קביעת תצורה של גישת מנהל מערכת

יישומי ענן של Microsoft Defender תומכת בפקד גישה מבוסס תפקידים. מאמר זה מספק הוראות להגדרת גישה יישומי ענן של Defender עבור מנהלי המערכת שלך. לקבלת מידע נוסף אודות הקצאת תפקידי מנהל מערכת, עיין במאמרים עבור Microsoft Entra ID ו- Microsoft 365.

תפקידי Microsoft 365 Microsoft Entra בעלי גישה ל- יישומי ענן של Defender

הערה

  • התפקידים Microsoft 365 Microsoft Entra ו- Microsoft 365 אינם מופיעים בדף יישומי ענן של Defender ניהול הגישה למנהלי מערכת. כדי להקצות תפקידים ב- Microsoft 365 או Microsoft Entra ID, עבור אל ההגדרות הרלוונטיות של RBAC עבור שירות זה.
  • יישומי ענן של Defender ב- Microsoft Entra ID כדי לקבוע את הגדרת הזמן הקצוב של חוסר פעילות ברמת מדריך הכתובות של המשתמש. אם משתמש מוגדר ב- Microsoft Entra ID לצאת לעולם כאשר הוא אינו פעיל, אותה הגדרה חלה גם יישומי ענן של Defender חלה.
  • יישומי ענן של Defender Information Protection דורשת מזהה Microsoft Entra מרכז הניהול, כגון: מנהל יישומים או מנהל יישום ענן. לקבלת פרטים נוספים, Microsoft Entra תפקידים מוכללים והגנהעל סביבת Microsoft 365 שלך

הערה

כאשר Microsoft Defender לעבר פלטפורמת זהות מאוחדת במלואה, חלק מצינורות יישומי ענן של Defender הנתונים נשארים נפרדים. יישומי ענן של Defender RBAC משתמשת בצינור נתונים נפרד שעדיין אינו משולב עם מלאי הזהויות. מיתאם המוגדר במלאי הזהויות אינו משפיע על יישומי ענן של Defender שלו. לקבלת רשימה מלאה של התכונות המושפעות, ראה הפיכת שילוב מלאי זהויות לזמין.

כברירת מחדל, לתפקידי מנהל המערכת הבאים Microsoft Entra ID Microsoft 365 יש גישה יישומי ענן של Defender:

שם תפקיד תיאור
מנהל מערכת של אבטחה למנהלי מערכת בעלי גישה מלאה יש הרשאות מלאות יישומי ענן של Defender. הם יכולים להוסיף מנהלי מערכת, להוסיף מדיניות והגדרות, להעלות יומני רישום ולבצע פעולות פיקוח, לגשת לנציגי SIEM ולנהל אותם.
אבטחת יישומי ענן מנהל מערכת מאפשר גישה מלאה והרשאות ב- יישומי ענן של Defender. תפקיד זה מעניק הרשאות מלאות יישומי ענן של Defender, כגון Microsoft Entra ID מנהל מערכת כללי שלך. עם זאת, תפקיד זה משויך יישומי ענן של Defender ולא מעניק הרשאות מלאות במוצרי אבטחה אחרים של Microsoft.
מנהל תאימות בעל הרשאות לקריאה בלבד והוא יכול לנהל התראות. אין אפשרות לגשת להמלצות אבטחה עבור פלטפורמות ענן. יכול ליצור ולשנות פריטי מדיניות של קבצים, לאפשר פעולות פיקוח על קבצים, להציג את כל הדוחות המוכללים תחת 'ניהול נתונים'.
מנהל נתוני תאימות בעל הרשאות לקריאה בלבד, יכול ליצור ולשנות פריטי מדיניות של קבצים, לאפשר פעולות פיקוח על קבצים, להציג את כל דוחות הגילוי. אין אפשרות לגשת להמלצות אבטחה עבור פלטפורמות ענן.
מתפעל אבטחה בעל הרשאות לקריאה בלבד והוא יכול לנהל התראות. מנהלי מערכת אלה אינם יכולים לבצע את הפעולות הבאות:
  • צור פריטי מדיניות או ערוך ושנה פריטי מדיניות קיימים
  • ביצוע כל פעולות פיקוח
  • מעלה יומני גילוי
  • הרחקה או אישור של אפליקציות שאינן של Microsoft
  • גישה לדף ההגדרות של טווח כתובות ה- IP והצגה שלו
  • גישה לדפי הגדרות מערכת והצגה שלהם
  • גישה והצגה של הגדרות הגילוי
  • גישה לדף 'מחברי יישום' והצגה שלו
  • גישה והצגה של יומן הפיקוח
  • גישה לדף 'ניהול דוחות תמונה' והצגה שלו
קורא האבטחה בעל הרשאות לקריאה בלבד והוא יכול ליצור אסימוני גישה ל- API. מנהלי מערכת אלה אינם יכולים לבצע את הפעולות הבאות:
    צור פריטי מדיניות או ערוך ושנה פריטי מדיניות קיימים
  • ביצוע כל פעולות פיקוח
  • מעלה יומני גילוי
  • הרחקה או אישור של אפליקציות שאינן של Microsoft
  • גישה לדף ההגדרות של טווח כתובות ה- IP והצגה שלו
  • גישה לדפי הגדרות מערכת והצגה שלהם
  • גישה והצגה של הגדרות הגילוי
  • גישה לדף 'מחברי יישום' והצגה שלו
  • גישה והצגה של יומן הפיקוח
  • גישה לדף 'ניהול דוחות תמונה' והצגה שלו
קורא כללי בעל גישה מלאה לקריאה בלבד לכל ההיבטים של יישומי ענן של Defender. אין אפשרות לשנות הגדרות או לבצע פעולות.

* Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. אסטרטגיה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

הערה

כמעט כל חוויות הפיקוח על אפליקציות נשלטות על Microsoft Entra ID תפקידים בלבד. היוצא מן הכלל היחיד הוא הטבלה OAuthAppInfo בהריגה מתקדמת. הרשאות RBAC מאוחדות ב- יישומי ענן של Defender להעניק גישה לנתוני הפיקוח של היישום בטבלה ספציפית זו.

בחוויות האחידה של התראות ותקריות ב- Defender XDR, הגישה לנתוני הפיקוח על אפליקציות נשלטת על-ידי Microsoft Entra ID בלבד.

לקבלת מידע נוסף על הרשאות בפיקוח על אפליקציות, ראה תפקידי פיקוח על אפליקציות.

תפקידים והרשאות

הרשאות הכללית
ניהול		 אבטחה
ניהול		 תאימות
ניהול		 תאימות
נתוני מרכז הניהול		 אבטחה
אופרטור		 אבטחה
קורא		 הכללית
קורא		 PBI מרכז הניהול אפליקציית ענן
מנהל אבטחה
קריאת התראות
ניהול התראות
קרא יישומי OAuth
ביצוע פעולות יישום OAuth
Access גילה יישומים, קטלוג יישומי ענן ותוני גילוי ענן אחרים
קביעת תצורה של מחברי API
ביצוע פעולות גילוי בענן
גישה לנתונים ולמדיניות קבצים של קבצים
ביצוע פעולות קובץ
יומן פיקוח של Access
ביצוע פעולות יומן רישום של פיקוח
יומן רישום של פיקוח על גילוי בטווח גישה
קריאת פריטי מדיניות
ביצוע כל פעולות המדיניות
ביצוע פעולות של מדיניות קבצים
ביצוע פעולות מדיניות OAuth
הצג גישת ניהול
ניהול מנהלי מערכת ופרטיות פעילות

תפקידי מנהל מערכת מוכללים יישומי ענן של Defender

ניתן לקבוע את התצורה של תפקידי הניהול הספציפיים הבאים בפורטל Microsoft Defender, באזור תפקידי > יישומי ענן > של הרשאות:

שם תפקיד תיאור
מנהל מערכת כללי בעל גישה מלאה בדומה לתפקיד מנהל Microsoft Entra כללי, אך רק כדי יישומי ענן של Defender.
מנהל תאימות מעניק את אותן הרשאות כמו תפקיד מנהל Microsoft Entra תאימות, אך רק כדי יישומי ענן של Defender.
קורא האבטחה הענקת אותן הרשאות כמו התפקיד Microsoft Entra 'אבטחה' אך רק יישומי ענן של Defender.
מתפעל אבטחה הענקת אותן הרשאות כמו תפקיד אופרטור Microsoft Entra האבטחה, אך רק כדי יישומי ענן של Defender.
מנהל יישום/מופע כולל הרשאות מלאות או לקריאה בלבד לכל הנתונים ב- יישומי ענן של Defender העוסקת באופן בלעדי ביישום או במופע הספציפיים של יישום שנבחרו.

לדוגמה, אתה מעניק הרשאת מנהל מערכת של משתמש למופע Box European שלך. מנהל המערכת רואה רק נתונים הקשורים למופע Box European, בין אם אלה קבצים, פעילויות, פריטי מדיניות, אופני פעולה או התראות:
  • דף פעילויות - רק פעילויות אודות האפליקציה הספציפית
  • התראות/אופני פעולה - רק הקשורים ליישום הספציפי. במקרים מסוימים, נתוני התראה/אופן פעולה הקשורים ליישום אחר אם הנתונים תואם ליישום הספציפי. הניראות של נתוני התראה הקשורים ליישום אחר מוגבלת, ולא ניתן לבצע הסתעפות לפרטים נוספים
  • פריטי מדיניות - יכול להציג את כל פריטי המדיניות ואם הרשאות מלאות מוקצות יכולות לערוך או ליצור רק פריטי מדיניות שעסקה באופן בלעדי עם היישום/המופע
  • דף חשבונות - רק חשבונות עבור היישום/המופע הספציפי
  • הרשאות יישום - רק הרשאות עבור היישום/המופע הספציפי
  • Files זה - רק קבצים מהיישום/המופע הספציפי
  • בקרת יישום גישה מותנית - ללא הרשאות
  • פעילות גילוי בענן - אין הרשאות
  • הרחבות אבטחה - רק הרשאות עבור אסימון API עם הרשאות משתמש
  • פעולות פיקוח - רק עבור היישום/המופע הספציפי
  • המלצות אבטחה עבור פלטפורמות ענן - אין הרשאות
  • טווחי IP - ללא הרשאות
מנהל קבוצת משתמשים בעל הרשאות מלאות או לקריאה בלבד לכל הנתונים ב- יישומי ענן של Defender העוסקת באופן בלעדי בקבוצות הספציפיות שהוקצו להן. לדוגמה, אם תקצה הרשאות מנהל משתמש לקבוצה "Germany - כל המשתמשים", מנהל המערכת יוכל להציג ולערוך מידע ב- יישומי ענן של Defender רק עבור קבוצת משתמשים זו. למנהל קבוצת המשתמשים יש את הגישה הבאה:

  • דף פעילויות - רק פעילויות אודות המשתמשים בקבוצה
  • התראות - רק התראות המתייחסות למשתמשים בקבוצה. במקרים מסוימים, הצג התראה על נתונים הקשורים למשתמש אחר אם הנתונים יתווחו עם המשתמשים בקבוצה. הניראות של נתוני התראה הקשורים למשתמשים אחרים מוגבלת, ולא קיימת גישה להסתעפות לקבלת פרטים נוספים.
  • פריטי מדיניות - יכול להציג את כל פריטי המדיניות ואם הרשאות מלאות מוקצות יכולות לערוך או ליצור רק פריטי מדיניות שעסקה באופן בלעדי עם משתמשים בקבוצה
  • דף חשבונות - רק חשבונות עבור המשתמשים הספציפיים בקבוצה
  • הרשאות אפליקציה – ללא הרשאות
  • Files דף – ללא הרשאות
  • בקרת יישום גישה מותנית - ללא הרשאות
  • פעילות גילוי בענן - אין הרשאות
  • הרחבות אבטחה - רק הרשאות עבור אסימון API עם משתמשים בקבוצה
  • פעולות פיקוח - רק עבור המשתמשים הספציפיים בקבוצה
  • המלצות אבטחה עבור פלטפורמות ענן - אין הרשאות
  • טווחי IP - ללא הרשאות


הערות:
  • כדי להקצות קבוצות למנהלי קבוצות משתמשים, עליך לייבא תחילה קבוצות משתמשים מיישומים מחוברים.
  • באפשרותך להקצות הרשאות של מנהלי קבוצות משתמשים רק לקבוצות Microsoft Entra אלה.
מנהל כללי של גילוי ענן יש הרשאה להציג ולערוך את כל ההגדרות והנתונים של גילוי ענן. למנהל הגילוי הכללי יש את הגישה הבאה:

  • הגדרות: הגדרות מערכת - הצגה בלבד; הגדרות גילוי ענן - הצגה ועריכה של הכל (הרשאות אנונימיות תלויות בשאלה אם הוא מותר במהלך הקצאת תפקידים)
  • פעילות גילוי ענן - הרשאות מלאות
  • התראות - הצג ונהל רק התראות הקשורות לדוח גילוי הענן הרלוונטי
  • מדיניות - יכול להציג את כל פריטי המדיניות ולערוך או ליצור מדיניות גילוי בענן בלבד
  • דף פעילויות - ללא הרשאות
  • דף חשבונות - ללא הרשאות
  • הרשאות אפליקציה – ללא הרשאות
  • Files דף – ללא הרשאות
  • בקרת יישום גישה מותנית - ללא הרשאות
  • הרחבות אבטחה - יצירה ומחיקה של אסימוני API משלהם
  • פעולות פיקוח - רק פעולות הקשורות לגילוי ענן
  • המלצות אבטחה עבור פלטפורמות ענן - אין הרשאות
  • טווחי IP - ללא הרשאות
מנהל דוח גילוי ענן
  • הגדרות: הגדרות מערכת - הצגה בלבד; הגדרות גילוי ענן - הצג הכל (הרשאות אנונימיות תלויות בשאלה אם הוא הותר במהלך הקצאת תפקידים)
  • פעילות גילוי בענן - הרשאות קריאה בלבד
  • התראות – הצג רק התראות הקשורות לדוח גילוי הענן הרלוונטי
  • מדיניות - יכול להציג את כל פריטי המדיניות וליצור מדיניות גילוי בענן בלבד, ללא אפשרות לשלוט ביישום (תיוג, סנציה וללא פיקוח)
  • דף פעילויות - ללא הרשאות
  • דף חשבונות - ללא הרשאות
  • הרשאות אפליקציה – ללא הרשאות
  • Files דף – ללא הרשאות
  • בקרת יישום גישה מותנית - ללא הרשאות
  • הרחבות אבטחה - יצירה ומחיקה של אסימוני API משלהם
  • פעולות פיקוח – הצג רק פעולות הקשורות לדוח גילוי הענן הרלוונטי
  • המלצות אבטחה עבור פלטפורמות ענן - אין הרשאות
  • טווחי IP - ללא הרשאות

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. אסטרטגיה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

תפקידי מנהל המערכת המוכללים יישומי ענן של Defender מספקים הרשאות גישה רק עבור יישומי ענן של Defender.

עקיפת הרשאות מנהל מערכת

כדי לעקוף הרשאה של מנהל מערכת מ- Microsoft Entra ID או מ- Microsoft 365, באפשרותך להוסיף את המשתמש באופן יישומי ענן של Defender ולהקצות הרשאות למשתמש. לדוגמה, אם ברצונך להקצות את סטפני, שהיא קוראת אבטחה ב- Microsoft Entra ID לקבל גישה מלאה ב- יישומי ענן של Defender, באפשרותך להוסיף אותה באופן ידני ל- יישומי ענן של Defender ולהקצות לה גישה מלאה כדי לעקוף את תפקידה ולאפשר לה את ההרשאות הנחוצות תחת יישומי ענן של Defender. לא ניתן לעקוף תפקידי Microsoft Entra המעניקים גישה מלאה (מנהל מערכת כללי, מנהל אבטחה ומנהל אבטחת יישומי ענן מערכת).

הוספת מנהלי מערכת נוספים

באפשרותך להוסיף מנהלי מערכת נוספים יישומי ענן של Defender מבלי להוסיף משתמשים לתפקידי Microsoft Entra אחרים. כדי להוסיף מנהלי מערכת נוספים, בצע את השלבים הבאים:

חשוב

  • הגישה לדף ניהול גישת מנהל מערכת זמינה לחברים בקבוצות Global Administrators, Security Administrators, Compliance Administrators, Compliance Data Administrators, Security Operators, Security Readers ו- Global Readers.
  • כדי לערוך את הדף ניהול גישת מנהל מערכת ולהעניק למשתמשים אחרים גישה יישומי ענן של Defender, דרוש לך תפקיד מנהל אבטחה לפחות.

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. אסטרטגיה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

  1. בכרטיסיה Microsoft Defender, בתפריט הימני, בחר הרשאות.

  2. תחת אפליקציות ענן, בחר תפקידים.

    תפריט הרשאות.

  3. בחר +הוסף משתמש כדי להוסיף את מנהלי המערכת שצריכים לקבל גישה יישומי ענן של Defender. ספק כתובת דואר אלקטרוני של משתמש מתוך הארגון שלך.

    הערה

    אם ברצונך להוסיף ספקי שירותי אבטחה מנוהלים חיצוניים (MSSPs) כמנהלי מערכת עבור יישומי ענן של Defender, הקפד להזמין אותם תחילה כסורח לארגון שלך.

    הוסף מנהלי מערכת.

  4. לאחר מכן, בחר את הרשימה הנפתחת כדי להגדיר את סוג התפקיד שיש למנהל המערכת. אם תבחר מנהל יישום/מופע, בחר את היישום והמופע עבור מנהל המערכת כדי לקבל הרשאות עבורם.

    הערה

    מנהלי גישה מוגבלת שינסה לגשת לדף מוגבל או יבצעו פעולה מוגבלת יקבלו שגיאה על כך שאין להם הרשאה לגשת לדף או לבצע את הפעולה.

  5. בחר הוסף מנהל מערכת.

הזמנת מנהלי מערכת חיצוניים

יישומי ענן של Defender מאפשרת לך להזמין מנהלי מערכת חיצוניים (MSSPs) כמנהלי מערכת של שירות יישומי ענן של Defender של הארגון שלך. כדי להוסיף MSSPs, ודא ש- יישומי ענן של Defender זמין בדייר MSSPs ולאחר מכן הוסף אותם כמשתמשי שיתוף פעולה מסוג Microsoft Entra B2B בפורטל MSS Azure Ps. לאחר ההוספה, ניתן לקבוע את התצורה של MSSPs כמנהלי מערכת ולהקצה כל אחד מהתפקידים הזמינים ב- יישומי ענן של Defender.

כדי להוסיף MSSPs לשירות לקוחות MSSP יישומי ענן של Defender שירות

  1. הוסף MSSPs כבאנשים מחוץ לארגון במדריך הכתובות של לקוחות MSSP באמצעות השלבים תחת הוספת אנשים מחוץ לארגון למדריך הכתובות.
  2. הוסף MSSPs והקצה תפקיד מנהל מערכת בלקוח MSSP יישומי ענן של Defender באמצעות השלבים תחת הוסף מנהלי מערכת נוספים. ספק את אותה כתובת דואר אלקטרוני חיצונית המשמשת בעת הוספתה כאורחים במדריך הכתובות של הלקוחות של MSSP.

Access for MSSPs to the MSSP customer יישומי ענן של Defender service

כברירת מחדל, MSSPs ניגשים לדייר יישומי ענן של Defender שלהם באמצעות כתובת ה- URL הבאה: https://security.microsoft.com.

עם זאת, יש לגשת לפורטל לקוחות MSSP Microsoft Defender באמצעות כתובת URL ספציפית לדייר בתבנית הבאה: https://security.microsoft.com/?tid=<tenant_id>.

MSSPs יכול להשתמש בשלבים הבאים כדי להשיג את מזהה הדייר של פורטל לקוחות MSSP ולאחר מכן להשתמש במזהה כדי לגשת אל כתובת ה- URL הספציפית לדייר:

  1. כ- MSSP, היכנס כדי Microsoft Entra ID עם האישורים שלך.
  2. העבר את מדריך הכתובות לדייר של לקוח MSSP.
  3. בחר Microsoft Entra ID>מאפיינים. מזהה הדייר של לקוח MSSP נמצא בשדה 'מזהה דייר '.
  4. גש לפורטל הלקוחות של MSSP על-ידי החלפת customer_tenant_id הערך בכתובת ה- URL הבאה: https://security.microsoft.com/?tid=<tenant_id>.

מרכז הניהול ביקורת פעילות

יישומי ענן של Defender מאפשרת לך לייצא יומן רישום של פעילויות כניסה למנהלי מערכת וביקורת של תצוגות של משתמש או התראות ספציפיות שבוצעו כחלק מחקירה.

כדי לייצא יומן רישום, בצע את השלבים הבאים:

  1. בכרטיסיה Microsoft Defender, בתפריט הימני, בחר הרשאות.

  2. תחת אפליקציות ענן, בחר תפקידים.

  3. בדף מרכז הניהול, בפינה השמאלית העליונה, בחר ייצוא פעילויות ניהול.

  4. ציין את טווח הזמן הנדרש.

  5. בחר ייצוא.

השלבים הבאים

הגדרת גילוי ענן

  • Last updated on