Rendszergazdai hozzáférés kezelése

  • Cikk

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

Felhőhöz készült Microsoft Defender alkalmazások támogatják a szerepköralapú hozzáférés-vezérlést. Ez a cikk útmutatást nyújt az Felhőhöz készült Defender-alkalmazásokhoz való hozzáférés beállításához a rendszergazdák számára. A rendszergazdai szerepkörök hozzárendeléséről további információt az Azure Active Directory (Azure AD) és a Microsoft 365 cikkeiben talál.

Microsoft 365- és Azure AD-szerepkörök Felhőhöz készült Defender-alkalmazásokhoz való hozzáféréssel

Megjegyzés:

  • A Microsoft 365 és az Azure AD szerepkörök nem szerepelnek a Felhőhöz készült Defender Alkalmazások kezelése rendszergazdai hozzáférési lapon. Ha szerepköröket szeretne hozzárendelni a Microsoft 365-ben vagy az Azure Active Directoryban, nyissa meg a szolgáltatáshoz tartozó RBAC-beállításokat.
  • Felhőhöz készült Defender Alkalmazások az Azure Active Directory használatával határozzák meg a felhasználó címtárszintű inaktivitási időtúllépési beállítását. Ha egy felhasználó úgy van konfigurálva az Azure Active Directoryban, hogy inaktív állapotban soha ne jelentkezzen ki, ugyanez a beállítás Felhőhöz készült Defender Alkalmazásokban is érvényes lesz.

Alapértelmezés szerint az alábbi Microsoft 365- és Azure AD-rendszergazdai szerepkörök férnek hozzá Felhőhöz készült Defender-alkalmazásokhoz:

  • Globális rendszergazda és biztonsági rendszergazda: a teljes hozzáférésű Rendszergazda istratorok teljes engedélyekkel rendelkeznek az Felhőhöz készült Defender-alkalmazásokban. Hozzáadhatnak rendszergazdákat, házirendeket és beállításokat adhatnak hozzá, naplókat tölthetnek fel, és irányítási műveleteket hajthatnak végre, hozzáférhetnek és kezelhetik a SIEM-ügynököket.

  • Felhőappbiztonság rendszergazda: Teljes hozzáférést és engedélyeket engedélyez az Felhőhöz készült Defender-alkalmazásokban. Ez a szerepkör teljes körű engedélyeket biztosít az Felhőhöz készült Defender-alkalmazásokhoz, például az Azure AD globális rendszergazdai szerepköréhez. Ez a szerepkör azonban Felhőhöz készült Defender-alkalmazásokra terjed ki, és nem ad teljes engedélyeket más Microsoft biztonsági termékekhez.

  • Megfelelőségi rendszergazda: Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat. A felhőplatformokra vonatkozó biztonsági javaslatok nem érhetők el. Létrehozhat és módosíthat fájlszabályzatokat, engedélyezheti a fájlszabályozási műveleteket, és megtekintheti az összes beépített jelentést a adatkezelés alatt.

  • Megfelelőségi adatadminisztrátor: Írásvédett engedélyekkel rendelkezik, fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes felderítési jelentést. A felhőplatformokra vonatkozó biztonsági javaslatok nem érhetők el.

Megjegyzés:

2022. augusztus 28-ától az Azure AD Biztonsági olvasó szerepkörrel rendelkező felhasználók nem fogják tudni kezelni az Felhőhöz készült Microsoft Defender Apps-riasztásokat. Ezt a módosítást a következő néhány hétben fokozatosan bevezetjük az összes ügyfél számára. A riasztások kezelésének folytatásához a felhasználó szerepkörét frissíteni kell egy Azure AD biztonsági operátorra.

  • Biztonsági operátor: Írásvédett engedélyekkel rendelkezik, és képes a riasztások kezelésére. Ezek a rendszergazdák nem végezhetik el a következő műveleteket:

    • Új szabályzatok létrehozása és létező szabályzatok szerkesztése vagy módosítása
    • Bármilyen irányítási művelet elvégzése
    • Felderítési naplók feltöltése
    • Harmadik féltől származó alkalmazások tiltása vagy jóváhagyása
    • Az IP-címtartományok beállítási oldalának elérése és megtekintése
    • A rendszerbeállítások lapjainak elérése és megtekintése
    • A Felderítési beállítások elérése és megtekintése
    • A Alkalmazás-összekötő lap elérése és megtekintése
    • Az Irányítási napló elérése és megtekintése
    • A Pillanatkép-jelentések kezelése oldal elérése és megtekintése
    • SIEM-ügynökök elérése és megtekintése

  • Biztonsági olvasó: Írásvédett engedélyekkel rendelkezik. Ezek a rendszergazdák nem végezhetik el a következő műveleteket:

    • Új szabályzatok létrehozása és létező szabályzatok szerkesztése vagy módosítása
    • Bármilyen irányítási művelet elvégzése
    • Felderítési naplók feltöltése
    • Harmadik féltől származó alkalmazások tiltása vagy jóváhagyása
    • Az IP-címtartományok beállítási oldalának elérése és megtekintése
    • A rendszerbeállítások lapjainak elérése és megtekintése
    • A Felderítési beállítások elérése és megtekintése
    • A Alkalmazás-összekötő lap elérése és megtekintése
    • Az Irányítási napló elérése és megtekintése
    • A Pillanatkép-jelentések kezelése oldal elérése és megtekintése
    • SIEM-ügynökök elérése és megtekintése

  • Globális olvasó: Teljes írásvédett hozzáféréssel rendelkezik a Felhőhöz készült Defender-alkalmazások minden aspektusához. Nem módosíthatja a beállításokat, és nem hajthat végre semmilyen műveletet.

Szerepkörök és engedélyek

Permissions Global Admin Security Admin Megfelelési adminisztrátor Megfelelőségi adatok Rendszergazda Biztonsági operátor Security Reader Global Reader PBI-Rendszergazda Felhőappbiztonság rendszergazda
Riasztások olvasása
Riasztások kezelése
OAuth-alkalmazások olvasása
OAuth-alkalmazásműveletek végrehajtása
Hozzáférés a felderített alkalmazásokhoz, a felhőalkalmazás-katalógushoz és más felhőfelderítési adatokhoz
API-összekötők konfigurálása
Felhőfelderítési műveletek végrehajtása
Fájlok adatainak és fájlszabályzatának elérése
Fájlműveletek végrehajtása
Hozzáférés szabályozási naplója
Szabályozási naplóműveletek végrehajtása
Hatókörön belüli felderítési szabályozási napló
Szabályzatok olvasása
Minden szabályzatművelet végrehajtása
Fájlszabályzat-műveletek végrehajtása
OAuth-szabályzatműveletek végrehajtása
Rendszergazdai hozzáférés kezelése
Rendszergazdák és tevékenységek adatainak kezelése

Beépített rendszergazdai szerepkörök az Felhőhöz készült Defender-alkalmazásokban

Az alábbi rendszergazdai szerepkörök konfigurálhatók az Felhőhöz készült Defender Alkalmazások portálon:

  • Globális rendszergazda: Teljes hozzáféréssel rendelkezik az Azure AD globális rendszergazdai szerepköréhez, de csak az Felhőhöz készült Defender-alkalmazásokhoz.

  • Megfelelőségi rendszergazda: Ugyanazokat az engedélyeket adja meg, mint az Azure AD megfelelőségi rendszergazdai szerepköre, de csak az alkalmazások Felhőhöz készült Defender.

  • Biztonsági olvasó: Ugyanazokat az engedélyeket adja meg, mint az Azure AD Biztonsági olvasó szerepkör, de csak az alkalmazások Felhőhöz készült Defender.

  • Biztonsági operátor: Ugyanazokat az engedélyeket adja meg, mint az Azure AD Biztonsági operátor szerepkör, de csak az alkalmazások Felhőhöz készült Defender.

  • Alkalmazás-/példányadminisztrátor: Teljes vagy írásvédett engedélyekkel rendelkezik az Felhőhöz készült Defender-alkalmazások összes adatához, amely kizárólag a kiválasztott alkalmazás vagy alkalmazáspéldány használatával foglalkozik. Például felhasználói rendszergazdai engedélyt ad a Box Európai példányának. A rendszergazda csak a Box European-példányhoz kapcsolódó adatokat látja, legyen szó fájlokról, tevékenységekről, szabályzatokról vagy riasztásokról:

    • Tevékenységek lap – Csak az adott alkalmazással kapcsolatos tevékenységek
    • Riasztások – Csak az adott alkalmazással kapcsolatos riasztások. Bizonyos esetekben egy másik alkalmazással kapcsolatos riasztási adatok, ha az adatok korrelálnak az adott alkalmazással. Egy másik alkalmazással kapcsolatos riasztási adatok láthatósága korlátozott, és nincs hozzáférés a részletezéshez további részletekért
    • Szabályzatok – Megtekintheti az összes házirendet, és ha a hozzárendelt teljes engedélyek csak az alkalmazással/példánysal kapcsolatos szabályzatokat szerkeszthetik vagy hozhatnak létre
    • Fiókok lap – Csak az adott alkalmazáshoz/példányhoz tartozó fiókok
    • Alkalmazásengedélyek – Csak az adott alkalmazáshoz/példányhoz tartozó engedélyek
    • Fájlok lap – Csak az adott alkalmazásból/példányból származó fájlok
    • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
    • Cloud Discovery-tevékenység – Nincs engedély
    • Biztonsági bővítmények – Csak felhasználói engedélyekkel rendelkező API-jogkivonat engedélyei
    • Szabályozási műveletek – Csak az adott alkalmazáshoz/példányhoz
    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
    • IP-tartományok – Nincs engedély

  • Felhasználói csoport rendszergazdája: Teljes vagy írásvédett engedélyekkel rendelkezik az Felhőhöz készült Defender-alkalmazások összes adatához, amely kizárólag a hozzájuk rendelt adott csoportokkal foglalkozik. Ha például felhasználói rendszergazdai engedélyeket rendel a "Németország – minden felhasználó" csoporthoz, a rendszergazda csak az adott felhasználói csoporthoz tartozó Felhőhöz készült Defender-alkalmazásokban tekintheti meg és szerkesztheti az adatokat. A felhasználói csoport rendszergazdája a következő hozzáféréssel rendelkezik:

    • Tevékenységek lap – Csak a csoport felhasználóival kapcsolatos tevékenységek

    • Riasztások – Csak a csoport felhasználóival kapcsolatos riasztások. Bizonyos esetekben a riasztási adatok egy másik felhasználóhoz kapcsolódnak, ha az adatok korrelálnak a csoport felhasználóival. A más felhasználókkal kapcsolatos riasztási adatok láthatósága korlátozott, és nincs hozzáférés a részletezéshez további részletekért.

    • Szabályzatok – Megtekintheti az összes házirendet, és ha a hozzárendelt teljes engedélyek csak a csoport felhasználóival foglalkozó szabályzatokat szerkeszthetik vagy hozhatnak létre

    • Fiókok lap – Csak a csoport adott felhasználóinak fiókjai

    • Alkalmazásengedélyek – Nincs engedély

    • Fájlok lap – Nincs engedély

    • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély

    • Cloud Discovery-tevékenység – Nincs engedély

    • Biztonsági bővítmények – Csak az API-jogkivonat engedélyei a csoport felhasználóival

    • Irányítási műveletek – Csak a csoport adott felhasználói számára

    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély

    • IP-tartományok – Nincs engedély

      Megjegyzés:

      • Ha csoportokat szeretne hozzárendelni a felhasználói csoportok rendszergazdáihoz, először importálnia kell a felhasználói csoportokat a csatlakoztatott alkalmazásokból.
      • Csak a felhasználói csoport rendszergazdáinak engedélyeit rendelheti hozzá az importált Azure AD-csoportokhoz.

  • Cloud Discovery globális rendszergazda: Jogosult az összes Cloud Discovery-beállítás és adat megtekintésére és szerkesztésére. A Global Discovery rendszergazdája a következő hozzáféréssel rendelkezik:

    • Gépház
      • Rendszerbeállítások – Csak megtekintés
      • Cloud Discovery-beállítások – Az összes megtekintése és szerkesztése (az anonimizálási engedélyek attól függenek, hogy engedélyezték-e a szerepkör-hozzárendelés során)
    • Cloud Discovery-tevékenység – teljes engedélyek
    • Riasztások – csak a vonatkozó Cloud Discovery-jelentéshez kapcsolódó riasztások megtekintése és kezelése
    • Szabályzatok – Megtekintheti az összes szabályzatot, és csak a Cloud Discovery-szabályzatokat szerkesztheti vagy hozhatja létre
    • Tevékenységek lap – Nincs engedély
    • Fiókok lap – Nincs engedély
    • Alkalmazásengedélyek – Nincs engedély
    • Fájlok lap – Nincs engedély
    • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
    • Biztonsági bővítmények – Saját API-jogkivonatok létrehozása és törlése
    • Irányítási műveletek – Csak a Cloud Discoveryhez kapcsolódó műveletek
    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
    • IP-tartományok – Nincs engedély

  • Cloud Discovery-jelentés rendszergazdája:

    • Gépház
      • Rendszerbeállítások – Csak megtekintés
      • Cloud Discovery-beállítások – Az összes megtekintése (az anonimizálási engedélyek attól függenek, hogy engedélyezték-e a szerepkör-hozzárendelés során)
    • Cloud Discovery-tevékenység – csak olvasási engedélyek
    • Riasztások – csak a vonatkozó Cloud Discovery-jelentéshez kapcsolódó riasztások megtekintése
    • Szabályzatok – Megtekintheti az összes szabályzatot, és csak Cloud Discovery-szabályzatokat hozhat létre, anélkül, hogy szabályozhatja az alkalmazást (címkézés, jóváhagyás és nem engedélyezett)
    • Tevékenységek lap – Nincs engedély
    • Fiókok lap – Nincs engedély
    • Alkalmazásengedélyek – Nincs engedély
    • Fájlok lap – Nincs engedély
    • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
    • Biztonsági bővítmények – Saját API-jogkivonatok létrehozása és törlése
    • Irányítási műveletek – csak a vonatkozó Cloud Discovery-jelentéshez kapcsolódó műveletek megtekintése
    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
    • IP-tartományok – Nincs engedély

Megjegyzés:

A beépített Felhőhöz készült Defender-alkalmazások rendszergazdai szerepkörei csak a Felhőhöz készült Defender-alkalmazásokhoz biztosítanak hozzáférési engedélyeket.

Rendszergazdai engedélyek felülbírálása

Ha felül szeretné bírálni egy rendszergazda engedélyét az Azure AD-től vagy a Microsoft 365-től, ezt úgy teheti meg, hogy manuálisan hozzáadja a felhasználót az Felhőhöz készült Defender-alkalmazásokhoz, és hozzárendeli a felhasználói engedélyeket. Ha például az Azure AD-ben biztonsági olvasóként dolgozó Stephanie-t szeretné hozzárendelni, hogy teljes hozzáféréssel rendelkezzen az Felhőhöz készült Defender-alkalmazásokban, manuálisan is hozzáadhatja a Felhőhöz készült Defender-alkalmazásokhoz, és teljes hozzáféréssel felülbírálhatja a szerepkörét, és engedélyezheti neki a szükséges engedélyeket a következő helyen: Felhőhöz készült Defender Alkalmazások. Vegye figyelembe, hogy nem lehet felülbírálni a teljes hozzáférést biztosító Azure AD-szerepköröket (globális rendszergazda, biztonsági rendszergazda és Felhőappbiztonság rendszergazda).

További rendszergazdák hozzáadása

További rendszergazdákat is hozzáadhat az Felhőhöz készült Defender-alkalmazásokhoz anélkül, hogy felhasználókat ad hozzá az Azure AD felügyeleti szerepköreihez. További rendszergazdák hozzáadásához hajtsa végre a következő lépéseket:

Fontos

  • A Rendszergazdai hozzáférés kezelése laphoz való hozzáférés a globális Rendszergazda istratorok, biztonsági Rendszergazda istratorok, megfelelőségi Rendszergazda istratorok, megfelelőségi adatok Rendszergazda istratorok, biztonsági operátorok, biztonsági olvasók és globális olvasók csoportok tagjai számára érhető el.
  • Csak az Azure AD Globális Rendszergazda istratorok vagy a Biztonsági Rendszergazda istratorok szerkeszthetik a rendszergazdai hozzáférési lapot, és hozzáférést adhatnak más felhasználóknak a Felhőhöz készült Defender-alkalmazásokhoz.

  1. A Microsoft 365 Defender portál bal oldali menüjében válassza az Engedélyek lehetőséget.

  2. A Cloud Apps alatt válassza a Szerepkörök lehetőséget.

Permissions menu.

  1. Válassza a +Felhasználó hozzáadása lehetőséget azoknak a rendszergazdáknak a hozzáadásához, akiknek hozzáféréssel kell rendelkezniük az Felhőhöz készült Defender-alkalmazásokhoz. Adjon meg egy felhasználó e-mail-címét a szervezeten belülről.

    Megjegyzés:

    Ha külső felügyelt biztonsági szolgáltatókat (MSSP-ket) szeretne hozzáadni a Felhőhöz készült Defender Apps portál rendszergazdáihoz, először hívja meg őket vendégként a szervezetbe.

    add admins.

  2. Ezután válassza ki a legördülő menüt, és adja meg, hogy milyen típusú szerepkört tölt be a rendszergazda, globális rendszergazda, biztonsági olvasó, megfelelőségi rendszergazda, alkalmazás-/példány-rendszergazda, felhasználócsoport-rendszergazda, Cloud Discovery globális rendszergazda vagy Cloud Discovery-jelentésgazda. Ha az Alkalmazás/Példány rendszergazdája lehetőséget választja, válassza ki azt az alkalmazást és példányt, amelyhez a rendszergazda rendelkezik engedélyekkel.

    Megjegyzés:

    Minden olyan rendszergazda, akinek a hozzáférése korlátozott, és megpróbál hozzáférni egy korlátozott laphoz, vagy korlátozott műveletet hajt végre, hibaüzenetet kap, hogy nincs engedélye a lap elérésére vagy a művelet végrehajtására.

  3. Válassza a Rendszergazda hozzáadása lehetőséget.

Külső rendszergazdák meghívása

Felhőhöz készült Defender Alkalmazások segítségével külső rendszergazdákat (MSSP-ket) hívhat meg a szervezet (MSSP-ügyfél) Felhőhöz készült Defender Alkalmazások portáljának rendszergazdájaként. MSSP-k hozzáadásához győződjön meg arról, hogy Felhőhöz készült Defender Alkalmazások engedélyezve vannak az MSSPs-bérlőn, majd vegye fel őket Azure AD B2B együttműködési felhasználókként az MSSP-ügyfelek Azure Portalján. A hozzáadás után az MSSP-k konfigurálhatók rendszergazdákként, és hozzárendelhetők az Felhőhöz készült Defender-alkalmazásokban elérhető szerepkörök bármelyikéhez.

MSSP-k hozzáadása az MSSP-ügyfél Felhőhöz készült Defender Apps portálhoz

  1. Az MSSP-ügyfélkönyvtárban vendégként adhat hozzá MSSP-ket a vendégfelhasználók hozzáadása a címtárhoz című témakörben ismertetett lépésekkel.
  2. Adjon hozzá MSSP-ket, és rendeljen hozzá rendszergazdai szerepkört az MSSP-ügyfél Felhőhöz készült Defender Alkalmazások portálon a További rendszergazdák hozzáadása című lépésben. Adja meg ugyanazt a külső e-mail-címet, amelyet az MSSP ügyfélkönyvtárában vendégként használ.

MSSP-k elérése az MSSP-ügyfél Felhőhöz készült Defender Apps portálhoz

Alapértelmezés szerint az MSSP-k a következő URL-címen érik el Felhőhöz készült Defender Apps-bérlőjüket: https://security.microsoft.com.

Az MSSP-knek azonban a következő formátumban kell hozzáférnie az MSSP-ügyfél Microsoft 365 Defender portálhoz egy bérlőspecifikus URL-cím használatával: https://security.microsoft.com/?tid=<tenant_id>.

Az MSSP-k az alábbi lépésekkel szerezhetik be az MSSP ügyfélportál bérlőazonosítóját, majd az azonosítóval érhetik el a bérlőspecifikus URL-címet:

  1. MSSP-ként jelentkezzen be az Azure AD-be a hitelesítő adataival.

  2. Címtár váltása az MSSP-ügyfél bérlőjére.

  3. Válassza az Azure Active Directory>Tulajdonságok lehetőséget. Az MSSP-ügyfél bérlőazonosítóját a Bérlőazonosító mezőben találja.

  4. Az MSSP ügyfélportál elérése az customer_tenant_id alábbi URL-cím értékének cseréjével: https://security.microsoft.com/?tid=<tenant_id>.

Rendszergazda tevékenységnaplózás

Felhőhöz készült Defender Alkalmazások segítségével exportálhatja a rendszergazdai bejelentkezési tevékenységek naplóját, valamint egy adott felhasználó nézeteinek vagy a vizsgálat részeként végrehajtott riasztások naplózását.

Napló exportálásához hajtsa végre a következő lépéseket:

  1. A Microsoft 365 Defender portál bal oldali menüjében válassza az Engedélyek lehetőséget.

  2. A Cloud Apps alatt válassza a Szerepkörök lehetőséget.

  3. A Rendszergazda szerepkörök lapján, a jobb felső sarokban válassza a Rendszergazdai tevékenységek exportálása lehetőséget.

  4. Adja meg a szükséges időtartományt.

  5. Válassza az Exportálás lehetőséget.

Következő lépések

Set up Cloud Discovery