, consultez les articles pour Microsoft Entra ID et Microsoft 365.

Rôles Microsoft 365 et Microsoft Entra avec accès à Defender for Cloud Apps

Notes

  • Les rôles Microsoft 365 et Microsoft Entra ne sont pas répertoriés dans la page Defender for Cloud Apps Gérer l’accès administrateur. Pour attribuer des rôles dans Microsoft 365 ou Microsoft Entra ID, accédez aux paramètres RBAC appropriés pour ce service.
  • Defender for Cloud Apps utilise Microsoft Entra ID pour déterminer le paramètre de délai d’inactivité au niveau du répertoire de l’utilisateur. Si un utilisateur est configuré dans Microsoft Entra ID pour ne jamais se déconnecter en cas d’inactivité, le même paramètre s’applique également dans Defender for Cloud Apps.

Par défaut, les rôles d’administrateur Microsoft 365 et Microsoft Entra ID suivants ont accès à Defender for Cloud Apps :

Nom du rôle Description
Administrateur général et administrateur de la sécurité Les administrateurs disposant d’un accès total disposent d’autorisations complètes dans Defender for Cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres, charger des journaux et effectuer des actions de gouvernance, accéder et gérer des agents SIEM.
administrateur Sécurité des applications cloud Autorise l’accès complet et les autorisations dans Defender for Cloud Apps. Ce rôle accorde des autorisations complètes à Defender for Cloud Apps, comme le rôle Administrateur général Microsoft Entra ID. Toutefois, ce rôle est limité à Defender for Cloud Apps et n’accorde pas d’autorisations complètes sur d’autres produits de sécurité Microsoft.
Administrateur de conformité Dispose d'autorisations en lecture seule et peut gérer les alertes. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud. Peut créer et modifier des stratégies de fichiers, autoriser les actions de gouvernance des fichiers et afficher tous les rapports intégrés sous Gestion des données.
Administrateur de conformité des données Dispose d’autorisations en lecture seule, peut créer et modifier des stratégies de fichier, autoriser les actions de gouvernance des fichiers et afficher tous les rapports de découverte. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud.
Opérateur de sécurité Dispose d'autorisations en lecture seule et peut gérer les alertes. Ces administrateurs ne peuvent pas effectuer les actions suivantes :
  • Créer des stratégies ou modifier et modifier des stratégies existantes
  • Exécution d’actions de gouvernance
  • Chargement des journaux de découverte
  • Interdiction ou approbation d’applications tierces
  • Accès et affichage de la page des paramètres de plage d’adresses IP
  • Accès et affichage des pages de paramètres système
  • Accès et affichage des paramètres de découverte
  • Accès et affichage de la page Connecteurs d’application
  • Accès et affichage du journal de gouvernance
  • Accès et affichage de la page Gérer les rapports instantané
Lecteur de sécurité Dispose d’autorisations en lecture seule et peut créer des jetons d’accès à l’API. Ces administrateurs ne peuvent pas effectuer les actions suivantes :
    Créer des stratégies ou modifier et modifier des stratégies existantes
  • Exécution d’actions de gouvernance
  • Chargement des journaux de découverte
  • Interdiction ou approbation d’applications tierces
  • Accès et affichage de la page des paramètres de plage d’adresses IP
  • Accès et affichage des pages de paramètres système
  • Accès et affichage des paramètres de découverte
  • Accès et affichage de la page Connecteurs d’application
  • Accès et affichage du journal de gouvernance
  • Accès et affichage de la page Gérer les rapports instantané
Lecteur global Dispose d’un accès complet en lecture seule à tous les aspects de Defender for Cloud Apps. Impossible de modifier les paramètres ou d’effectuer des actions.

Important

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Notes

Les fonctionnalités de gouvernance des applications sont contrôlées par des rôles Microsoft Entra ID uniquement. Pour plus d’informations, consultez Rôles de gouvernance des applications.

Rôles et autorisations

Autorisations Administrateur global Administrateur de la sécurité Administration de conformité Administration des données de conformité Opérateur de sécurité Lecteur de sécurité Lecteur général Administration PBI administrateur Sécurité des applications cloud
Lire les alertes
Gérer des alertes
Lire les applications OAuth
Effectuer des actions d’application OAuth
Accéder aux applications découvertes, au catalogue d’applications cloud et à d’autres données de découverte cloud
Configurer des connecteurs d’API
Effectuer des actions de découverte cloud
Accéder aux données des fichiers et aux stratégies de fichier
Effectuer des actions de fichier
Journal de gouvernance d’accès
Effectuer des actions de journal de gouvernance
Journal de gouvernance de la découverte délimitée par l’accès
Lire les stratégies
Effectuer toutes les actions de stratégie
Effectuer des actions de stratégie de fichier
Effectuer des actions de stratégie OAuth
Afficher gérer l’accès administrateur
Gérer les administrateurs et la confidentialité des activités

Rôles d’administrateur intégrés dans Defender for Cloud Apps

Les rôles d’administrateur spécifiques suivants peuvent être configurés dans le portail Microsoft Defender, dans la zone Autorisations > Rôles d’applications > cloud :

Nom du rôle Description
Administrateur général Dispose d’un accès complet similaire au rôle Administrateur général Microsoft Entra, mais uniquement à Defender for Cloud Apps.
Administrateur de conformité Accorde les mêmes autorisations que le rôle d’administrateur de conformité Microsoft Entra, mais uniquement à Defender for Cloud Apps.
Lecteur de sécurité Accorde les mêmes autorisations que le rôle lecteur de sécurité Microsoft Entra, mais uniquement à Defender for Cloud Apps.
Opérateur de sécurité Accorde les mêmes autorisations que le rôle d’opérateur de sécurité Microsoft Entra, mais uniquement à Defender for Cloud Apps.
Administrateur d’application/instance Dispose d’autorisations complètes ou en lecture seule sur toutes les données dans Defender for Cloud Apps qui traite exclusivement de l’application ou du instance spécifique d’une application sélectionnée.

Par exemple, vous accordez une autorisation d’administrateur utilisateur à votre instance Européen Box. L’administrateur voit uniquement les données relatives à l’instance européen Box, qu’il s’agisse de fichiers, d’activités, de stratégies ou d’alertes :
  • Page Activités : uniquement les activités relatives à l’application spécifique
  • Alertes : seules les alertes relatives à l’application spécifique. Dans certains cas, alertez les données liées à une autre application si les données sont corrélées avec l’application spécifique. La visibilité des données d’alerte liées à une autre application est limitée, et il n’y a pas d’accès à l’exploration vers le bas pour plus de détails
  • Stratégies : peut afficher toutes les stratégies et, si des autorisations complètes sont attribuées, vous pouvez modifier ou créer uniquement des stratégies qui traitent exclusivement de l’application/instance
  • Page Comptes : comptes uniquement pour l’application/instance spécifique
  • Autorisations d’application : autorisations uniquement pour l’application/instance spécifique
  • Page Fichiers : seuls les fichiers de l’application/instance spécifique
  • Contrôle d’application d’accès conditionnel - Aucune autorisation
  • Activité de découverte du cloud - Aucune autorisation
  • Extensions de sécurité : autorisations uniquement pour le jeton d’API avec des autorisations utilisateur
  • Actions de gouvernance : uniquement pour l’application/instance spécifique
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP - Aucune autorisation
Administrateur du groupe d’utilisateurs Dispose d’autorisations complètes ou en lecture seule sur toutes les données dans Defender for Cloud Apps qui traite exclusivement des groupes spécifiques qui leur sont affectés. Par exemple, si vous attribuez des autorisations d’administrateur d’utilisateur au groupe « Allemagne - tous les utilisateurs », l’administrateur peut afficher et modifier les informations dans Defender for Cloud Apps uniquement pour ce groupe d’utilisateurs. L’administrateur du groupe d’utilisateurs a l’accès suivant :

  • Page Activités : uniquement les activités relatives aux utilisateurs du groupe
  • Alertes : seules les alertes relatives aux utilisateurs du groupe. Dans certains cas, alertez les données relatives à un autre utilisateur si les données sont corrélées avec les utilisateurs du groupe. La visibilité des données d’alerte liées à d’autres utilisateurs est limitée, et il n’y a pas d’accès pour descendre dans la hiérarchie pour plus de détails.
  • Stratégies : peut afficher toutes les stratégies et, si des autorisations complètes sont attribuées, peuvent modifier ou créer uniquement des stratégies qui traitent exclusivement avec les utilisateurs du groupe
  • Page Comptes : comptes uniquement pour les utilisateurs spécifiques du groupe
  • Autorisations d’application : aucune autorisation
  • Page Fichiers : aucune autorisation
  • Contrôle d’application d’accès conditionnel - Aucune autorisation
  • Activité de découverte du cloud - Aucune autorisation
  • Extensions de sécurité : autorisations uniquement pour le jeton d’API avec les utilisateurs du groupe
  • Actions de gouvernance : uniquement pour les utilisateurs spécifiques du groupe
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP - Aucune autorisation


Remarques :
  • Pour affecter des groupes à des administrateurs de groupes d’utilisateurs, vous devez d’abord importer des groupes d’utilisateurs à partir d’applications connectées.
  • Vous pouvez uniquement attribuer des autorisations d’administrateur de groupe d’utilisateurs aux groupes Microsoft Entra importés.
Administrateur général Cloud Discovery A l’autorisation d’afficher et de modifier tous les paramètres et données de découverte du cloud. L’administrateur de découverte globale a l’accès suivant :

  • Paramètres : Paramètres système - Affichage uniquement ; Paramètres Cloud Discovery : affichez et modifiez tous les paramètres (les autorisations d’anonymisation varient selon qu’elles ont été autorisées ou non pendant l’attribution de rôle)
  • Activité de découverte du cloud - autorisations complètes
  • Alertes : afficher et gérer uniquement les alertes liées au rapport de découverte cloud approprié
  • Stratégies : peut afficher toutes les stratégies et peut modifier ou créer uniquement des stratégies de découverte cloud
  • Page Activités - Aucune autorisation
  • Page Comptes - Aucune autorisation
  • Autorisations d’application : aucune autorisation
  • Page Fichiers : aucune autorisation
  • Contrôle d’application d’accès conditionnel - Aucune autorisation
  • Extensions de sécurité : création et suppression de leurs propres jetons d’API
  • Actions de gouvernance - Uniquement les actions liées à Cloud Discovery
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP - Aucune autorisation
Administrateur de rapports Cloud Discovery
  • Paramètres : Paramètres système - Affichage uniquement ; Paramètres de découverte du cloud : afficher tout (les autorisations d’anonymisation varient selon qu’elles ont été autorisées ou non pendant l’attribution de rôle)
  • Activité de découverte du cloud : autorisations en lecture seule
  • Alertes : afficher uniquement les alertes liées au rapport de découverte du cloud approprié
  • Stratégies : peut afficher toutes les stratégies et ne peut créer que des stratégies de découverte cloud, sans possibilité de régir l’application (balisage, sanction et non approuvé)
  • Page Activités - Aucune autorisation
  • Page Comptes - Aucune autorisation
  • Autorisations d’application : aucune autorisation
  • Page Fichiers : aucune autorisation
  • Contrôle d’application d’accès conditionnel - Aucune autorisation
  • Extensions de sécurité : création et suppression de leurs propres jetons d’API
  • Actions de gouvernance : afficher uniquement les actions liées au rapport de découverte cloud approprié
  • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Plages d’adresses IP - Aucune autorisation

Important

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Les rôles d’administrateur de Defender for Cloud Apps intégrés fournissent uniquement des autorisations d’accès pour Defender for Cloud Apps.

Remplacer les autorisations d’administrateur

Si vous souhaitez remplacer l’autorisation d’un administrateur à partir de Microsoft Entra ID ou Microsoft 365, vous pouvez le faire en ajoutant manuellement l’utilisateur à Defender for Cloud Apps et en lui attribuant des autorisations. Par exemple, si vous souhaitez affecter Stephanie, qui est un lecteur sécurité dans Microsoft Entra ID à disposer d’un accès complet dans Defender for Cloud Apps, vous pouvez l’ajouter manuellement à Defender for Cloud Apps et lui attribuer un accès complet pour remplacer son rôle et lui accorder les autorisations nécessaires dans Defender for Cloud Apps. Notez qu’il n’est pas possible de remplacer Microsoft Entra rôles qui accordent un accès complet (Administrateur général, administrateur de la sécurité et administrateur Sécurité des applications cloud).

Important

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Ajouter d’autres administrateurs

Vous pouvez ajouter des administrateurs supplémentaires à Defender for Cloud Apps sans ajouter d’utilisateurs à Microsoft Entra rôles d’administration. Pour ajouter des administrateurs supplémentaires, procédez comme suit :

Important

  • L’accès à la page Gérer l’accès administrateur est disponible pour les membres des groupes Administrateurs généraux, Administrateurs de sécurité, Administrateurs de conformité, Administrateurs de données de conformité, Opérateurs de sécurité, Lecteurs de sécurité et Lecteurs généraux.
  • Pour modifier la page Gérer l’accès administrateur et accorder à d’autres utilisateurs l’accès à Defender for Cloud Apps, vous devez disposer au moins d’un rôle Administrateur de la sécurité.

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  1. Dans le portail Microsoft Defender, dans le menu de gauche, sélectionnez Autorisations.

  2. Sous Applications cloud, choisissez Rôles.

Menu Autorisations.

  1. Sélectionnez +Ajouter un utilisateur pour ajouter les administrateurs qui doivent avoir accès à Defender for Cloud Apps. Indiquez l’adresse e-mail d’un utilisateur à partir de votre organization.

    Notes

    Si vous souhaitez ajouter des fournisseurs de services de sécurité gérés (MSSP) externes en tant qu’administrateurs pour Defender for Cloud Apps, veillez d’abord à les inviter en tant qu’invités à votre organization.

    ajouter des administrateurs.

  2. Ensuite, sélectionnez la liste déroulante pour définir le type de rôle de l’administrateur. Si vous sélectionnez Administrateur d’application/d’instance, sélectionnez l’application et instance pour laquelle l’administrateur dispose d’autorisations.

    Notes

    Tout administrateur, dont l’accès est limité, qui tente d’accéder à une page restreinte ou d’effectuer une action restreinte reçoit une erreur indiquant qu’il n’a pas l’autorisation d’accéder à la page ou d’effectuer l’action.

  3. Sélectionnez Ajouter un administrateur.

Inviter des administrateurs externes

Defender for Cloud Apps vous permet d’inviter des administrateurs externes (MSSP) en tant qu’administrateurs du service Defender for Cloud Apps de votre organization (client MSSP). Pour ajouter des mssp, assurez-vous que Defender for Cloud Apps est activé sur le locataire MSSP, puis ajoutez-les en tant qu’utilisateurs Microsoft Entra B2B Collaboration dans les clients MSSP Portail Azure. Une fois ajoutés, les FOURNISSEURS de services de sécurité peuvent être configurés en tant qu’administrateurs et affectés à l’un des rôles disponibles dans Defender for Cloud Apps.

Pour ajouter des MSSP au service de Defender for Cloud Apps client MSSP

  1. Ajoutez des MSSP en tant qu’invités dans l’annuaire des clients MSSP en suivant les étapes sous Ajouter des utilisateurs invités à l’annuaire.
  2. Ajoutez des mssp et attribuez un rôle d’administrateur dans le portail d’Defender for Cloud Apps client MSSP en suivant les étapes sous Ajouter des administrateurs supplémentaires. Fournissez la même adresse e-mail externe que celle utilisée lors de leur ajout en tant qu’invités dans l’annuaire client MSSP.

Accès pour les fournisseurs de services MSSP au service Defender for Cloud Apps client MSSP

Par défaut, les fournisseurs de services de gestion de services de sécurité accèdent à leur locataire Defender for Cloud Apps via l’URL suivante : https://security.microsoft.com.

Toutefois, les mssp doivent accéder au portail Microsoft Defender client MSSP à l’aide d’une URL spécifique au locataire au format suivant : https://security.microsoft.com/?tid=<tenant_id>.

Les FOURNISSEURS de services de sécurité peuvent utiliser les étapes suivantes pour obtenir l’ID de locataire du portail client MSSP, puis utiliser l’ID pour accéder à l’URL spécifique au locataire :

  1. En tant que MSSP, connectez-vous à Microsoft Entra ID avec vos informations d’identification.

  2. Basculez le répertoire vers le locataire du client MSSP.

  3. Sélectionnez Microsoft Entra ID>Propriétés. Vous trouverez l’ID de locataire du client MSSP dans le champ ID de locataire .

  4. Accédez au portail client MSSP en remplaçant la customer_tenant_id valeur dans l’URL suivante : https://security.microsoft.com/?tid=<tenant_id>.

audit d’activité Administration

Defender for Cloud Apps vous permet d’exporter un journal des activités de connexion administrateur et un audit des vues d’un utilisateur spécifique ou des alertes effectuées dans le cadre d’une investigation.

Pour exporter un journal, procédez comme suit :

  1. Dans le portail Microsoft Defender, dans le menu de gauche, sélectionnez Autorisations.

  2. Sous Applications cloud, choisissez Rôles.

  3. Dans la page Administration rôles, dans le coin supérieur droit, sélectionnez Exporter les activités d’administrateur.

  4. Spécifiez l’intervalle de temps requis.

  5. Cliquez sur Exporter.

Étapes suivantes