Konfigurera administratörsåtkomst
Microsoft Defender för Cloud Apps stöder rollbaserad åtkomstkontroll. Den här artikeln innehåller anvisningar för hur du anger åtkomst till Defender för Cloud Apps för dina administratörer. Mer information om hur du tilldelar administratörsroller finns i artiklarna för Microsoft Entra ID och Microsoft 365.
Microsoft 365- och Microsoft Entra-roller med åtkomst till Defender for Cloud Apps
Kommentar
- Microsoft 365- och Microsoft Entra-roller visas inte på sidan Hantera administratörsåtkomst för Defender for Cloud Apps. Om du vill tilldela roller i Microsoft 365- eller Microsoft Entra-ID går du till relevanta RBAC-inställningar för den tjänsten.
- Defender för Cloud Apps använder Microsoft Entra-ID för att fastställa användarens timeout-inställning för inaktivitet på katalognivå. Om en användare har konfigurerats i Microsoft Entra-ID för att aldrig logga ut när den är inaktiv gäller samma inställning även i Defender för Cloud Apps.
Som standard har följande administratörsroller för Microsoft 365 och Microsoft Entra ID åtkomst till Defender för Cloud Apps:
Rollnamn | beskrivning |
---|---|
Global administratör och säkerhetsadministratör | Administratörer med fullständig åtkomst har fullständiga behörigheter i Defender för Cloud Apps. De kan lägga till administratörer, lägga till principer och inställningar, ladda upp loggar och utföra styrningsåtgärder, komma åt och hantera SIEM-agenter. |
Bezbednost aplikacija u oblaku administratör | Tillåter fullständig åtkomst och behörigheter i Defender för Cloud Apps. Den här rollen ger fullständig behörighet till Defender for Cloud Apps, till exempel rollen Global administratör för Microsoft Entra ID. Den här rollen är dock begränsad till Defender for Cloud Apps och beviljar inte fullständig behörighet för andra Microsoft-säkerhetsprodukter. |
Efterlevnadsadministratör | Har skrivskyddade behörigheter och kan hantera aviseringar. Det går inte att komma åt säkerhetsrekommendationer för molnplattformar. Kan skapa och ändra filprinciper, tillåta filstyrningsåtgärder och visa alla inbyggda rapporter under Datahantering. |
Administratör för efterlevnadsdata | Har skrivskyddade behörigheter, kan skapa och ändra filprinciper, tillåta filstyrningsåtgärder och visa alla identifieringsrapporter. Det går inte att komma åt säkerhetsrekommendationer för molnplattformar. |
Säkerhetsoperator | Har skrivskyddade behörigheter och kan hantera aviseringar. Dessa administratörer är begränsade från att utföra följande åtgärder:
|
Säkerhetsläsare | Har skrivskyddade behörigheter och kan skapa API-åtkomsttoken. Dessa administratörer är begränsade från att utföra följande åtgärder:
|
Global läsare | Har fullständig skrivskyddad åtkomst till alla aspekter av Defender för Cloud Apps. Det går inte att ändra några inställningar eller vidta några åtgärder. |
Viktigt!
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Kommentar
Appstyrningsfunktioner styrs endast av Microsoft Entra-ID-roller. Mer information finns i Roller för appstyrning.
Roller och behörigheter
Behörigheter | Global administratör | Säkerhetsadministratör | Administratör för regelefterlevnad | Administratör för efterlevnadsdata | Säkerhetsoperator | Säkerhetsläsare | Global läsare | PBI-administratör | Bezbednost aplikacija u oblaku administratör |
---|---|---|---|---|---|---|---|---|---|
Läsa aviseringar | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Hantera aviseringar | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
Läsa OAuth-program | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Utföra OAuth-programåtgärder | ✔ | ✔ | ✔ | ✔ | |||||
Få åtkomst till identifierade appar, molnappkatalogen och andra molnidentifieringsdata | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Konfigurera API-anslutningsappar | ✔ | ✔ | ✔ | ✔ | |||||
Utföra molnidentifieringsåtgärder | ✔ | ✔ | ✔ | ||||||
Åtkomst till data- och filprinciper för filer | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Utföra filåtgärder | ✔ | ✔ | ✔ | ✔ | |||||
Åtkomststyrningslogg | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Utföra styrningsloggåtgärder | ✔ | ✔ | ✔ | ✔ | |||||
Åtkomst till begränsad identifieringsstyrningslogg | ✔ | ✔ | ✔ | ||||||
Läsa principer | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Utföra alla principåtgärder | ✔ | ✔ | ✔ | ✔ | |||||
Utföra filprincipåtgärder | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
Utföra OAuth-principåtgärder | ✔ | ✔ | ✔ | ✔ | |||||
Visa hantera administratörsåtkomst | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Hantera administratörer och aktivitetssekretess | ✔ | ✔ | ✔ |
Inbyggda administratörsroller i Defender för Cloud Apps
Följande specifika administratörsroller kan konfigureras i Microsoft Defender-portalen i området Behörigheter > Cloud Apps-roller>:
Rollnamn | beskrivning |
---|---|
Global administratör | Har fullständig åtkomst som liknar rollen Global administratör för Microsoft Entra, men endast för Defender för Cloud Apps. |
Efterlevnadsadministratör | Ger samma behörigheter som Administratörsrollen för Microsoft Entra-efterlevnad, men endast till Defender för Cloud Apps. |
Säkerhetsläsare | Ger samma behörigheter som Microsoft Entra Security-läsarrollen men endast till Defender för Cloud Apps. |
Säkerhetsoperator | Ger samma behörigheter som Microsoft Entra Security-operatörsrollen men endast till Defender för Cloud Apps. |
App-/instansadministratör | Har fullständiga eller skrivskyddade behörigheter till alla data i Defender för Molnappar som uteslutande hanterar den specifika appen eller instansen av en vald app. Du kan till exempel ge en användaradministratör behörighet till din Box European-instans. Administratören ser endast data som relaterar till Box European-instansen, oavsett om det är filer, aktiviteter, principer eller aviseringar:
|
Administratör för användargrupp | Har fullständiga eller skrivskyddade behörigheter till alla data i Defender for Cloud Apps som uteslutande hanterar de specifika grupper som tilldelats dem. Om du till exempel tilldelar en användaradministratör behörighet till gruppen "Tyskland – alla användare" kan administratören visa och redigera information i Defender för Cloud Apps endast för den användargruppen. Administratören för användargruppen har följande åtkomst:
Anmärkningar:
|
Global administratör för Cloud Discovery | Har behörighet att visa och redigera alla inställningar och data för molnidentifiering. Global Discovery-administratören har följande åtkomst:
|
Cloud Discovery-rapportadministratör |
|
Viktigt!
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
De inbyggda administratörsrollerna för Defender för Cloud Apps ger endast åtkomstbehörigheter till Defender för Cloud Apps.
Åsidosätt administratörsbehörigheter
Om du vill åsidosätta en administratörs behörighet från Microsoft Entra-ID eller Microsoft 365 kan du göra det genom att manuellt lägga till användaren i Defender för Cloud Apps och tilldela användarbehörigheter. Om du till exempel vill tilldela Stephanie, som är säkerhetsläsare i Microsoft Entra-ID för att ha fullständig åtkomst i Defender för Cloud Apps, kan du lägga till henne manuellt i Defender för Cloud Apps och tilldela henne fullständig åtkomst för att åsidosätta hennes roll och ge henne de behörigheter som krävs i Defender för Cloud Apps. Observera att det inte går att åsidosätta Microsoft Entra-roller som ger fullständig åtkomst (global administratör, säkerhetsadministratör och Bezbednost aplikacija u oblaku administratör).
Viktigt!
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Lägga till ytterligare administratörer
Du kan lägga till ytterligare administratörer i Defender för Cloud Apps utan att lägga till användare i administrativa roller i Microsoft Entra. Utför följande steg för att lägga till ytterligare administratörer:
Viktigt!
- Åtkomst till sidan Hantera administratörsåtkomst är tillgänglig för medlemmar i grupperna Globala administratörer, säkerhetsadministratörer, efterlevnadsadministratörer, efterlevnadsdataadministratörer, säkerhetsoperatörer, säkerhetsläsare och globala läsare.
- Om du vill redigera sidan Hantera administratörsåtkomst och ge andra användare åtkomst till Defender för Molnappar måste du ha minst en roll som säkerhetsadministratör.
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
I Microsoft Defender-portalen går du till den vänstra menyn och väljer Behörigheter.
Under Cloud Apps väljer du Roller.
Välj +Lägg till användare för att lägga till de administratörer som ska ha åtkomst till Defender för Cloud Apps. Ange en e-postadress till en användare inifrån din organisation.
Kommentar
Om du vill lägga till externa leverantörer av hanterade säkerhetstjänster (MSSP:er) som administratörer för Defender för Cloud Apps ska du först bjuda in dem som gäst i din organisation.
Välj sedan listrutan för att ange vilken typ av roll administratören har. Om du väljer App-/instansadministratör väljer du appen och den instans som administratören ska ha behörighet för.
Kommentar
Alla administratörer, vars åtkomst är begränsad, som försöker komma åt en begränsad sida eller utföra en begränsad åtgärd får ett fel om att de inte har behörighet att komma åt sidan eller utföra åtgärden.
Välj Lägg till administratör.
Bjud in externa administratörer
Med Defender för Cloud Apps kan du bjuda in externa administratörer (MSSP:er) som administratörer för organisationens (MSSP-kund) Defender for Cloud Apps-tjänst. Om du vill lägga till MSSP:er kontrollerar du att Defender for Cloud Apps är aktiverat i MSSP:ernas klientorganisation och lägger sedan till dem som Microsoft Entra B2B-samarbetsanvändare i AZURE-portalen för MSSPs-kunder. När de har lagts till kan MSSP:er konfigureras som administratörer och tilldelas någon av de roller som är tillgängliga i Defender för Cloud Apps.
Så här lägger du till MSSP:er i MSSP-kundtjänsten Defender för Cloud Apps
- Lägg till MSSP:er som gäst i MSSP-kundkatalogen med hjälp av stegen under Lägg till gästanvändare i katalogen.
- Lägg till MSSP:er och tilldela en administratörsroll i MSSP-kundportalen defender för molnappar med hjälp av stegen under Lägg till ytterligare administratörer. Ange samma externa e-postadress som används när du lägger till dem som gäster i MSSP-kundkatalogen.
Åtkomst för MSSP:er till MSSP-kunden Defender för Cloud Apps-tjänsten
Som standard får MSSP:er åtkomst till sin Defender for Cloud Apps-klient via följande URL: https://security.microsoft.com
.
MSSP:er måste dock komma åt MSSP-kundens Microsoft Defender-portal med hjälp av en klientspecifik URL i följande format: https://security.microsoft.com/?tid=<tenant_id>
.
MSSP:er kan använda följande steg för att hämta klient-ID:t för MSSP-kundportalen och sedan använda ID:t för att komma åt den klientspecifika URL:en:
Logga in på Microsoft Entra-ID med dina autentiseringsuppgifter som MSSP.
Växla katalog till MSSP-kundens klientorganisation.
Välj Egenskaper för Microsoft Entra-ID>. Du hittar MSSP-kundens klientorganisations-ID i fältet Klientorganisations-ID .
Öppna MSSP-kundportalen genom att
customer_tenant_id
ersätta värdet i följande URL:https://security.microsoft.com/?tid=<tenant_id>
.
Granskning av administratörsaktivitet
Med Defender för Cloud Apps kan du exportera en logg över inloggningsaktiviteter för administratörer och en granskning av vyer för en specifik användare eller aviseringar som utförs som en del av en undersökning.
Utför följande steg för att exportera en logg:
I Microsoft Defender-portalen går du till den vänstra menyn och väljer Behörigheter.
Under Cloud Apps väljer du Roller.
På sidan Administratörsroller går du till det övre högra hörnet och väljer Exportera administratörsaktiviteter.
Ange det tidsintervall som krävs.
Välj Exportera.