Configurare l'accesso amministratore in Defender for Cloud Apps

Microsoft Defender for Cloud Apps supporta il controllo degli accessi in base al ruolo. Questo articolo fornisce istruzioni per impostare l'accesso a Defender for Cloud Apps per gli amministratori. Per altre informazioni sull'assegnazione dei ruoli di amministratore, vedere gli articoli per Microsoft Entra ID e Microsoft 365.

Ruoli di Microsoft 365 e Microsoft Entra con accesso a Defender for Cloud Apps

Nota

  • I ruoli di Microsoft 365 e Microsoft Entra non sono elencati nella pagina Defender for Cloud Apps Gestisci accesso amministratore. Per assegnare ruoli in Microsoft 365 o Microsoft Entra ID, vai alle impostazioni RBAC relative al servizio interessato.
  • Defender for Cloud Apps usa Microsoft Entra ID per determinare l'impostazione del timeout di inattività a livello di directory dell'utente. Se un utente è configurato in Microsoft Entra ID per non disconnettersi mai quando è inattivo, la stessa impostazione si applica anche in Defender for Cloud Apps.
  • Per abilitare Information Protection in Defender for Cloud Apps è necessario un ruolo amministrativo di Microsoft Entra ID, ad esempio: Amministratore applicazioni o Amministratore applicazioni cloud. Per altre informazioni, vedere Microsoft Entra ruoli predefiniti e Proteggere l'ambiente Microsoft 365

Nota

Mentre Microsoft Defender si sposta verso una piattaforma di gestione delle identità completamente unificata, alcune pipeline di dati Defender for Cloud Apps rimangono separate. In Defender for Cloud Apps, la definizione dell'ambito RBAC usa una pipeline di dati separata che non è ancora integrata con l'inventario delle identità. Le correlazioni definite nell'inventario delle identità non influiscono sulla definizione dell'ambito di Defender for Cloud Apps. Per un elenco completo delle funzionalità interessate, vedere Abilitare l'integrazione dell'inventario delle identità.

Per impostazione predefinita, i ruoli di amministratore di Microsoft 365 e Microsoft Entra ID seguenti hanno accesso a Defender for Cloud Apps:

Nome del ruolo Descrizione
Amministratore della sicurezza Gli amministratori con accesso completo dispongono di autorizzazioni complete in Defender for Cloud Apps. Possono aggiungere amministratori, aggiungere criteri e impostazioni, caricare i log ed eseguire azioni di governance, accedere e gestire gli agenti SIEM.
Cloud App Security amministratore Consente l'accesso completo e le autorizzazioni in Defender for Cloud Apps. Questo ruolo concede autorizzazioni complete a Defender for Cloud Apps, ad esempio il ruolo amministratore globale Microsoft Entra ID. Tuttavia, questo ruolo è limitato a Defender for Cloud Apps e non concede autorizzazioni complete negli altri prodotti di sicurezza Microsoft.
Amministratore di conformità Disporre di autorizzazioni di sola lettura e gestire gli avvisi. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud. Può creare e modificare i criteri dei file, consentire azioni di governance dei file e visualizzare tutti i report predefiniti in Gestione dati.
Amministratore dati di conformità Dispone di autorizzazioni di sola lettura, può creare e modificare criteri di file, consentire azioni di governance dei file e visualizzare tutti i report di individuazione. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud.
Operatore della sicurezza Disporre di autorizzazioni di sola lettura e gestire gli avvisi. A questi amministratori viene impedito di eseguire le azioni seguenti:
  • Create criteri o modificate quelli esistenti
  • Esecuzione di qualsiasi azione di governance
  • Caricamento dei log di rilevamento
  • Divieto o approvazione di app non Microsoft
  • Accesso e visualizzazione della pagina delle impostazioni dell'intervallo di indirizzi IP
  • Accesso e visualizzazione di tutte le pagine delle impostazioni di sistema
  • Accedere e visualizzare le impostazioni di Discovery
  • Accedere e visualizzare la pagina dei connettori dell'app
  • Accesso e visualizzazione del log di governance
  • Accedere e visualizzare la pagina Gestione dei report delle istantanee
Lettore di sicurezza Dispone di autorizzazioni di sola lettura e può creare token di accesso API. A questi amministratori viene impedito di eseguire le azioni seguenti:
    Create criteri o modificate quelli esistenti
  • Esecuzione di qualsiasi azione di governance
  • Caricamento dei log di rilevamento
  • Divieto o approvazione di app non Microsoft
  • Accesso e visualizzazione della pagina delle impostazioni dell'intervallo di indirizzi IP
  • Accesso e visualizzazione di tutte le pagine delle impostazioni di sistema
  • Accedere e visualizzare le impostazioni di Discovery
  • Accedere e visualizzare la pagina dei connettori dell'app
  • Accesso e visualizzazione del log di governance
  • Accedere e visualizzare la pagina Gestione dei report delle istantanee
Lettore globale Ha accesso completo in sola lettura a tutti gli aspetti di Defender for Cloud Apps. Non è possibile modificare le impostazioni o eseguire azioni.

* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Questa strategia consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Nota

Praticamente tutte le esperienze di governance delle app sono controllate solo dai ruoli Microsoft Entra ID. L'unica eccezione è la tabella OAuthAppInfo nella ricerca avanzata. Le autorizzazioni RBAC unificate in Defender for Cloud Apps concedono l'accesso ai dati di governance delle app in questa specifica tabella.

Nelle esperienze di eventi imprevisti e avvisi unificati in Defender XDR, l'accesso ai dati di governance delle app è controllato solo da Microsoft Entra ID.

Per altre informazioni sulle autorizzazioni nella governance delle app, vedere Ruoli di governance delle app.

Ruoli e autorizzazioni

Autorizzazioni Globale
Amministratore
Sicurezza
Amministratore
Conformità
Amministratore
Conformità
Amministrazione dati
Sicurezza
Operatore
Sicurezza
Lettore
Globale
Lettore
Amministratore PBI Cloud App
Amministratore della sicurezza
Lettura degli avvisi
Gestire gli avvisi
Leggere le applicazioni OAuth
Eseguire azioni dell'applicazione OAuth
Accedere alle app individuate, al catalogo di app cloud e ad altri dati di individuazione cloud
Configurare i connettori API
Eseguire azioni di rilevamento del cloud
Accesso ai dati e ai criteri relativi ai file
Eseguire azioni sui file
Accedere al log di governance
Eseguire azioni del log di governance
Accedi al log di governance dell'individuazione con ambito definito
Leggi i criteri
Esegui tutte le azioni del criterio
Eseguire azioni dei criteri per i file
Eseguire azioni sui criteri OAuth
Visualizza e gestisci l'accesso amministratore
Gestire la privacy degli amministratori e delle attività

Ruoli di amministratore predefiniti in Defender for Cloud Apps

I seguenti ruoli di amministratore specifici possono essere configurati nel portale di Microsoft Defender, nell'area Autorizzazioni > App cloud > Ruoli:

Nome del ruolo Descrizione
Amministratore globale Ha un accesso completo simile a quello del ruolo di amministratore globale di Microsoft Entra, ma solo per Defender for Cloud Apps.
Amministratore di conformità Concede le stesse autorizzazioni del ruolo di amministratore della conformità Microsoft Entra, ma solo per Defender for Cloud Apps.
Lettore di sicurezza Concede le stesse autorizzazioni del ruolo Security Reader di Microsoft Entra, ma limitatamente a Defender for Cloud Apps.
Operatore della sicurezza Concede le stesse autorizzazioni del ruolo dell'operatore Microsoft Entra Security, ma solo per Defender for Cloud Apps.
Amministratore dell'app/istanza Dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender for Cloud Apps che si occupa esclusivamente dell'app o dell'istanza specifica di un'app selezionata.

Ad esempio, concedi a un amministratore utenti l'autorizzazione per la tua istanza europea di Box. L'amministratore visualizza solo i dati correlati all'istanza di Box European, che si tratti di file, attività, criteri, comportamenti o avvisi:
  • Pagina Attività - Solo le attività relative all'app specifica
  • Avvisi/comportamenti: solo relativi all'app specifica. In alcuni casi, dati relativi ad avvisi/comportamenti associati a un'altra app, se tali dati sono correlati all'app specifica. La visibilità dei dati degli avvisi relativi a un'altra app è limitata e non è possibile accedere al drill-down per altri dettagli
  • Criteri - può visualizzare tutti i criteri e, se gli sono assegnate autorizzazioni complete, può modificare o creare solo criteri relativi esclusivamente all'app/istanza
  • Pagina degli account - Solo gli account per l'app/l'istanza specifica
  • Autorizzazioni dell'app: solo autorizzazioni per l'app o l'istanza specifica
  • Pagina File - Solo i file dell'app/istanza specifica
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Attività di individuazione cloud - Nessuna autorizzazione
  • Estensioni di sicurezza - Solo i permessi per il token API con permessi utente
  • Azioni di governance: solo per l'app o l'istanza specifica
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione
Amministratore del gruppo di utenti Dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender for Cloud Apps che si occupa esclusivamente dei gruppi specifici assegnati. Ad esempio, se si assegnano autorizzazioni di amministratore utente al gruppo "Germania - tutti gli utenti", l'amministratore può visualizzare e modificare le informazioni in Defender for Cloud Apps solo per tale gruppo di utenti. L'amministratore del gruppo di utenti ha l'accesso seguente:

  • Pagina Attività : solo le attività relative agli utenti del gruppo
  • Avvisi: solo avvisi relativi agli utenti del gruppo. In alcuni casi, potrebbero essere mostrati dati di avviso relativi a un altro utente se tali dati sono correlati agli utenti del gruppo. La visibilità dei dati degli avvisi relativi a un altro utente è limitata e non è possibile accedere al drill-down per altri dettagli.
  • Criteri - può visualizzare tutti i criteri e, se gli sono state assegnate autorizzazioni complete, può modificare o creare solo criteri che riguardano esclusivamente gli utenti del gruppo
  • Pagina Account: solo gli account per gli utenti specifici del gruppo
  • Autorizzazioni dell'app: nessuna autorizzazione
  • pagina Files: nessuna autorizzazione
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Attività di individuazione cloud - Nessuna autorizzazione
  • Estensioni di sicurezza - Solo i permessi per il token API per gli utenti del gruppo
  • Azioni di governance: solo per gli utenti specifici del gruppo
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione


Note:
  • Per assegnare i gruppi agli amministratori del gruppo di utenti, è prima necessario importare i gruppi di utenti dalle app connesse.
  • È possibile assegnare agli amministratori dei gruppi di utenti solo le autorizzazioni per i gruppi di Microsoft Entra importati.
Amministratore globale di Cloud Discovery Dispone dell'autorizzazione per visualizzare e modificare tutte le impostazioni e i dati di individuazione cloud. L'amministratore Global Discovery dispone del seguente accesso:

  • Impostazioni: Impostazioni di sistema - Solo visualizzazione; Impostazioni di Cloud Discovery- Visualizzare e modificare tutto (le autorizzazioni di anonimizzazione dipendono dal fatto che sia stato consentito durante l'assegnazione di ruolo)
  • Attività di individuazione cloud - Autorizzazioni complete
  • Avvisi: visualizzare e gestire solo gli avvisi correlati al report di individuazione cloud pertinente
  • Criteri: può visualizzare tutti i criteri e può modificare o creare solo criteri di individuazione cloud
  • Pagina Attività - Nessuna autorizzazione
  • Pagina degli account - Nessuna autorizzazione
  • Autorizzazioni dell'app: nessuna autorizzazione
  • pagina Files: nessuna autorizzazione
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Estensioni di sicurezza: creazione ed eliminazione di token API personalizzati
  • Azioni di governance - Solo azioni correlate a Cloud Discovery
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione
Amministratore del report di Cloud Discovery
  • Impostazioni: Impostazioni di sistema - Solo visualizzazione; Impostazioni di individuazione cloud: visualizzare tutto (le autorizzazioni di anonimizzazione dipendono dal fatto che siano state consentite durante l'assegnazione di ruolo)
  • Attività di individuazione cloud : solo autorizzazioni di lettura
  • Avvisi: visualizzare solo gli avvisi correlati al report di individuazione cloud pertinente
  • Criteri - può visualizzare tutti i criteri e creare solo criteri di individuazione cloud, senza la possibilità di governare le applicazioni (assegnazione di tag, autorizzazione e rimozione dell'autorizzazione)
  • Pagina Attività - Nessuna autorizzazione
  • Pagina degli account - Nessuna autorizzazione
  • Autorizzazioni dell'app: nessuna autorizzazione
  • pagina Files: nessuna autorizzazione
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Estensioni di sicurezza: creazione ed eliminazione di token API personalizzati
  • Azioni di governance: visualizzare solo le azioni correlate al report di individuazione cloud pertinente
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Questa strategia consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

I ruoli di amministratore Defender for Cloud Apps predefiniti forniscono solo le autorizzazioni di accesso per Defender for Cloud Apps.

Ignorare le autorizzazioni di amministratore

Per ignorare l'autorizzazione di un amministratore da Microsoft Entra ID o Microsoft 365, è possibile aggiungere manualmente l'utente a Defender for Cloud Apps e assegnare le autorizzazioni all'utente. Ad esempio, se si desidera assegnare a Stephanie, che è un lettore di sicurezza in Microsoft Entra ID di avere accesso completo in Defender for Cloud Apps, è possibile aggiungerla manualmente a Defender for Cloud Apps e assegnare l'accesso completo per ignorare il ruolo e consentirle le autorizzazioni necessarie in Defender for Cloud Apps. Non è possibile sovrascrivere i ruoli di Microsoft Entra che garantiscono l'accesso completo (amministratore globale, amministratore della sicurezza e amministratore di Cloud App Security).

Aggiungere amministratori addizionali

È possibile aggiungere altri amministratori a Defender for Cloud Apps senza aggiungere utenti ai ruoli amministrativi Microsoft Entra. Per aggiungere altri amministratori, seguire questa procedura:

Importante

  • L'accesso alla pagina Gestisci accesso amministratore è disponibile per i membri dei gruppi Global Administrators, Security Administrators, Compliance Administrators, Compliance Data Administrators, Security Operators, Security Reader e Global Reader.
  • Per modificare la pagina Gestisci accesso amministratore e concedere ad altri utenti l'accesso a Defender for Cloud Apps, è necessario disporre almeno di un ruolo di amministratore della sicurezza.

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Questa strategia consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  1. Nel portale Microsoft Defender selezionare Autorizzazioni nel menu a sinistra.

  2. In Cloud Apps, scegli Ruoli.

    Menu Autorizzazioni.

  3. Selezionare +Aggiungi utente per aggiungere gli amministratori che devono avere accesso a Defender for Cloud Apps. Specificare un indirizzo di posta elettronica di un utente dall'interno dell'organizzazione.

    Nota

    Se si desidera aggiungere fornitori esterni di servizi gestiti di sicurezza (MSSP) come amministratori per Defender for Cloud Apps, assicurarsi innanzitutto di invitarli come ospiti nella propria organizzazione.

    Screenshot che mostra la finestra di dialogo aggiungi utente per aggiungere altri amministratori in Defender for Cloud Apps.

  4. Selezionare quindi l'elenco a discesa per impostare il tipo di ruolo dell'amministratore. Se si seleziona Amministratore app/istanza, selezionare l'app e l'istanza per cui l'amministratore deve avere le autorizzazioni.

    Nota

    Gli amministratori con accesso limitato che tentano di accedere a una pagina con restrizioni o di eseguire un'azione con restrizioni ricevono un errore che indica che non dispongono dell'autorizzazione per accedere alla pagina o eseguire l'azione.

  5. Selezionare Aggiungi amministratore.

Invitare amministratori esterni

Defender for Cloud Apps consente di invitare amministratori esterni (MSSP) come amministratori del servizio Defender for Cloud Apps dell'organizzazione (cliente MSSP). Per aggiungere gli MSSP, assicurati che Defender for Cloud Apps sia abilitato nel tenant degli MSSP, quindi aggiungili come utenti di collaborazione B2B di Microsoft Entra nel portale di Azure dei clienti degli MSSP. Dopo l'aggiunta, i provider di servizi mssp possono essere configurati come amministratori e assegnati a uno dei ruoli disponibili in Defender for Cloud Apps.

Aggiungere gli MSSP al servizio Defender for Cloud Apps del cliente MSSP

  1. Aggiungere gli MSSP come persone esterne all'organizzazione nella directory dei clienti MSSP seguendo i passaggi descritti in Aggiungere persone esterne all'organizzazione alla directory.
  2. Aggiungere gli MSSP e assegnare un ruolo di amministratore nel tenant MSSP di Defender for Cloud Apps seguendo i passaggi descritti in Aggiungere altri amministratori. Specificare lo stesso indirizzo di posta elettronica esterno usato per aggiungerli come guest nella directory dei clienti MSSP.

Accesso per provider di servizi condivisi al servizio Defender for Cloud Apps del cliente MSSP

Per impostazione predefinita, i provider del servizio di sicurezza gestito accedono al tenant Defender for Cloud Apps tramite l'URL seguente: https://security.microsoft.com.

I provider di servizi condivisi devono tuttavia accedere al portale di Microsoft Defender del cliente MSSP usando un URL specifico del tenant nel formato seguente: https://security.microsoft.com/?tid=<tenant_id>.

Per ottenere l'ID tenant del portale clienti MSSP e accedere all'URL specifico del tenant, completare questa procedura:

  1. Come provider di servizi di sicurezza gestiti (MSSP), accedi a Microsoft Entra ID con le tue credenziali.
  2. Passa alla directory del tenant del cliente MSSP.
  3. Selezionare Microsoft Entra ID>Proprietà. L'ID tenant del cliente MSSP si trova nel campo ID tenant .
  4. Accedere al portale del cliente MSSP sostituendo il <tenant_id> valore nell'URL seguente: https://security.microsoft.com/?tid=<tenant_id>.

Verifica delle attività degli amministratori

Defender for Cloud Apps consente di esportare un log delle attività di accesso dell'amministratore e un controllo delle visualizzazioni di un utente specifico o degli avvisi eseguiti come parte di un'indagine.

Per esportare un log, seguire questa procedura:

  1. Nel portale Microsoft Defender selezionare Autorizzazioni nel menu a sinistra.

  2. In Cloud Apps, scegli Ruoli.

  3. Nella pagina Amministrazione ruoli selezionare Esporta attività di amministrazione nell'angolo in alto a destra.

  4. Specificare l'intervallo di tempo necessario.

  5. Selezionare Esporta.

Passaggi successivi