Hantera administratörsåtkomst

  • Artikel

Microsoft Defender för molnet Apps stöder rollbaserad åtkomstkontroll. Den här artikeln innehåller instruktioner för hur du anger åtkomst till Defender för molnet-appar för dina administratörer. Mer information om hur du tilldelar administratörsroller finns i artiklarna för Microsoft Entra ID och Microsoft 365.

Microsoft 365- och Microsoft Entra-roller med åtkomst till Defender för molnet-appar

Kommentar

  • Microsoft 365- och Microsoft Entra-roller visas inte på sidan hantera administratörsåtkomst för Defender för molnet-appar. Om du vill tilldela roller i Microsoft 365- eller Microsoft Entra-ID går du till relevanta RBAC-inställningar för den tjänsten.
  • Defender för molnet Apps använder Microsoft Entra-ID för att fastställa användarens timeout-inställning för inaktivitet på katalognivå. Om en användare har konfigurerats i Microsoft Entra-ID för att aldrig logga ut när den är inaktiv gäller samma inställning även i Defender för molnet-appar.

Som standard har följande administratörsroller för Microsoft 365 och Microsoft Entra ID åtkomst till Defender för molnet-appar:

  • Global administratör och säkerhetsadministratör: Administratörer med fullständig åtkomst har fullständig behörighet i Defender för molnet Apps. De kan lägga till administratörer, lägga till principer och inställningar, ladda upp loggar och utföra styrningsåtgärder, komma åt och hantera SIEM-agenter.

  • Cloud App Security-administratör: Tillåter fullständig åtkomst och behörigheter i Defender för molnet Appar. Den här rollen ger fullständig behörighet till Defender för molnet-appar, till exempel rollen Global administratör för Microsoft Entra-ID. Den här rollen är dock begränsad till Defender för molnet-appar och beviljar inte fullständig behörighet för andra Microsoft-säkerhetsprodukter.

  • Efterlevnadsadministratör: Har skrivskyddade behörigheter och kan hantera aviseringar. Det går inte att komma åt säkerhetsrekommendationer för molnplattformar. Kan skapa och ändra filprinciper, tillåta filstyrningsåtgärder och visa alla inbyggda rapporter under Datahantering.

  • Administratör för efterlevnadsdata: Har skrivskyddade behörigheter, kan skapa och ändra filprinciper, tillåta filstyrningsåtgärder och visa alla identifieringsrapporter. Det går inte att komma åt säkerhetsrekommendationer för molnplattformar.

  • Säkerhetsoperator: Har skrivskyddade behörigheter och kan hantera aviseringar. Dessa administratörer är begränsade från att utföra följande åtgärder:

    • Skapa principer eller redigera och ändra befintliga
    • Utföra styrningsåtgärder
    • Överföra identifieringsloggar
    • Förbjuda eller godkänna appar från tredje part
    • Komma åt och visa inställningssidan för IP-adressintervall
    • Komma åt och visa alla systeminställningarssidor
    • Komma åt och visa identifieringsinställningarna
    • Komma åt och visa sidan Anslutningsverktyg
    • Komma åt och visa styrningsloggen
    • Komma åt och visa rapportsidan för att hantera ögonblicksbilder
    • Komma åt och visa SIEM-agenter

  • Säkerhetsläsare: Har skrivskyddade behörigheter. Dessa administratörer är begränsade från att utföra följande åtgärder:

    • Skapa principer eller redigera och ändra befintliga
    • Utföra styrningsåtgärder
    • Överföra identifieringsloggar
    • Förbjuda eller godkänna appar från tredje part
    • Komma åt och visa inställningssidan för IP-adressintervall
    • Komma åt och visa alla systeminställningarssidor
    • Komma åt och visa identifieringsinställningarna
    • Komma åt och visa sidan Anslutningsverktyg
    • Komma åt och visa styrningsloggen
    • Komma åt och visa rapportsidan för att hantera ögonblicksbilder
    • Komma åt och visa SIEM-agenter

  • Global läsare: Har fullständig skrivskyddad åtkomst till alla aspekter av Defender för molnet Apps. Det går inte att ändra några inställningar eller vidta några åtgärder.

Kommentar

Appstyrningsfunktioner styrs endast av Microsoft Entra-ID-roller. Mer information finns i Roller för appstyrning.

Roller och behörigheter

Behörigheter Global administratör Säkerhetsadministratör Administratör för regelefterlevnad Administratör för efterlevnadsdata Säkerhetsoperator Säkerhetsläsare Global läsare PBI-administratör Cloud App Security-administratör
Läsa aviseringar
Hantera aviseringar
Läsa OAuth-program
Utföra OAuth-programåtgärder
Få åtkomst till identifierade appar, molnappkatalogen och andra molnidentifieringsdata
Konfigurera API-anslutningsappar
Utföra molnidentifieringsåtgärder
Åtkomst till data- och filprinciper för filer
Utföra filåtgärder
Åtkomststyrningslogg
Utföra styrningsloggåtgärder
Åtkomst till begränsad identifieringsstyrningslogg
Läsa principer
Utföra alla principåtgärder
Utföra filprincipåtgärder
Utföra OAuth-principåtgärder
Visa hantera administratörsåtkomst
Hantera administratörer och aktivitetssekretess

Inbyggda administratörsroller i Defender för molnet Apps

Följande specifika administratörsroller kan konfigureras i Microsoft Defender-portalen i området Behörigheter > Cloud Apps-roller>:

  • Global administratör: Har fullständig åtkomst som liknar rollen Global Administratör för Microsoft Entra, men endast för Defender för molnet-appar.

  • Efterlevnadsadministratör: Ger samma behörigheter som administratörsrollen Microsoft Entra Compliance men endast för att Defender för molnet-appar.

  • Säkerhetsläsare: Ger samma behörigheter som Microsoft Entra Security-läsarrollen men bara för att Defender för molnet appar.

  • Säkerhetsoperator: Ger samma behörigheter som Microsoft Entra Security-operatörsrollen men endast för Defender för molnet-appar.

  • App-/instansadministratör: Har fullständig eller skrivskyddad behörighet till alla data i Defender för molnet Appar som uteslutande hanterar den specifika appen eller instansen av en vald app. Du kan till exempel ge en användaradministratör behörighet till din Box European-instans. Administratören ser endast data som relaterar till Box European-instansen, oavsett om det är filer, aktiviteter, principer eller aviseringar:

    • Sidan Aktiviteter – Endast aktiviteter om den specifika appen
    • Aviseringar – Endast aviseringar som rör den specifika appen. I vissa fall aviseringsdata som är relaterade till en annan app om data korreleras med den specifika appen. Synligheten för aviseringsdata som är relaterade till en annan app är begränsad och det finns ingen åtkomst för att öka detaljnivån för mer information
    • Principer – Kan visa alla principer och om tilldelade fullständiga behörigheter kan redigera eller skapa endast principer som endast hanterar appen/instansen
    • Sidan Konton – Endast konton för den specifika appen/instansen
    • Appbehörigheter – Endast behörigheter för den specifika appen/instansen
    • Sidan Filer – Endast filer från den specifika appen/instansen
    • Appkontroll för villkorsstyrd åtkomst – Inga behörigheter
    • Cloud Discovery-aktivitet – Inga behörigheter
    • Säkerhetstillägg – Endast behörigheter för API-token med användarbehörigheter
    • Styrningsåtgärder – endast för den specifika appen/instansen
    • Säkerhetsrekommendationer för molnplattformar – Inga behörigheter
    • IP-intervall – Inga behörigheter

  • Administratör för användargrupper: Har fullständig eller skrivskyddad behörighet till alla data i Defender för molnet-appar som uteslutande hanterar de specifika grupper som tilldelats dem. Om du till exempel tilldelar en användaradministratör behörighet till gruppen "Tyskland – alla användare" kan administratören visa och redigera information i Defender för molnet Endast appar för den användargruppen. Administratören för användargruppen har följande åtkomst:

    • Sidan Aktiviteter – Endast aktiviteter om användarna i gruppen

    • Aviseringar – Endast aviseringar som rör användarna i gruppen. I vissa fall aviserar du data som är relaterade till en annan användare om data är korrelerade med användarna i gruppen. Synligheten för aviseringsdata som är relaterade till andra användare är begränsad och det finns ingen åtkomst för att öka detaljnivån för mer information.

    • Principer – Kan visa alla principer och om tilldelade fullständiga behörigheter endast kan redigera eller skapa principer som endast hanterar användare i gruppen

    • Sidan Konton – Endast konton för specifika användare i gruppen

    • Appbehörigheter – Inga behörigheter

    • Sidan Filer – Inga behörigheter

    • Appkontroll för villkorsstyrd åtkomst – Inga behörigheter

    • Cloud Discovery-aktivitet – Inga behörigheter

    • Säkerhetstillägg – Endast behörigheter för API-token med användare i gruppen

    • Styrningsåtgärder – endast för specifika användare i gruppen

    • Säkerhetsrekommendationer för molnplattformar – Inga behörigheter

    • IP-intervall – Inga behörigheter

      Kommentar

      • Om du vill tilldela grupper till användargruppsadministratörer måste du först importera användargrupper från anslutna appar.
      • Du kan bara tilldela administratörsbehörigheter för användargrupper till importerade Microsoft Entra-grupper.

  • Global administratör för Cloud Discovery: Har behörighet att visa och redigera alla Inställningar och data för Cloud Discovery. Global Discovery-administratören har följande åtkomst:

    • Inställningar
      • Systeminställningar – Endast visning
      • Inställningar för Cloud Discovery – Visa och redigera alla (anonymiseringsbehörigheter beror på om det var tillåtet under rolltilldelningen)
    • Cloud Discovery-aktivitet – fullständiga behörigheter
    • Aviseringar – visa och hantera endast aviseringar relaterade till relevant Cloud Discovery-rapport
    • Principer – Kan visa alla principer och kan bara redigera eller skapa Cloud Discovery-principer
    • Sidan Aktiviteter – Inga behörigheter
    • Sidan Konton – Inga behörigheter
    • Appbehörigheter – Inga behörigheter
    • Sidan Filer – Inga behörigheter
    • Appkontroll för villkorsstyrd åtkomst – Inga behörigheter
    • Säkerhetstillägg – Skapa och ta bort sina egna API-token
    • Styrningsåtgärder – Endast Cloud Discovery-relaterade åtgärder
    • Säkerhetsrekommendationer för molnplattformar – Inga behörigheter
    • IP-intervall – Inga behörigheter

  • Cloud Discovery-rapportadministratör:

    • Inställningar
      • Systeminställningar – Endast visning
      • Cloud Discovery-inställningar – Visa alla (anonymiseringsbehörigheter beror på om det tilläts under rolltilldelningen)
    • Cloud Discovery-aktivitet – skrivskyddad behörighet
    • Aviseringar – visa endast aviseringar som är relaterade till relevant Cloud Discovery-rapport
    • Principer – Kan visa alla principer och kan bara skapa Cloud Discovery-principer, utan möjlighet att styra programmet (taggning, sanktioner och osanktionerad)
    • Sidan Aktiviteter – Inga behörigheter
    • Sidan Konton – Inga behörigheter
    • Appbehörigheter – Inga behörigheter
    • Sidan Filer – Inga behörigheter
    • Appkontroll för villkorsstyrd åtkomst – Inga behörigheter
    • Säkerhetstillägg – Skapa och ta bort sina egna API-token
    • Styrningsåtgärder – visa endast åtgärder som är relaterade till relevant Cloud Discovery-rapport
    • Säkerhetsrekommendationer för molnplattformar – Inga behörigheter
    • IP-intervall – Inga behörigheter

Kommentar

De inbyggda administratörsrollerna för Defender för molnet Apps ger endast åtkomstbehörigheter till Defender för molnet-appar.

Åsidosätt administratörsbehörigheter

Om du vill åsidosätta en administratörs behörighet från Microsoft Entra-ID eller Microsoft 365 kan du göra det genom att manuellt lägga till användaren i Defender för molnet Appar och tilldela användarbehörigheter. Om du till exempel vill tilldela Stephanie, som är säkerhetsläsare i Microsoft Entra-ID för att ha fullständig åtkomst i Defender för molnet Appar, kan du lägga till henne manuellt för att Defender för molnet Appar och tilldela henne fullständig åtkomst för att åsidosätta hennes roll och ge henne nödvändiga behörigheter i Defender för molnet Apps. Observera att det inte går att åsidosätta Microsoft Entra-roller som ger fullständig åtkomst (global administratör, säkerhetsadministratör och Cloud App Security-administratör).

Lägga till ytterligare administratörer

Du kan lägga till ytterligare administratörer i Defender för molnet Apps utan att lägga till användare i administrativa Roller i Microsoft Entra. Utför följande steg för att lägga till ytterligare administratörer:

Viktigt!

  • Åtkomst till sidan Hantera administratörsåtkomst är tillgänglig för medlemmar i grupperna Globala administratörer, säkerhetsadministratörer, efterlevnadsadministratörer, efterlevnadsdataadministratörer, säkerhetsoperatörer, säkerhetsläsare och globala läsare.
  • Endast globala Administratörer eller säkerhetsadministratörer i Microsoft Entra kan redigera sidan Hantera administratörsåtkomst och ge andra användare åtkomst till Defender för molnet-appar.

  1. I Microsoft Defender-portalen går du till den vänstra menyn och väljer Behörigheter.

  2. Under Cloud Apps väljer du Roller.

Permissions menu.

  1. Välj +Lägg till användare för att lägga till de administratörer som ska ha åtkomst till Defender för molnet Appar. Ange en e-postadress till en användare inifrån din organisation.

    Kommentar

    Om du vill lägga till externa leverantörer av hanterade säkerhetstjänster (MSSP:er) som administratörer för Defender för molnet-appar ska du först bjuda in dem som gäst i din organisation.

    add admins.

  2. Välj sedan listrutan för att ange vilken typ av roll administratören har, global administratör, säkerhetsläsare, efterlevnadsadministratör, app-/instansadministratör, användargruppsadministratör, global cloud discovery-administratör eller rapportadministratör för Cloud Discovery. Om du väljer App-/instansadministratör väljer du appen och den instans som administratören ska ha behörighet för.

    Kommentar

    Alla administratörer, vars åtkomst är begränsad, som försöker komma åt en begränsad sida eller utföra en begränsad åtgärd får ett fel om att de inte har behörighet att komma åt sidan eller utföra åtgärden.

  3. Välj Lägg till administratör.

Bjud in externa administratörer

Defender för molnet Apps kan du bjuda in externa administratörer (MSSP:er) som administratörer för din organisations (MSSP-kund) Defender för molnet Apps-tjänsten. Om du vill lägga till MSSP:er kontrollerar du att Defender för molnet Apps är aktiverat i MSSP:ernas klientorganisation och lägger sedan till dem som Microsoft Entra B2B-samarbetsanvändare i AZURE-portalen för MSSPs-kunder. När de har lagts till kan MSSP:er konfigureras som administratörer och tilldelas någon av de roller som är tillgängliga i Defender för molnet Apps.

Så här lägger du till MSSP:er till MSSP-kundtjänsten Defender för molnet Apps

  1. Lägg till MSSP:er som gäst i MSSP-kundkatalogen med hjälp av stegen under Lägg till gästanvändare i katalogen.
  2. Lägg till MSSP:er och tilldela en administratörsroll i MSSP-kundportalen Defender för molnet Apps med hjälp av stegen under Lägg till ytterligare administratörer. Ange samma externa e-postadress som används när du lägger till dem som gäster i MSSP-kundkatalogen.

Åtkomst för MSSP:er till MSSP-kundtjänsten Defender för molnet Apps

Som standard får MSSP:er åtkomst till sin klientorganisation för Defender för molnet Apps via följande URL: https://security.microsoft.com.

MSSP:er måste dock komma åt MSSP-kundens Microsoft Defender-portal med hjälp av en klientspecifik URL i följande format: https://security.microsoft.com/?tid=<tenant_id>.

MSSP:er kan använda följande steg för att hämta klient-ID:t för MSSP-kundportalen och sedan använda ID:t för att komma åt den klientspecifika URL:en:

  1. Logga in på Microsoft Entra-ID med dina autentiseringsuppgifter som MSSP.

  2. Växla katalog till MSSP-kundens klientorganisation.

  3. Välj Egenskaper för Microsoft Entra-ID>. Du hittar MSSP-kundens klientorganisations-ID i fältet Klientorganisations-ID .

  4. Öppna MSSP-kundportalen genom att customer_tenant_id ersätta värdet i följande URL: https://security.microsoft.com/?tid=<tenant_id>.

Granskning av administratörsaktivitet

Defender för molnet Apps kan du exportera en logg över inloggningsaktiviteter för administratörer och en granskning av vyer för en specifik användare eller aviseringar som utförs som en del av en undersökning.

Utför följande steg för att exportera en logg:

  1. I Microsoft Defender-portalen går du till den vänstra menyn och väljer Behörigheter.

  2. Under Cloud Apps väljer du Roller.

  3. På sidan Administratörsroller går du till det övre högra hörnet och väljer Exportera administratörsaktiviteter.

  4. Ange det tidsintervall som krävs.

  5. Välj Exportera.

Nästa steg

Konfigurera Cloud Discovery