Gestire l'accesso di amministratore

  • Articolo

Microsoft Defender per il cloud App supporta il controllo degli accessi in base al ruolo. Questo articolo fornisce istruzioni per impostare l'accesso alle app di Defender per il cloud per gli amministratori. Per altre informazioni sull'assegnazione dei ruoli di amministratore, vedere gli articoli per Microsoft Entra ID e Microsoft 365.

Ruoli di Microsoft 365 e Microsoft Entra con accesso a Defender per il cloud Apps

Nota

  • I ruoli di Microsoft 365 e Microsoft Entra non sono elencati nella pagina Defender per il cloud Apps Manage admin access (Gestire l'accesso amministratore). Per assegnare ruoli in Microsoft 365 o Microsoft Entra ID, passare alle impostazioni di controllo degli accessi in base al ruolo pertinenti per tale servizio.
  • Defender per il cloud Apps usa l'ID Microsoft Entra per determinare l'impostazione di timeout di inattività a livello di directory dell'utente. Se un utente è configurato in Microsoft Entra ID per non disconnettersi mai quando non è attivo, la stessa impostazione verrà applicata anche in Defender per il cloud Apps.

Per impostazione predefinita, i seguenti ruoli di amministratore di Microsoft 365 e Microsoft Entra ID hanno accesso a Defender per il cloud Apps:

  • Amministratore globale e Amministratore della sicurezza: Amministrazione istrator con accesso completo hanno autorizzazioni complete in Defender per il cloud App. Possono aggiungere amministratori, aggiungere criteri e impostazioni, caricare i log ed eseguire azioni di governance, accedere e gestire gli agenti SIEM.

  • Amministratore di Cloud App Security: consente l'accesso completo e le autorizzazioni nelle app Defender per il cloud. Questo ruolo concede le autorizzazioni complete per le app di Defender per il cloud, ad esempio il ruolo amministratore globale di Microsoft Entra ID. Tuttavia, questo ruolo ha come ambito Defender per il cloud App e non concede autorizzazioni complete per altri prodotti di sicurezza Microsoft.

  • Amministratore di conformità: ha autorizzazioni di sola lettura e può gestire gli avvisi. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud. Può creare e modificare i criteri di file, consentire le azioni di governance sui file e visualizzare tutti i report incorporati in Gestione dati.

  • Amministratore dei dati di conformità: dispone di autorizzazioni di sola lettura, può creare e modificare i criteri dei file, consentire azioni di governance dei file e visualizzare tutti i report di individuazione. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud.

  • Operatore di sicurezza: dispone di autorizzazioni di sola lettura e può gestire gli avvisi. Questi amministratori non possono eseguire le azioni seguenti:

    • Creare criteri o modificare e cambiare quelli esistenti
    • Eseguire azioni di governance
    • Caricare i log di individuazione
    • Vietare o approvare app di terze parti
    • Accedere e visualizzare la pagina delle impostazioni dell'intervallo di indirizzi IP
    • Accesso e visualizzazione di qualsiasi pagina delle impostazioni di sistema
    • Accedere e visualizzare le impostazioni di individuazione
    • Accedere e visualizzare la pagina Connettori app
    • Accedere e visualizzare il log di governance
    • Accedere e visualizzare la pagina di gestione dei report snapshot
    • Accesso e visualizzazione degli agenti SIEM

  • Lettore di sicurezza: dispone di autorizzazioni di sola lettura. Questi amministratori non possono eseguire le azioni seguenti:

    • Creare criteri o modificare e cambiare quelli esistenti
    • Eseguire azioni di governance
    • Caricare i log di individuazione
    • Vietare o approvare app di terze parti
    • Accedere e visualizzare la pagina delle impostazioni dell'intervallo di indirizzi IP
    • Accesso e visualizzazione di qualsiasi pagina delle impostazioni di sistema
    • Accedere e visualizzare le impostazioni di individuazione
    • Accedere e visualizzare la pagina Connettori app
    • Accedere e visualizzare il log di governance
    • Accedere e visualizzare la pagina di gestione dei report snapshot
    • Accesso e visualizzazione degli agenti SIEM

  • Lettore globale: ha accesso di sola lettura completo a tutti gli aspetti delle app di Defender per il cloud. Non è possibile modificare le impostazioni o eseguire alcuna azione.

Nota

Le funzionalità di governance delle app sono controllate solo dai ruoli Microsoft Entra ID. Per altre informazioni, vedere Ruoli di governance delle app.

Ruoli e autorizzazioni

Autorizzazioni Amministratore globale Amministrazione della protezione Amministratore conformità Amministrazione dei dati di conformità Operatore per la sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Ruolo con autorizzazioni di lettura globali Amministrazione PBI Amministratore di Cloud App Security
Lettura degli avvisi
Gestire gli avvisi
Leggere le applicazioni OAuth
Eseguire azioni dell'applicazione OAuth
Accedere alle app individuate, al catalogo di app cloud e ad altri dati di Cloud Discovery
Configurare i connettori API
Eseguire azioni di cloud discovery
Accedere ai file di dati e ai criteri dei file
Eseguire azioni file
Log di governance dell'accesso
Eseguire azioni del log di governance
Accedere al log di governance dell'individuazione con ambito
Leggere i criteri
Eseguire tutte le azioni dei criteri
Eseguire azioni dei criteri file
Eseguire azioni dei criteri OAuth
Visualizzare l'accesso amministratore
Gestire gli amministratori e la privacy delle attività

Ruoli di amministratore predefiniti nelle app di Defender per il cloud

I ruoli di amministratore specifici seguenti possono essere configurati nel portale di Microsoft Defender nell'area Autorizzazioni > ruoli app > cloud:

  • Amministratore globale: ha accesso completo simile al ruolo Microsoft Entra Global Amministrazione istrator, ma solo per Defender per il cloud Apps.

  • Amministratore della conformità: concede le stesse autorizzazioni del ruolo di amministratore di Microsoft Entra Compliance, ma solo per Defender per il cloud App.

  • Ruolo con autorizzazioni di lettura per la sicurezza: concede le stesse autorizzazioni del ruolo lettore Microsoft Entra Security, ma solo per le app di Defender per il cloud.

  • Operatore di sicurezza: concede le stesse autorizzazioni del ruolo dell'operatore Microsoft Entra Security, ma solo per Defender per il cloud Apps.

  • Amministratore app/istanza: dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender per il cloud App che gestisce esclusivamente l'app o l'istanza specifica di un'app selezionata. Assegnare ad esempio l'autorizzazione di amministratore utenti all'istanza di Box European. L'amministratore visualizzerà solo i dati correlati all'istanza di Box European, ovvero file, attività, criteri o avvisi:

    • Pagina delle attività: solo le attività relative all'app specifica
    • Avvisi: solo gli avvisi relativi all'app specifica. In alcuni casi, i dati degli avvisi correlati a un'altra app se i dati sono correlati all'app specifica. La visibilità dei dati degli avvisi correlati a un'altra app è limitata e non è possibile accedere al drill-down per altri dettagli
    • Criteri: può visualizzare tutti i criteri e, se assegnate autorizzazioni complete, può modificare o creare solo criteri che gestiscono esclusivamente l'app o l'istanza
    • Pagina degli account: solo gli account per l'app/istanza specifica
    • Autorizzazioni dell'app: solo le autorizzazioni per l'app/istanza specifica
    • Pagina dei file: solo i file dell'app/istanza specifica
    • Controllo delle app con l'accesso condizionale: nessuna autorizzazione
    • Attività di Cloud Discovery: nessuna autorizzazione
    • Estensioni di sicurezza : solo le autorizzazioni per il token API con autorizzazioni utente
    • Azioni di governance: solo per l'app/istanza specifica
    • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
    • Intervalli IP - Nessuna autorizzazione

  • Amministratore del gruppo utenti: dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender per il cloud App che gestisce esclusivamente i gruppi specifici assegnati. Ad esempio, se si assegnano autorizzazioni di amministratore utente al gruppo "Germania - tutti gli utenti", l'amministratore può visualizzare e modificare le informazioni in Defender per il cloud App solo per quel gruppo di utenti. L'amministratore del gruppo utenti ha l'accesso seguente:

    • Pagina delle attività: solo le attività relative agli utenti nel gruppo

    • Avvisi: solo gli avvisi relativi agli utenti nel gruppo. In alcuni casi, i dati degli avvisi correlati a un altro utente se i dati sono correlati agli utenti del gruppo. La visibilità dei dati degli avvisi correlati a un altro utente è limitata e non è possibile accedere al drill-down per altri dettagli.

    • Criteri: può visualizzare tutti i criteri e, se assegnate autorizzazioni complete, può modificare o creare solo criteri che gestiscono esclusivamente gli utenti nel gruppo

    • Pagina degli account: solo gli account per gli utenti specifici nel gruppo

    • Autorizzazioni delle app: nessuna autorizzazione

    • Pagina dei file: nessuna autorizzazione

    • Controllo delle app con l'accesso condizionale: nessuna autorizzazione

    • Attività di Cloud Discovery: nessuna autorizzazione

    • Estensioni di sicurezza : solo le autorizzazioni per il token API con gli utenti nel gruppo

    • Azioni di governance: solo per gli utenti specifici nel gruppo

    • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione

    • Intervalli IP - Nessuna autorizzazione

      Nota

      • Per assegnare gruppi agli amministratori del gruppo di utenti, è prima necessario importare gruppi di utenti dalle app connesse.
      • È possibile assegnare autorizzazioni di amministratore del gruppo di utenti solo ai gruppi di Microsoft Entra importati.

  • Amministratore globale di Cloud Discovery: dispone dell'autorizzazione per visualizzare e modificare tutte le impostazioni e i dati di Cloud Discovery. L'amministratore di Global Discovery ha l'accesso seguente:

    • Impostazioni
      • Impostazioni di sistema: solo visualizzazione
      • Impostazioni di Cloud Discovery: visualizzazione e modifica di tutti i dati (le autorizzazioni di anonimizzazione variano a seconda che questa sia stata consentita durante l'assegnazione di ruolo)
    • Attività di Cloud Discovery: autorizzazioni complete
    • Avvisi: visualizzare e gestire solo gli avvisi correlati al report di Cloud Discovery pertinente
    • Criteri: può visualizzare tutti i criteri e modificare o creare solo i criteri di Cloud Discovery
    • Pagina delle attività: nessuna autorizzazione
    • Pagina degli account: nessuna autorizzazione
    • Autorizzazioni delle app: nessuna autorizzazione
    • Pagina dei file: nessuna autorizzazione
    • Controllo delle app con l'accesso condizionale: nessuna autorizzazione
    • Estensioni di sicurezza - Creazione ed eliminazione di token API personalizzati
    • Azioni di governance: solo azioni correlate a Cloud Discovery
    • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
    • Intervalli IP - Nessuna autorizzazione

  • Amministratore del report di Cloud Discovery:

    • Impostazioni
      • Impostazioni di sistema: solo visualizzazione
      • Impostazioni di Cloud Discovery : visualizzare tutte le autorizzazioni (le autorizzazioni di anonimizzazione dipendono dal fatto che sia stato consentito durante l'assegnazione di ruolo)
    • Attività di Cloud Discovery : solo autorizzazioni di lettura
    • Avvisi: visualizzare solo gli avvisi correlati al report di Cloud Discovery pertinente
    • Criteri: può visualizzare tutti i criteri e può creare solo criteri di Cloud Discovery, senza la possibilità di gestire l'applicazione (assegnazione di tag, approvazione e annullamento dell'approvazione)
    • Pagina delle attività: nessuna autorizzazione
    • Pagina degli account: nessuna autorizzazione
    • Autorizzazioni delle app: nessuna autorizzazione
    • Pagina dei file: nessuna autorizzazione
    • Controllo delle app con l'accesso condizionale: nessuna autorizzazione
    • Estensioni di sicurezza - Creazione ed eliminazione di token API personalizzati
    • Azioni di governance: visualizzare solo le azioni correlate al report di Cloud Discovery pertinente
    • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
    • Intervalli IP - Nessuna autorizzazione

Nota

I ruoli di amministratore delle app di Defender per il cloud predefiniti forniscono solo le autorizzazioni di accesso alle app di Defender per il cloud.

Eseguire l'override delle autorizzazioni di amministratore

Se si vuole eseguire l'override dell'autorizzazione di un amministratore da Microsoft Entra ID o Microsoft 365, è possibile farlo aggiungendo manualmente l'utente a Defender per il cloud Apps e assegnando le autorizzazioni utente. Ad esempio, se si vuole assegnare Stephanie, che è un lettore di sicurezza in Microsoft Entra ID per avere accesso completo in Defender per il cloud Apps, è possibile aggiungerla manualmente a Defender per il cloud Apps e assegnare il suo accesso completo per ignorare il suo ruolo e consentire le autorizzazioni necessarie in Defender per il cloud Applicazioni. Si noti che non è possibile eseguire l'override dei ruoli di Microsoft Entra che concedono l'accesso completo (amministratore globale, amministratore della sicurezza e amministratore di Cloud App Security).

Aggiungere amministratori aggiuntivi

È possibile aggiungere altri amministratori alle app di Defender per il cloud senza aggiungere utenti ai ruoli amministrativi di Microsoft Entra. Per aggiungere altri amministratori, seguire questa procedura:

Importante

  • L'accesso alla pagina Gestisci accesso amministratore è disponibile per i membri dei gruppi Global Amministrazione istrators, Security Amministrazione istrators, Compliance Amministrazione istrators, Compliance Data Amministrazione istrators, Security Operators, Security Reader e Lettori globali.
  • Solo Microsoft Entra Global Amministrazione istrators o Security Amministrazione istrators possono modificare la pagina Gestisci accesso amministratore e concedere ad altri utenti l'accesso a Defender per il cloud Apps.

  1. Nel menu a sinistra del portale di Microsoft Defender selezionare Autorizzazioni.

  2. In App cloud scegliere Ruoli.

Permissions menu.

  1. Selezionare +Aggiungi utente per aggiungere gli amministratori che devono avere accesso a Defender per il cloud App. Specificare un indirizzo di posta elettronica di un utente dall'interno dell'organizzazione.

    Nota

    Se si vuole aggiungere provider di servizi di sicurezza gestiti esterni come amministratori per le app di Defender per il cloud, assicurarsi di invitarli prima come guest all'organizzazione.

    add admins.

  2. Selezionare quindi l'elenco a discesa per impostare il tipo di ruolo di amministratore, amministratore globale, lettore di sicurezza, amministratore conformità, amministratore app/istanza, amministratore del gruppo di utenti, amministratore globale di Cloud Discovery o amministratore del report di Cloud Discovery. Se si seleziona Amministratore app/istanza, selezionare l'app e l'istanza per cui l'amministratore ha le autorizzazioni.

    Nota

    Gli amministratori con accesso limitato che tentano di accedere a una pagina con accesso limitato o di eseguire un'azione soggetta a restrizioni riceveranno un messaggio di errore che segnala la mancanza delle autorizzazioni necessarie per accedere alla pagina o per eseguire l'azione.

  3. Selezionare Aggiungi amministratore.

Invitare amministratori esterni

Defender per il cloud App consente di invitare amministratori esterni (MSSP) come amministratori del servizio app Defender per il cloud (cliente MSSP) dell'organizzazione. Per aggiungere MSSP, assicurarsi che Defender per il cloud Apps sia abilitato nel tenant MSSPs e quindi aggiungerli come utenti di Collaborazione B2B Di Microsoft Entra nei clienti portale di Azure ms. Dopo l'aggiunta, i provider di servizi di sicurezza possono essere configurati come amministratori e assegnati uno dei ruoli disponibili in Defender per il cloud App.

Per aggiungere MSSP al servizio mssp Defender per il cloud app

  1. Aggiungere MSSP come guest nella directory del cliente MSSP seguendo la procedura descritta in Aggiungere utenti guest alla directory.
  2. Aggiungere mssp e assegnare un ruolo di amministratore nel portale mssp Defender per il cloud app usando la procedura descritta in Aggiungere altri amministratori. Specificare lo stesso indirizzo di posta elettronica esterno usato per aggiungerli come guest nella directory del cliente MSSP.

Accesso per i provider di servizi gestito al servizio mssp Defender per il cloud app

Per impostazione predefinita, i provider di servizi gestito accedono al tenant delle app Defender per il cloud tramite l'URL seguente: https://security.microsoft.com.

Tuttavia, gli MSSP dovranno accedere al portale Microsoft Defender del cliente MSSP usando un URL specifico del tenant nel formato seguente: https://security.microsoft.com/?tid=<tenant_id>.

I provider di servizi gestito possono usare la procedura seguente per ottenere l'ID tenant del portale del cliente MSSP e quindi usare l'ID per accedere all'URL specifico del tenant:

  1. Come MSSP, accedere a Microsoft Entra ID con le credenziali.

  2. Passare alla directory del tenant del cliente MSSP.

  3. Selezionare Proprietà>Microsoft Entra ID. L'ID tenant del cliente MSSP è disponibile nel campo ID tenant.

  4. Accedere al portale dei clienti MSSP sostituendo il customer_tenant_id valore nell'URL seguente: https://security.microsoft.com/?tid=<tenant_id>.

Amministrazione controllo delle attività

Defender per il cloud App consente di esportare un log delle attività di accesso dell'amministratore e un controllo delle visualizzazioni di un utente o di avvisi specifici eseguiti come parte di un'indagine.

Per esportare un log, seguire questa procedura:

  1. Nel menu a sinistra del portale di Microsoft Defender selezionare Autorizzazioni.

  2. In App cloud scegliere Ruoli.

  3. Nella pagina Amministrazione ruoli selezionare Esporta attività di amministrazione nell'angolo in alto a destra.

  4. Specificare l'intervallo di tempo necessario.

  5. Selezionare Esporta.

Passaggi successivi

Configurare Cloud Discovery