Configurar o acesso de administrador
Microsoft Defender for Cloud Apps suporta o controlo de acesso baseado em funções. Este artigo fornece instruções para definir o acesso ao Defender for Cloud Apps para os seus administradores. Para obter mais informações sobre a atribuição de funções de administrador, consulte os artigos para o Microsoft Entra ID e o Microsoft 365.
Nota
- As funções do Microsoft 365 e Microsoft Entra não estão listadas na página Gerir acesso de administrador Defender for Cloud Apps. Para atribuir funções no Microsoft 365 ou Microsoft Entra ID, aceda às definições RBAC relevantes desse serviço.
- Defender for Cloud Apps utiliza Microsoft Entra ID para determinar a definição de tempo limite de inatividade ao nível do diretório do utilizador. Se um utilizador estiver configurado no Microsoft Entra ID para nunca terminar sessão quando estiver inativo, também será aplicada a mesma definição no Defender for Cloud Apps.
Por predefinição, as seguintes funções de administrador do Microsoft 365 e Microsoft Entra ID têm acesso a Defender for Cloud Apps:
Nome da função | Descrição |
---|---|
administrador de segurança e Administrador global | Os administradores com Acesso total têm permissões completas no Defender for Cloud Apps. Podem adicionar administradores, adicionar políticas e definições, carregar registos e executar ações de governação, aceder e gerir agentes SIEM. |
Cloud App Security administrador | Permite acesso total e permissões no Defender for Cloud Apps. Esta função concede permissões completas para Defender for Cloud Apps, como a função Microsoft Entra ID Administrador global. No entanto, esta função está confinada a Defender for Cloud Apps e não concede permissões completas noutros produtos de segurança da Microsoft. |
Administrador de conformidade | Tem permissões só de leitura e pode gerir alertas. Não é possível aceder às Recomendações de segurança para plataformas na cloud. Pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios incorporados em Gestão de Dados. |
Administrador de dados de conformidade | Tem permissões só de leitura, pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios de deteção. Não é possível aceder às Recomendações de segurança para plataformas na cloud. |
Operador de segurança | Tem permissões só de leitura e pode gerir alertas. Estes administradores estão impedidos de realizar as seguintes ações:
|
Leitor de segurança | Tem permissões só de leitura e pode criar tokens de acesso à API. Estes administradores estão impedidos de realizar as seguintes ações:
|
Leitor global | Tem acesso só de leitura completo a todos os aspetos do Defender for Cloud Apps. Não é possível alterar as definições nem efetuar quaisquer ações. |
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Nota
As funcionalidades de governação de aplicações são controladas apenas por funções Microsoft Entra ID. Para obter mais informações, veja Funções de governação de aplicações.
Permissões | Administração Global | Administração de segurança | Administração de conformidade | Administração de Dados de Conformidade | Operador de Segurança | Leitor de Segurança | Leitor Global | PBI Administração | administrador Cloud App Security |
---|---|---|---|---|---|---|---|---|---|
Ler alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Gerir alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
Ler aplicações OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar ações da aplicação OAuth | ✔ | ✔ | ✔ | ✔ | |||||
Aceder a aplicações detetadas, ao catálogo de aplicações na cloud e a outros dados de deteção da cloud | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Configurar conectores de API | ✔ | ✔ | ✔ | ✔ | |||||
Executar ações de deteção da cloud | ✔ | ✔ | ✔ | ||||||
Aceder a políticas de ficheiros e dados | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar ações de ficheiro | ✔ | ✔ | ✔ | ✔ | |||||
Registo de governação de acesso | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar ações de registo de governação | ✔ | ✔ | ✔ | ✔ | |||||
Aceder ao registo de governação de deteção no âmbito | ✔ | ✔ | ✔ | ||||||
Ler políticas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Executar todas as ações de política | ✔ | ✔ | ✔ | ✔ | |||||
Executar ações de política de ficheiros | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
Executar ações de política OAuth | ✔ | ✔ | ✔ | ✔ | |||||
Ver gerir o acesso de administrador | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Gerir administradores e privacidade da atividade | ✔ | ✔ | ✔ |
As seguintes funções de administrador específicas podem ser configuradas no portal Microsoft Defender, na área Funções de Aplicações > na Cloud de Permissões>:
Nome da função | Descrição |
---|---|
Administrador global | Tem acesso total semelhante à função administrador global Microsoft Entra, mas apenas para Defender for Cloud Apps. |
Administrador de conformidade | Concede as mesmas permissões que a função de administrador de Conformidade do Microsoft Entra, mas apenas para Defender for Cloud Apps. |
Leitor de segurança | Concede as mesmas permissões que a função de leitor de Segurança do Microsoft Entra, mas apenas para Defender for Cloud Apps. |
Operador de segurança | Concede as mesmas permissões que a função de operador de Segurança Microsoft Entra, mas apenas para Defender for Cloud Apps. |
Administrador de aplicações/instâncias | Tem permissões completas ou só de leitura para todos os dados no Defender for Cloud Apps que lida exclusivamente com a aplicação ou instância específica de uma aplicação selecionada. Por exemplo, dá a um administrador de utilizador permissão para a sua instância do Box European. O administrador só verá dados relacionados com a instância do Box European, sejam ficheiros, atividades, políticas ou alertas:
|
Administrador do grupo de utilizadores | Tem permissões completas ou só de leitura para todos os dados no Defender for Cloud Apps que lida exclusivamente com os grupos específicos atribuídos aos mesmos. Por exemplo, se atribuir permissões de administrador de utilizador ao grupo "Alemanha - todos os utilizadores", o administrador pode ver e editar informações no Defender for Cloud Apps apenas para esse grupo de utilizadores. O administrador do Grupo de utilizadores tem o seguinte acesso:
Notas:
|
Administrador global da Cloud Discovery | Tem permissão para ver e editar todas as definições e dados da cloud Discovery. O administrador da Deteção Global tem o seguinte acesso:
|
Administrador de relatórios da Cloud Discovery |
|
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
As funções de administrador Defender for Cloud Apps incorporadas apenas fornecem permissões de acesso para Defender for Cloud Apps.
Se quiser substituir a permissão de um administrador do Microsoft Entra ID ou do Microsoft 365, pode fazê-lo ao adicionar manualmente o utilizador para Defender for Cloud Apps e atribuir as permissões de utilizador. Por exemplo, se quiser atribuir a Stephanie, que é leitora de Segurança no Microsoft Entra ID ter acesso total no Defender for Cloud Apps, pode adicioná-la manualmente a Defender for Cloud Apps e atribuir-lhe acesso total para substituir a função e permitir-lhe as permissões necessárias no Defender for Cloud Apps. Tenha em atenção que não é possível substituir Microsoft Entra funções que concedem Acesso total (Administrador global, Administrador de segurança e administrador Cloud App Security).
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Pode adicionar administradores adicionais a Defender for Cloud Apps sem adicionar utilizadores a Microsoft Entra funções administrativas. Para adicionar administradores adicionais, execute os seguintes passos:
Importante
- O acesso à página Gerir acesso de administrador está disponível para os membros dos grupos Administradores Globais, Administradores de Segurança, Administradores de Conformidade, Administradores de Dados de Conformidade, Operadores de Segurança, Leitores de Segurança e Leitores Globais.
- Para editar a página Gerir acesso de administrador e conceder a outros utilizadores acesso a Defender for Cloud Apps, tem de ter, pelo menos, uma função de Administrador de Segurança.
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
No Portal do Microsoft Defender, no menu do lado esquerdo, selecione Permissões.
Em Aplicações na Cloud, selecione Funções.
Selecione +Adicionar utilizador para adicionar os administradores que devem ter acesso ao Defender for Cloud Apps. Forneça um endereço de e-mail de um utilizador de dentro da sua organização.
Nota
Se quiser adicionar Fornecedores de Serviços de Segurança Gerida (MSSPs) externos como administradores para Defender for Cloud Apps, certifique-se de que os convida primeiro como convidado para a sua organização.
Em seguida, selecione o menu pendente para definir o tipo de função que o administrador tem. Se selecionar Administrador de Aplicações/Instâncias, selecione a aplicação e a instância para a qual o administrador tem permissões.
Nota
Qualquer administrador, cujo acesso seja limitado, que tente aceder a uma página restrita ou executar uma ação restrita, receberá um erro a indicar que não tem permissão para aceder à página ou executar a ação.
Selecione Adicionar administrador.
Defender for Cloud Apps permite-lhe convidar administradores externos (MSSPs) como administradores do serviço de Defender for Cloud Apps da sua organização (cliente MSSP). Para adicionar MSSPs, certifique-se de Defender for Cloud Apps está ativado no inquilino do MSSPs e, em seguida, adicione-os como Microsoft Entra utilizadores de colaboração B2B nos clientes MSSPs portal do Azure. Uma vez adicionados, os MSSPs podem ser configurados como administradores e atribuídas a qualquer uma das funções disponíveis no Defender for Cloud Apps.
- Adicione MSSPs como convidado no diretório de clientes do MSSP com os passos em Adicionar utilizadores convidados ao diretório.
- Adicione MSSPs e atribua uma função de administrador no portal de Defender for Cloud Apps de clientes do MSSP com os passos em Adicionar administradores adicionais. Indique o mesmo endereço de e-mail externo utilizado ao adicioná-los como convidados no diretório de clientes do MSSP.
Por predefinição, os MSSPs acedem ao respetivo inquilino Defender for Cloud Apps através do seguinte URL: https://security.microsoft.com
.
No entanto, os MSSPs terão de aceder ao cliente do MSSP Microsoft Defender Portal através de um URL específico do inquilino no seguinte formato: https://security.microsoft.com/?tid=<tenant_id>
.
Os MSSPs podem utilizar os seguintes passos para obter o ID de inquilino do portal do cliente do MSSP e, em seguida, utilizar o ID para aceder ao URL específico do inquilino:
Como MSSP, inicie sessão no Microsoft Entra ID com as suas credenciais.
Mude o diretório para o inquilino do cliente do MSSP.
Selecione Microsoft Entra ID>Propriedades. Encontrará o ID do inquilino do cliente do MSSP no campo ID do Inquilino .
Aceda ao portal de cliente do MSSP ao substituir o
customer_tenant_id
valor no seguinte URL:https://security.microsoft.com/?tid=<tenant_id>
.
Defender for Cloud Apps permite-lhe exportar um registo de atividades de início de sessão de administrador e uma auditoria das vistas de um utilizador específico ou alertas realizados no âmbito de uma investigação.
Para exportar um registo, execute os seguintes passos:
No Portal do Microsoft Defender, no menu do lado esquerdo, selecione Permissões.
Em Aplicações na Cloud, selecione Funções.
Na página Administração funções, no canto superior direito, selecione Exportar atividades de administrador.
Especifique o intervalo de tempo necessário.
Selecione Exportar.