Gerenciar acesso de administrador
O Microsoft Defender para Aplicativos de Nuvem oferece suporte ao controle de acesso baseado em função. Este artigo fornece instruções para configurar o acesso ao Defender para Aplicativos de Nuvem para os administradores. Para obter mais informações sobre como atribuir as funções de administrador, confira os artigos sobre o Microsoft Entra ID e o Microsoft 365.
Microsoft 365 e funções do Microsoft Entra com acesso ao Microsoft Defender para Aplicativos de Nuvem
Observação
- As funções do Microsoft 365 e do Microsoft Entra não estão listadas na página Gerenciar acesso de administrador do Defender para Aplicativos de Nuvem. Para atribuir funções no Microsoft 365 ou no Microsoft Entra ID, acesse as configurações RBAC relevantes desse serviço.
- O Defender para Aplicativos de Nuvem usa o Microsoft Entra ID para determinar a configuração de tempo limite de inatividade no nível de diretório do usuário. Se um usuário estiver configurado no Microsoft Entra ID para nunca sair quando inativo, a mesma configuração também será aplicada no Defender para Aplicativos de Nuvem.
Por padrão, as seguintes funções de administrador do Microsoft 365 e do Microsoft Entra ID têm acesso ao Defender para Aplicativos de Nuvem:
Administrador global e administrador da segurança: administradores com acesso completo têm permissões completas no Defender para Aplicativos de Nuvem. Eles podem adicionar administradores, políticas e configurações, fazer upload de logs e executar ações de governança, bem como acessar e gerenciar agentes do SIEM.
Administrador do Cloud App Security: permite acesso total e permissões no Defender para Aplicativos de Nuvem. Essa função concede permissões completas ao Defender para Aplicativos de Nuvem, como a função de administrador global do Microsoft Entra ID. No entanto, essa função tem como escopo o Defender para Aplicativos de Nuvem e não concederá permissões completas em outros produtos de segurança da Microsoft.
Administrador de conformidade: tem permissões somente leitura e pode gerenciar alertas. Não pode acessar as recomendações de segurança para plataformas de nuvem. Pode criar e modificar políticas de arquivo, permitir ações de governança de arquivo e exibir todos os relatórios internos em Gerenciamento de dados.
Administrador de dados de conformidade: tem permissões somente leitura, pode criar e modificar políticas de arquivos, permitir ações de governança de arquivos e exibir todos os relatórios de descoberta. Não pode acessar as recomendações de segurança para plataformas de nuvem.
Operador de segurança: tem permissões somente leitura e pode gerenciar alertas. Esses administradores não têm permissão para executar as seguintes ações:
- Criar políticas e editar as existentes
- Executar ações de controle
- Carregar logs de descoberta
- Proibir ou aprovar aplicativos de terceiros
- Acessar e exibir a página de configurações de intervalo de endereço IP
- Acessando e exibindo as páginas de configurações do sistema
- Acessar e exibir as configurações de Descoberta
- Acessar e exibir a página de Conectores de aplicativo
- Acessar e exibir o Log de controle
- Acessar e exibir a página Gerenciar relatórios de instantâneo
- Acessar e exibir agentes do SIEM
Leitor de segurança: tem permissões somente leitura. Esses administradores não têm permissão para executar as seguintes ações:
- Criar políticas e editar as existentes
- Executar ações de controle
- Carregar logs de descoberta
- Proibir ou aprovar aplicativos de terceiros
- Acessar e exibir a página de configurações de intervalo de endereço IP
- Acessando e exibindo as páginas de configurações do sistema
- Acessar e exibir as configurações de Descoberta
- Acessar e exibir a página de Conectores de aplicativo
- Acessar e exibir o Log de controle
- Acessar e exibir a página Gerenciar relatórios de instantâneo
- Acessar e exibir agentes do SIEM
Leitor global: tem acesso completo somente leitura a todos os aspectos do Microsoft Defender para Aplicativos de Nuvem. Não pode alterar nenhuma configuração ou executar ações.
Observação
Os recursos de governança de aplicativo são controlados apenas pelas funções do Microsoft Entra ID. Para obter mais informações, confira Funções de governança de aplicativos.
Funções e permissões
| Permissões | Administrador global | Administrador de Segurança | Administrador de conformidade | Administrador de dados de conformidade | Operador de Segurança | Leitor de segurança | Leitor global | Administrador do PBI | Administração do Cloud App Security |
|---|---|---|---|---|---|---|---|---|---|
| Ler alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Gerenciar alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| Ler aplicativos OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Executar ações de aplicativos OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Acessar aplicativos descobertos, catálogo de aplicativos de nuvem e outros dados de descoberta na nuvem | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Configurar conectores de API | ✔ | ✔ | ✔ | ✔ | |||||
| Executar ações de descoberta na nuvem | ✔ | ✔ | ✔ | ||||||
| Acessar dados de arquivos e políticas de arquivos | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Executar ações de arquivo | ✔ | ✔ | ✔ | ✔ | |||||
| Log de governança de acesso | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Executar ações de log de governança | ✔ | ✔ | ✔ | ✔ | |||||
| Acessar log de governança de descoberta com escopo | ✔ | ✔ | ✔ | ||||||
| Políticas de leitura | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Executar todas as ações de política | ✔ | ✔ | ✔ | ✔ | |||||
| Executar ações de política de arquivos | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| Executar ações de política OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Exibir gerenciamento de acesso do administrador | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Gerenciar privacidade de administradores e atividades | ✔ | ✔ | ✔ |
Funções de administrador internas no Defender para Aplicativos de Nuvem
As seguintes funções de administrador específicas podem ser configuradas no portal do Microsoft Defender, na área Permissões > Aplicativos de Nuvem > Funções:
Administrador global: tem acesso total semelhante à função de Administrador Global do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Administrador de conformidade: concede as mesmas permissões que a função de administrador de conformidade do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Leitor de segurança: concede as mesmas permissões que a função de leitor de segurança do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Operador de segurança: concede as mesmas permissões que a função de operador Microsoft Entra Security, mas apenas ao Defender para Aplicativos de Nuvem.
Administrador de aplicativo/instância: tem permissões completas ou somente leitura a todos os dados no Defender para Aplicativos de Nuvem relacionados exclusivamente ao aplicativo ou à instância específicos de um aplicativo selecionado. Por exemplo, você concede uma permissão de administrador de usuários à sua instância europeia do Box. O administrador verá apenas os dados relacionados à instância europeia do Box, sejam arquivos, atividades, políticas ou alertas:
- Página de atividades – somente atividades sobre o aplicativo específico
- Alertas: somente alertas relacionados ao aplicativo específico. Em alguns casos, dados de alerta relacionados a outro aplicativo se os dados estiverem correlacionados com o aplicativo específico. A visibilidade para dados de alerta relacionados a outro aplicativo é limitada e não há acesso a drill down para obter mais detalhes
- Políticas – pode exibir todas as políticas e, se receber permissões completas, editar ou criar somente as políticas relacionadas exclusivamente ao aplicativo ou à instância
- Página de contas – somente contas para a instância/o aplicativo específico
- Permissões de aplicativo – somente permissões para a instância/o aplicativo específico
- Página de arquivos – somente arquivos de instância/aplicativo específico
- Controle de Aplicativo de Acesso Condicional: sem permissões
- Atividade do descoberta Cloud Discovery: sem permissões
- Extensões de segurança: somente permissões para o token de API com permissões de usuário
- Ações de governança – somente para a instância/o aplicativo específico
- Recomendações de segurança para plataformas na nuvem – nenhuma permissão
- Intervalos de IP – nenhuma permissão
Administrador do grupo de usuários: tem permissões completas ou somente leitura para todos os dados no Defender para Aplicativos de Nuvem que lida exclusivamente com os grupos específicos atribuídos a eles. Por exemplo, se você atribuir permissões de administrador de usuário ao grupo "Alemanha – todos os usuários", o administrador poderá exibir e editar as informações no Defender para Aplicativos de Nuvem somente para esse grupo de usuários. O administrador do grupo de usuários tem o seguinte acesso:
Página de atividades – somente atividades relacionadas aos usuários do grupo
Alertas – somente alertas relacionados aos usuários do grupo Em alguns casos, dados de alerta relacionados a outro usuário se os dados estiverem correlacionados com os usuários do grupo. A visibilidade para dados de alerta relacionados a outros usuários é limitada e não há acesso a drill down para obter mais detalhes.
Políticas – pode exibir todas as políticas e, se receber permissões completas, editar ou criar somente as políticas relacionadas exclusivamente aos usuários do grupo
Página de contas – somente contas dos usuários específicos do grupo
Permissões de aplicativo: nenhuma permissão
Página de arquivos: nenhuma permissão
Controle de Aplicativo de Acesso Condicional: sem permissões
Atividade do descoberta Cloud Discovery: sem permissões
Extensões de segurança: somente permissões para o token de API com usuários do grupo
Ações de governança – somente para os usuários específicos do grupo
Recomendações de segurança para plataformas na nuvem – nenhuma permissão
Intervalos de IP – nenhuma permissão
Observação
- Para atribuir grupos a administradores de grupos de usuários, você deve primeiro importar grupos de usuários de aplicativos conectados.
- Você só pode atribuir permissões de administradores de grupos de usuários a grupos importados do Microsoft Entra.
Administrador global do Cloud Discovery: tem permissão para exibir e editar todos os dados e configurações do Cloud Discovery. O administrador global do Discovery tem o seguinte acesso:
- Configurações
- Configurações do sistema – somente exibição
- Configurações do Cloud Discovery – exibir e editar tudo (permissões de anonimização dependem se ele recebeu autorização durante a atribuição de função)
- Atividade do Cloud Discovery – todas as permissões
- Alertas – exibir e gerenciar apenas alertas relacionados ao relatório relevante do Cloud Discovery
- Políticas – pode exibir todas as políticas e editar ou criar somente as políticas do Cloud Discovery
- Página de atividades – nenhuma permissão
- Página de contas – nenhuma permissão
- Permissões de aplicativo: nenhuma permissão
- Página de arquivos: nenhuma permissão
- Controle de Aplicativo de Acesso Condicional: sem permissões
- Extensões de segurança – criar e excluir seus próprios tokens de API
- Ações de governança – apenas ações relacionadas ao Cloud Discovery
- Recomendações de segurança para plataformas na nuvem – nenhuma permissão
- Intervalos de IP – nenhuma permissão
- Configurações
Administrador de relatório do Cloud Discovery:
- Configurações
- Configurações do sistema – somente exibição
- Configurações do Cloud Discovery: exibir tudo (permissões de anonimização dependem da autorização durante a atribuição de função)
- Atividade do Cloud Discovery – apenas permissão de leitura
- Alertas – exibir apenas alertas relacionados ao relatório relevante do Cloud Discovery
- Políticas – pode exibir todas as políticas e criar apenas políticas do Cloud Discovery, sem a possibilidade de governar o aplicativo (marcação, sanção e exclusão de sanção)
- Página de atividades – nenhuma permissão
- Página de contas – nenhuma permissão
- Permissões de aplicativo: nenhuma permissão
- Página de arquivos: nenhuma permissão
- Controle de Aplicativo de Acesso Condicional: sem permissões
- Extensões de segurança – criar e excluir seus próprios tokens de API
- Ações de governança – exibir apenas as ações relacionadas ao relatório relevante do Cloud Discovery
- Recomendações de segurança para plataformas na nuvem – nenhuma permissão
- Intervalos de IP – nenhuma permissão
- Configurações
Observação
As funções de administrador internas do Defender para Aplicativos de Nuvem fornecem apenas permissões de acesso ao Defender para Aplicativos de Nuvem.
Substituir permissões de administrador
Se quiser substituir uma permissão de administrador no Microsoft Entra ID ou no Microsoft 365, faça isso manualmente adicionando o usuário ao Defender para Aplicativos de Nuvem e atribuindo permissões de usuário. Por exemplo, se quiser atribuir a Stephanie, uma leitor de segurança no Microsoft Entra ID, para obter o Acesso completo no Defender para Aplicativos de Nuvem, adicione-a manualmente ao Defender para Aplicativos de Nuvem e atribua a ela o Acesso completo para substituir sua função e conceder a ela as permissões necessárias no Defender para Aplicativos de Nuvem. Observe que não é possível substituir as funções do Microsoft Entra que concedem acesso completo (administrador global, administrador da segurança e administrador da segurança de aplicativo na nuvem).
Adicionar administradores adicionais
Você pode adicionar administradores adicionais ao Defender para Aplicativos de Nuvem sem adicionar usuários às funções administrativas do Microsoft Entra. Para adicionar outros administradores, realize as seguintes etapas:
Importante
- O acesso à página Gerenciar acesso de administrador está disponível à membros dos grupos administradores globais, administradores da segurança, administradores de conformidade, administradores de dados de conformidade, operadores de segurança, leitores de segurança e leitores globais.
- Somente os administradores globais ou administradores da segurança do Microsoft Entra podem editar a página Gerenciar acesso de administrador e conceder a outros usuários acesso ao Defender para Aplicativos de Nuvem.
No portal do Microsoft Defender, no menu à esquerda, selecione Permissões.
Em Aplicativos de Nuvem, escolha Funções.
Selecione +Adicionar usuário para adicionar os administradores que devem ter acesso ao Defender para Aplicativos de Nuvem. Forneça um endereço de email de um usuário de dentro da sua organização.
Observação
Se você quiser adicionar MSSPs (Managed Security Service Providers, provedores de serviços de segurança gerenciados) externos como administradores do Defender para Aplicativos de Nuvem, primeiro convide-os como convidado para sua organização.
Em seguida, selecione a lista suspensa para definir o tipo de função do administrador: Administrador global, Leitor de segurança, Administrador de conformidade, Administrador de aplicativo/instância, Administrador de grupo de usuários, Administrador global do Cloud Discovery ou Administrador de relatório do Cloud Discovery. Se você selecionar Administrador de aplicativo/instância, escolha o aplicativo e a instância para os quais o administrador terá permissões.
Observação
Qualquer administrador, cujo acesso é limitado, que tentar acessar uma página restrita ou executar uma ação restrita receberá um erro indicando que ele não tem permissão para acessar a página ou executar a ação.
Selecione Adicionar administrador.
Convidar administradores externos
O Defender para Aplicativos de Nuvem permite que você convide administradores externos (MSSPs) como administradores do serviço Defender para Aplicativos de Nuvem da sua organização (cliente MSSP). Para adicionar MSSPs, verifique se o Defender para Aplicativos de Nuvem está habilitado no locatário dos MSSPs e adicione-os como usuários de colaboração B2B do Microsoft Entra no portal do Azure de clientes MSSPs. Depois de adicionados, os MSSPs podem ser configurados como administradores e receber uma das funções disponíveis no Defender para Aplicativos de Nuvem.
Para adicionar MSSPs ao serviço do Defender para Aplicativos de Nuvem de cliente MSSP
- Adicione MSSPs como convidado no diretório do cliente MSSP usando as etapas em Adicionar usuários convidados ao diretório.
- Adicione MSSPs e atribua uma função de administrador no portal do Defender para Aplicativos de Nuvem do cliente do MSSP usando as etapas em Adicionar administradores adicionais. Forneça o mesmo endereço de email externo usado ao adicioná-los como convidados no diretório do cliente MSSP.
Acesso para MSSPs ao serviço do Defender para Aplicativos de Nuvem de cliente MSSP
Por padrão, os MSSPs acessam o locatário do Defender para Aplicativos de Nuvem por meio da seguinte URL: https://security.microsoft.com.
No entanto, os MSSPs precisarão acessar o portal do Microsoft Defender do cliente MSSP usando uma URL específica do locatário no seguinte formato: https://security.microsoft.com/?tid=<tenant_id>.
Os MSSPs podem usar as etapas a seguir para obter a ID do locatário do portal do cliente MSSP e usá-la para acessar a URL específica do locatário:
Como MSSP, inicie a sessão no Microsoft Entra ID com suas credenciais.
Mude o diretório para o locatário do cliente MSSP.
Selecione Microsoft Entra ID>Propriedades. Você encontrará a ID do locatário do cliente MSSP no campo ID do locatário.
Acesse o portal do cliente MSSP substituindo o valor de
customer_tenant_idna seguinte URL:https://security.microsoft.com/?tid=<tenant_id>.
Auditoria de atividades do administrador
O Defender para Aplicativos de Nuvem permite exportar um registro de atividades de login do administrador e uma auditoria de exibições de um usuário específico ou alertas realizados como parte de uma investigação.
Para exportar um log, execute as etapas a seguir.
No portal do Microsoft Defender, no menu à esquerda, selecione Permissões.
Em Aplicativos de Nuvem, escolha Funções.
Na página Funções de administrador, no canto superior direito, selecione Exportar atividades de administrador.
Especifique o intervalo de tempo necessário.
Selecione Exportar.