Gerenciar acesso de administrador

  • Artigo

O Microsoft Defender for Cloud Apps oferece suporte ao controle de acesso baseado em função. Este artigo fornece instruções para definir o acesso ao Defender for Cloud Apps para seus administradores. Para obter mais informações sobre como atribuir funções de administrador, consulte os artigos para Microsoft Entra ID e Microsoft 365.

Funções Microsoft 365 e Microsoft Entra com acesso ao Defender for Cloud Apps

Nota

  • As funções Microsoft 365 e Microsoft Entra não estão listadas na página Defender for Cloud Apps Manage admin access . Para atribuir funções no Microsoft 365 ou no Microsoft Entra ID, vá para as configurações RBAC relevantes para esse serviço.
  • O Defender for Cloud Apps usa o Microsoft Entra ID para determinar a configuração de tempo limite de inatividade no nível de diretório do usuário. Se um usuário estiver configurado no Microsoft Entra ID para nunca sair quando estiver inativo, a mesma configuração também será aplicada no Defender for Cloud Apps.

Por padrão, as seguintes funções de administrador do Microsoft 365 e do Microsoft Entra ID têm acesso ao Defender for Cloud Apps:

  • Administrador global e administrador de segurança: os administradores com acesso total têm permissões totais no Defender for Cloud Apps. Eles podem adicionar administradores, adicionar políticas e configurações, carregar logs e executar ações de governança, acessar e gerenciar agentes SIEM.

  • Administrador do Cloud App Security: permite acesso total e permissões no Defender for Cloud Apps. Essa função concede permissões totais ao Defender for Cloud Apps, como a função de administrador global do Microsoft Entra ID. No entanto, essa função tem como escopo o Defender for Cloud Apps e não concede permissões totais em outros produtos de segurança da Microsoft.

  • Administrador de conformidade: tem permissões somente leitura e pode gerenciar alertas. Não é possível acessar as recomendações de segurança para plataformas de nuvem. Pode criar e modificar políticas de arquivos, permitir ações de governança de arquivos e exibir todos os relatórios internos em Gerenciamento de Dados.

  • Administrador de dados de conformidade: tem permissões somente leitura, pode criar e modificar políticas de arquivos, permitir ações de governança de arquivos e exibir todos os relatórios de descoberta. Não é possível acessar as recomendações de segurança para plataformas de nuvem.

  • Operador de segurança: tem permissões somente leitura e pode gerenciar alertas. Esses administradores estão impedidos de realizar as seguintes ações:

    • Criar políticas ou editar e alterar as políticas existentes
    • Realizar quaisquer ações de governação
    • Carregar registos de deteção
    • Banir ou aprovar aplicações de terceiros
    • Aceder e ver a página de definições do intervalo de endereços IP
    • Aceder e visualizar quaisquer páginas de definições do sistema
    • Aceder e visualizar as definições de Deteção
    • Aceder e visualizar a página Conectores de aplicações
    • Aceder e ver o Registo de governação
    • Aceder e ver a página Gerir relatórios instantâneos
    • Acesso e visualização de agentes SIEM

  • Leitor de segurança: tem permissões somente leitura. Esses administradores estão impedidos de realizar as seguintes ações:

    • Criar políticas ou editar e alterar as políticas existentes
    • Realizar quaisquer ações de governação
    • Carregar registos de deteção
    • Banir ou aprovar aplicações de terceiros
    • Aceder e ver a página de definições do intervalo de endereços IP
    • Aceder e visualizar quaisquer páginas de definições do sistema
    • Aceder e visualizar as definições de Deteção
    • Aceder e visualizar a página Conectores de aplicações
    • Aceder e ver o Registo de governação
    • Aceder e ver a página Gerir relatórios instantâneos
    • Acesso e visualização de agentes SIEM

  • Leitor global: tem acesso total somente leitura a todos os aspetos do Defender for Cloud Apps. Não é possível alterar nenhuma configuração ou realizar nenhuma ação.

Nota

Os recursos de governança de aplicativos são controlados apenas por funções de ID do Microsoft Entra. Para obter mais informações, consulte Funções de governança de aplicativos.

Funções e permissões

Permissões Admin Global Administrador de Segurança Administrador de Conformidade Administrador de dados de conformidade Operador de Segurança Leitor de Segurança Leitor Global Administrador PBI Administrador do Cloud App Security
Ler alertas
Gerir alertas
Ler aplicativos OAuth
Executar ações do aplicativo OAuth
Acesse aplicativos descobertos, o catálogo de aplicativos na nuvem e outros dados de descoberta na nuvem
Configurar conectores de API
Executar ações de descoberta na nuvem
Acessar dados de arquivos e políticas de arquivos
Executar ações de arquivo
Log de governança de acesso
Executar ações de log de governança
Acessar o log de governança de descoberta com escopo
Ler políticas
Executar todas as ações de política
Executar ações de política de arquivos
Executar ações de política OAuth
Ver gerir o acesso de administrador
Gerenciar administradores e privacidade de atividades

Funções de administrador incorporadas no Defender for Cloud Apps

As seguintes funções de administrador específicas podem ser configuradas no portal do Microsoft Defender, na área Funções de Aplicativos de Nuvem de Permissões>:>

  • Administrador global: tem acesso total semelhante à função de Administrador Global do Microsoft Entra, mas apenas ao Defender for Cloud Apps.

  • Administrador de conformidade: concede as mesmas permissões que a função de administrador de conformidade do Microsoft Entra, mas apenas ao Defender for Cloud Apps.

  • Leitor de segurança: concede as mesmas permissões que a função de leitor de segurança do Microsoft Entra, mas apenas ao Defender for Cloud Apps.

  • Operador de segurança: concede as mesmas permissões que a função de operador de segurança do Microsoft Entra, mas apenas ao Defender for Cloud Apps.

  • Administrador de aplicativo/instância: tem permissões completas ou somente leitura para todos os dados no Defender for Cloud Apps que lidam exclusivamente com o aplicativo ou instância específica de um aplicativo selecionado. Por exemplo, você concede a um usuário permissão de administrador para sua instância do Box Europe. O administrador verá apenas os dados relacionados à instância do Box Europe, sejam arquivos, atividades, políticas ou alertas:

    • Página Atividades - Apenas atividades sobre o aplicativo específico
    • Alertas - Apenas alertas relacionados com a aplicação específica. Em alguns casos, alerte os dados relacionados a outro aplicativo se os dados estiverem correlacionados com o aplicativo específico. A visibilidade para alertar dados relacionados a outro aplicativo é limitada e não há acesso para detalhar para obter mais detalhes
    • Políticas - Pode visualizar todas as políticas e, se tiver permissões completas, pode editar ou criar apenas políticas que lidam exclusivamente com o aplicativo/instância
    • Página Contas - Apenas contas para a aplicação/instância específica
    • Permissões do aplicativo - Somente permissões para o aplicativo/instância específico
    • Página Arquivos - Somente arquivos do aplicativo/instância específico
    • Controle de Aplicativo de Acesso Condicional - Sem permissões
    • Atividade do Cloud Discovery - Sem permissões
    • Extensões de segurança - Somente permissões para token de API com permissões de usuário
    • Ações de governança - Somente para o aplicativo/instância específico
    • Recomendações de segurança para plataformas na nuvem - Sem permissões
    • Intervalos de IP - Sem permissões

  • Administrador do grupo de usuários: tem permissões completas ou somente leitura para todos os dados no Defender for Cloud Apps que lidam exclusivamente com os grupos específicos atribuídos a eles. Por exemplo, se você atribuir permissões de administrador a um usuário ao grupo "Alemanha - todos os usuários", o administrador poderá visualizar e editar informações no Defender for Cloud Apps somente para esse grupo de usuários. O administrador do grupo de usuários tem o seguinte acesso:

    • Página Atividades - Apenas atividades sobre os usuários do grupo

    • Alertas - Apenas alertas relacionados com os utilizadores do grupo. Em alguns casos, alerte os dados relacionados a outro usuário se os dados estiverem correlacionados com os usuários do grupo. A visibilidade para alertar dados relacionados a outros usuários é limitada e não há acesso para detalhar para obter mais detalhes.

    • Políticas - Pode ver todas as políticas e, se lhe forem atribuídas permissões completas, pode editar ou criar apenas políticas que lidam exclusivamente com utilizadores no grupo

    • Página Contas - Apenas contas para utilizadores específicos no grupo

    • Permissões do aplicativo – Sem permissões

    • Página Arquivos – Sem permissões

    • Controle de Aplicativo de Acesso Condicional - Sem permissões

    • Atividade do Cloud Discovery - Sem permissões

    • Extensões de segurança - Somente permissões para token de API com usuários no grupo

    • Ações de governança - Apenas para os usuários específicos do grupo

    • Recomendações de segurança para plataformas na nuvem - Sem permissões

    • Intervalos de IP - Sem permissões

      Nota

      • Para atribuir grupos a administradores de grupos de usuários, você deve primeiro importar grupos de usuários de aplicativos conectados.
      • Você só pode atribuir permissões de administradores de grupos de usuários a grupos importados do Microsoft Entra.

  • Administrador global do Cloud Discovery: tem permissão para visualizar e editar todas as configurações e dados do Cloud Discovery. O administrador do Global Discovery tem o seguinte acesso:

    • Configurações
      • Configurações do sistema - Somente visualização
      • Configurações do Cloud Discovery - Visualize e edite tudo (as permissões de anonimização dependem se foram permitidas durante a atribuição de função)
    • Atividade do Cloud Discovery - permissões completas
    • Alertas - visualize e gerencie apenas alertas relacionados ao relatório relevante do Cloud Discovery
    • Políticas - Pode visualizar todas as políticas e pode editar ou criar apenas políticas do Cloud Discovery
    • Página Atividades - Sem permissões
    • Página Contas - Sem permissões
    • Permissões do aplicativo – Sem permissões
    • Página Arquivos – Sem permissões
    • Controle de Aplicativo de Acesso Condicional - Sem permissões
    • Extensões de segurança - Criando e excluindo seus próprios tokens de API
    • Ações de governança - Somente ações relacionadas ao Cloud Discovery
    • Recomendações de segurança para plataformas na nuvem - Sem permissões
    • Intervalos de IP - Sem permissões

  • Administrador do relatório Cloud Discovery:

    • Configurações
      • Configurações do sistema - Somente visualização
      • Configurações do Cloud Discovery - Exibir tudo (as permissões de anonimização dependem se foram permitidas durante a atribuição de função)
    • Atividade do Cloud Discovery - somente permissões de leitura
    • Alertas – exiba apenas alertas relacionados ao relatório relevante do Cloud Discovery
    • Políticas - Pode visualizar todas as políticas e pode criar apenas políticas de Cloud Discovery, sem a possibilidade de governar a aplicação (marcação, sanção e não sancionado)
    • Página Atividades - Sem permissões
    • Página Contas - Sem permissões
    • Permissões do aplicativo – Sem permissões
    • Página Arquivos – Sem permissões
    • Controle de Aplicativo de Acesso Condicional - Sem permissões
    • Extensões de segurança - Criando e excluindo seus próprios tokens de API
    • Ações de governança – exiba apenas ações relacionadas ao relatório relevante do Cloud Discovery
    • Recomendações de segurança para plataformas na nuvem - Sem permissões
    • Intervalos de IP - Sem permissões

Nota

As funções de administrador integradas do Defender for Cloud Apps fornecem apenas permissões de acesso ao Defender for Cloud Apps.

Substituir permissões de administrador

Se quiser substituir a permissão de um administrador do Microsoft Entra ID ou do Microsoft 365, você pode fazer isso adicionando manualmente o usuário ao Defender for Cloud Apps e atribuindo as permissões do usuário. Por exemplo, se você quiser atribuir Stephanie, que é uma leitora de segurança no Microsoft Entra ID para ter acesso total no Defender for Cloud Apps, você pode adicioná-la manualmente ao Defender for Cloud Apps e atribuir-lhe acesso total para substituir sua função e permitir que ela tenha as permissões necessárias no Defender for Cloud Apps. Observe que não é possível substituir as funções do Microsoft Entra que concedem acesso total (administrador global, administrador de segurança e administrador do Cloud App Security).

Adicionar administradores adicionais

Você pode adicionar outros administradores ao Defender for Cloud Apps sem adicionar usuários às funções administrativas do Microsoft Entra. Para adicionar outros administradores, execute as seguintes etapas:

Importante

  • O acesso à página Gerenciar acesso de administrador está disponível para membros dos grupos Administradores Globais, Administradores de Segurança, Administradores de Conformidade, Administradores de Dados de Conformidade, Operadores de Segurança, Leitores de Segurança e Leitores Globais.
  • Somente os Administradores Globais ou Administradores de Segurança do Microsoft Entra podem editar a página Gerenciar acesso de administrador e conceder a outros usuários acesso ao Defender for Cloud Apps.

  1. No Portal do Microsoft Defender, no menu à esquerda, selecione Permissões.

  2. Em Cloud Apps, escolha Funções.

Permissions menu.

  1. Selecione +Adicionar usuário para adicionar os administradores que devem ter acesso ao Defender for Cloud Apps. Forneça um endereço de e-mail de um usuário de dentro da sua organização.

    Nota

    Se você quiser adicionar MSSPs (Managed Security Service Providers) externos como administradores do Defender for Cloud Apps, primeiro convide-os como convidados para sua organização.

    add admins.

  2. Em seguida, selecione a lista suspensa para definir o tipo de função que o administrador tem, Administrador global, Leitor de segurança, Administrador de conformidade, Administrador de aplicativo/instância, Administrador de grupo de usuários, Administrador global do Cloud Discovery ou Administrador de relatório do Cloud Discovery. Se você selecionar Administrador de aplicativo/instância, selecione o aplicativo e a instância para os quais o administrador terá permissões.

    Nota

    Qualquer administrador, cujo acesso é limitado, que tente acessar uma página restrita ou executar uma ação restrita receberá um erro informando que não tem permissão para acessar a página ou executar a ação.

  3. Selecione Adicionar administrador.

Convidar administradores externos

O Defender for Cloud Apps permite que você convide administradores externos (MSSPs) como administradores do serviço Defender for Cloud Apps da sua organização (cliente MSSP). Para adicionar MSSPs, verifique se o Defender for Cloud Apps está habilitado no locatário de MSSPs e adicione-os como usuários de colaboração B2B do Microsoft Entra no portal do Azure de clientes MSSPs. Uma vez adicionados, os MSSPs podem ser configurados como administradores e atribuídos a qualquer uma das funções disponíveis no Defender for Cloud Apps.

Para adicionar MSSPs ao serviço MSSP do cliente Defender for Cloud Apps

  1. Adicione MSSPs como convidado no diretório de clientes do MSSP usando as etapas em Adicionar usuários convidados ao diretório.
  2. Adicione MSSPs e atribua uma função de administrador no portal Defender for Cloud Apps do cliente MSSP usando as etapas em Adicionar administradores adicionais. Forneça o mesmo endereço de e-mail externo usado ao adicioná-los como convidados no diretório de clientes do MSSP.

Acesso para MSSPs ao serviço Defender for Cloud Apps do cliente MSSP

Por padrão, os MSSPs acessam seu locatário do Defender for Cloud Apps por meio da seguinte URL: https://security.microsoft.com.

No entanto, os MSSPs precisarão acessar o Microsoft Defender Portal do cliente MSSP usando uma URL específica do locatário no seguinte formato: https://security.microsoft.com/?tid=<tenant_id>.

Os MSSPs podem usar as seguintes etapas para obter a ID do locatário do portal do cliente MSSP e, em seguida, usar a ID para acessar a URL específica do locatário:

  1. Como MSSP, entre no Microsoft Entra ID com suas credenciais.

  2. Alterne o diretório para o locatário do cliente MSSP.

  3. Selecione Propriedades do Microsoft Entra ID>. Você encontrará a ID do locatário do cliente MSSP no campo ID do locatário.

  4. Acesse o portal do cliente MSSP substituindo o customer_tenant_id valor na seguinte URL: https://security.microsoft.com/?tid=<tenant_id>.

Auditoria da atividade do administrador

O Defender for Cloud Apps permite-lhe exportar um registo das atividades de início de sessão do administrador e uma auditoria das vistas de um utilizador específico ou alertas realizados como parte de uma investigação.

Para exportar um log, execute as seguintes etapas:

  1. No Portal do Microsoft Defender, no menu à esquerda, selecione Permissões.

  2. Em Cloud Apps, escolha Funções.

  3. Na página Funções de administrador, no canto superior direito, selecione Exportar atividades de administrador.

  4. Especifique o intervalo de tempo necessário.

  5. Selecione Exportar.

Próximos passos

Configurar a Cloud Discovery