Yönetici erişimini yapılandırma
Microsoft Defender for Cloud Apps rol tabanlı erişim denetimini destekler. Bu makalede, yöneticileriniz için Defender for Cloud Apps erişimi ayarlama yönergeleri sağlanır. Yönetici rolleri atama hakkında daha fazla bilgi için Microsoft Entra ID ve Microsoft 365 makalelerine bakın.
Defender for Cloud Apps erişimi olan Microsoft 365 ve Microsoft Entra rolleri
Not
- Microsoft 365 ve Microsoft Entra rolleri Defender for Cloud Apps Yönetici erişimini yönet sayfasında listelenmez. Microsoft 365 veya Microsoft Entra ID rol atamak için söz konusu hizmetin ilgili RBAC ayarlarına gidin.
- Defender for Cloud Apps, kullanıcının dizin düzeyi etkinlik dışı zaman aşımı ayarını belirlemek için Microsoft Entra ID kullanır. Bir kullanıcı Microsoft Entra ID etkin olmadığında hiçbir zaman oturumu kapatmayacak şekilde yapılandırılmışsa, aynı ayar Defender for Cloud Apps'da da geçerli olur.
Varsayılan olarak, aşağıdaki Microsoft 365 ve Microsoft Entra ID yönetici rolleri Defender for Cloud Apps erişebilir:
Rol adı | Açıklama |
---|---|
Genel yönetici ve Güvenlik yöneticisi | Tam erişimi olan yöneticilerin Defender for Cloud Apps tam izinleri vardır. Yöneticiler ekleyebilir, ilkeler ve ayarlar ekleyebilir, günlükleri karşıya yükleyebilir ve idare eylemleri gerçekleştirebilir, SIEM aracılarına erişebilir ve bu aracıları yönetebilir. |
Bulut Uygulamaları Güvenliği yöneticisi | Defender for Cloud Apps'de tam erişime ve izinlere izin verir. Bu rol, Microsoft Entra ID Genel yönetici rolü gibi Defender for Cloud Apps için tam izinler verir. Ancak bu rolün kapsamı Defender for Cloud Apps olarak belirlenmiştir ve diğer Microsoft güvenlik ürünlerinde tam izin vermez. |
Uyumluluk yöneticisi | Salt okunur izinlere sahiptir ve uyarıları yönetebilir. Bulut platformları için Güvenlik önerilerine erişemiyorum. Dosya ilkeleri oluşturabilir ve değiştirebilir, dosya idare eylemlerine izin verebilir ve Veri Yönetimi altındaki tüm yerleşik raporları görüntüleyebilir. |
Uyumluluk veri yöneticisi | Salt okunur izinlere sahiptir, dosya ilkeleri oluşturup değiştirebilir, dosya idare eylemlerine izin verebilir ve tüm bulma raporlarını görüntüleyebilir. Bulut platformları için Güvenlik önerilerine erişemiyorum. |
Güvenlik operatörü | Salt okunur izinlere sahiptir ve uyarıları yönetebilir. Bu yöneticilerin aşağıdaki eylemleri gerçekleştirmesi kısıtlanmıştır:
|
Güvenlik gözetmeni | Salt okunur izinlere sahiptir ve API erişim belirteçleri oluşturabilir. Bu yöneticilerin aşağıdaki eylemleri gerçekleştirmesi kısıtlanmıştır:
|
Genel okuyucu | Defender for Cloud Apps tüm yönlerine tam salt okunur erişime sahiptir. Hiçbir ayar değiştirilemez veya herhangi bir eylem gerçekleştiremezsiniz. |
Önemli
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Not
Uygulama idaresi özellikleri yalnızca Microsoft Entra ID roller tarafından denetleniyor. Daha fazla bilgi için bkz. Uygulama idaresi rolleri.
Roller ve İzinler
İzinler | Genel Yönetici | Güvenlik Yönetici | Uyumluluk Yönetici | Uyumluluk Verileri Yönetici | Güvenlik İşleci | Güvenlik Okuyucusu | Genel Okuyucu | PBI Yönetici | Bulut Uygulamaları Güvenliği yöneticisi |
---|---|---|---|---|---|---|---|---|---|
Uyarıları okuma | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Uyarıları yönetin | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
OAuth uygulamalarını okuma | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
OAuth uygulama eylemleri gerçekleştirme | ✔ | ✔ | ✔ | ✔ | |||||
Bulunan uygulamalara, bulut uygulaması kataloğuna ve diğer bulut bulma verilerine erişme | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
API bağlayıcılarını yapılandırma | ✔ | ✔ | ✔ | ✔ | |||||
Bulut bulma eylemleri gerçekleştirme | ✔ | ✔ | ✔ | ||||||
Dosya verilerine ve dosya ilkelerine erişme | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Dosya eylemleri gerçekleştirme | ✔ | ✔ | ✔ | ✔ | |||||
erişim idare günlüğü | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
İdare günlüğü eylemleri gerçekleştirme | ✔ | ✔ | ✔ | ✔ | |||||
Kapsamlı bulma idare günlüğüne erişme | ✔ | ✔ | ✔ | ||||||
İlkeleri okuma | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Tüm ilke eylemlerini gerçekleştirme | ✔ | ✔ | ✔ | ✔ | |||||
Dosya ilkesi eylemleri gerçekleştirme | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
OAuth ilkesi eylemleri gerçekleştirme | ✔ | ✔ | ✔ | ✔ | |||||
Yönetici erişimini yönetmeyi görüntüleme | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
Yöneticileri ve etkinlik gizliliğini yönetme | ✔ | ✔ | ✔ |
Defender for Cloud Apps'de yerleşik yönetici rolleri
Aşağıdaki belirli yönetici rolleri Microsoft Defender portalında İzinler > Cloud Apps > Rolleri alanında yapılandırılabilir:
Rol adı | Açıklama |
---|---|
Genel yönetici | Microsoft Entra Genel Yönetici rolüne benzer ancak yalnızca Defender for Cloud Apps tam erişime sahiptir. |
Uyumluluk yöneticisi | Microsoft Entra Uyumluluk yöneticisi rolüyle aynı izinleri verir, ancak yalnızca Defender for Cloud Apps. |
Güvenlik gözetmeni | Microsoft Entra Güvenlik okuyucusu rolüyle aynı izinleri verir, ancak yalnızca Defender for Cloud Apps. |
Güvenlik operatörü | Microsoft Entra Güvenlik işleci rolüyle aynı izinleri verir, ancak yalnızca Defender for Cloud Apps. |
Uygulama/örnek yöneticisi | Defender for Cloud Apps'da yalnızca belirli bir uygulama veya seçilen uygulamanın örneğiyle ilgilenen tüm veriler için tam veya salt okunur izinlere sahiptir. Örneğin, Box European örneğine bir kullanıcı yöneticisi izni verirsiniz. Yönetici, dosyalar, etkinlikler, ilkeler veya uyarılar olsun, yalnızca Box European örneğiyle ilgili verileri görür:
|
Kullanıcı grubu yöneticisi | Defender for Cloud Apps'da yalnızca kendilerine atanan belirli gruplarla ilgilenen tüm veriler için tam veya salt okunur izinlere sahiptir. Örneğin, "Almanya - tüm kullanıcılar" grubuna kullanıcı yöneticisi izinleri atarsanız, yönetici bilgileri yalnızca bu kullanıcı grubu için Defender for Cloud Apps görüntüleyebilir ve düzenleyebilir. Kullanıcı grubu yöneticisi aşağıdaki erişime sahiptir:
Notlar:
|
Cloud Discovery genel yöneticisi | Tüm bulut bulma ayarlarını ve verilerini görüntüleme ve düzenleme iznine sahiptir. Genel Bulma yöneticisi aşağıdaki erişime sahiptir:
|
Cloud Discovery rapor yöneticisi |
|
Önemli
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Yerleşik Defender for Cloud Apps yönetici rolleri yalnızca Defender for Cloud Apps erişim izinleri sağlar.
Yönetici izinlerini geçersiz kılma
Microsoft Entra ID veya Microsoft 365'ten bir yöneticinin iznini geçersiz kılmak istiyorsanız, kullanıcıyı el ile Defender for Cloud Apps ekleyerek ve kullanıcı izinlerini atayarak bunu yapabilirsiniz. Örneğin, Microsoft Entra ID'da Güvenlik okuyucusu olan Stephanie'yi Defender for Cloud Apps'da Tam erişime sahip olacak şekilde atamak istiyorsanız, Defender for Cloud Apps'a el ile ekleyebilir ve rolünü geçersiz kılmak ve gerekli izinlere izin vermek için ona Tam erişim atayabilirsiniz Defender for Cloud Apps. Tam erişim veren Microsoft Entra rolleri geçersiz kılmanın mümkün olmadığını unutmayın (Genel yönetici, Güvenlik yöneticisi ve Bulut Uygulamaları Güvenliği yöneticisi).
Önemli
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Ek yönetici ekleme
Microsoft Entra yönetim rollerine kullanıcı eklemeden Defender for Cloud Apps ek yöneticiler ekleyebilirsiniz. Ek yöneticiler eklemek için aşağıdaki adımları uygulayın:
Önemli
- Yönetici erişimini yönet sayfasına Genel Yöneticiler, Güvenlik Yöneticileri, Uyumluluk Yöneticileri, Uyumluluk Verileri Yöneticileri, Güvenlik İşleçleri, Güvenlik Okuyucuları ve Genel Okuyucular gruplarının üyeleri erişebilir.
- Yönetici erişimini yönet sayfasını düzenlemek ve diğer kullanıcılara Defender for Cloud Apps erişim vermek için en azından bir Güvenlik Yöneticisi rolüne sahip olmanız gerekir.
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Microsoft Defender Portalı'nın sol tarafındaki menüde İzinler'i seçin.
Cloud Apps'in altında Roller'i seçin.
Defender for Cloud Apps erişimi olması gereken yöneticileri eklemek için +Kullanıcı ekle'yi seçin. Kuruluşunuzun içinden bir kullanıcının e-posta adresini sağlayın.
Not
Defender for Cloud Apps için yönetici olarak dış Yönetilen Güvenlik Hizmet Sağlayıcıları (MSSP) eklemek istiyorsanız, önce bunları kuruluşunuza konuk olarak davet ettiğinizden emin olun.
Ardından, yöneticinin ne tür bir rolü olduğunu ayarlamak için açılan listeyi seçin. Uygulama/Örnek yöneticisi'ni seçerseniz, yöneticinin izinlere sahip olması için uygulamayı ve örneği seçin.
Not
Erişimi sınırlı olan, kısıtlı bir sayfaya erişmeye veya kısıtlanmış eylem gerçekleştirmeye çalışan tüm yöneticiler, sayfaya erişme veya eylemi gerçekleştirme iznine sahip olmadığı bir hata alır.
Yönetici ekle'yi seçin.
Dış yöneticileri davet etme
Defender for Cloud Apps, kuruluşunuzun (MSSP müşterisi) Defender for Cloud Apps hizmetinin yöneticisi olarak dış yöneticileri (MSSP) davet etmenizi sağlar. MSSP'leri eklemek için, MSSP kiracısında Defender for Cloud Apps etkinleştirildiğinden emin olun ve ardından bunları MSSP müşterileri Azure portal Microsoft Entra B2B işbirliği kullanıcıları olarak ekleyin. Eklendikten sonra, MSSP'ler yönetici olarak yapılandırılabilir ve Defender for Cloud Apps'da kullanılabilen rollerden herhangi birine atanabilir.
MSSP müşteri Defender for Cloud Apps hizmetine MSSP eklemek için
- Konuk kullanıcıları dizine ekleme altındaki adımları kullanarak MSSP müşteri dizinine MSSP'leri konuk olarak ekleyin.
- MSSP'leri ekleyin ve Ek yönetici ekleme altındaki adımları kullanarak MSSP müşteri Defender for Cloud Apps portalında bir yönetici rolü atayın. MSSP müşteri dizinine konuk olarak eklerken kullanılan dış e-posta adresini sağlayın.
MSSP müşteri Defender for Cloud Apps hizmetine MSSP erişimi
Varsayılan olarak, MSSP'ler Defender for Cloud Apps kiracılarına şu URL üzerinden erişmektedir: https://security.microsoft.com
.
Ancak MSSP'lerin, aşağıdaki biçimde kiracıya özgü bir URL kullanarak MSSP müşteri Microsoft Defender Portalına erişmesi gerekir: https://security.microsoft.com/?tid=<tenant_id>
.
MSSP'ler, MSSP müşteri portalı kiracı kimliğini almak için aşağıdaki adımları kullanabilir ve ardından kimliği kullanarak kiracıya özgü URL'ye erişebilir:
MSSP olarak kimlik bilgilerinizle Microsoft Entra ID oturum açın.
Dizini MSSP müşterisinin kiracısına geçirin.
Microsoft Entra ID>Özellikler'i seçin. MSSP müşteri kiracı kimliğini Kiracı Kimliği alanında bulabilirsiniz.
Aşağıdaki URL'deki değeri değiştirerek MSSP müşteri portalına
customer_tenant_id
erişin:https://security.microsoft.com/?tid=<tenant_id>
.
Yönetici etkinlik denetimi
Defender for Cloud Apps, yönetici oturum açma etkinliklerinin günlüğünü ve belirli bir kullanıcının görünümlerinin veya bir araştırmanın parçası olarak gerçekleştirilen uyarıların denetimini dışarı aktarmanıza olanak tanır.
Bir günlüğü dışarı aktarmak için aşağıdaki adımları uygulayın:
Microsoft Defender Portalı'nın sol tarafındaki menüde İzinler'i seçin.
Cloud Apps'in altında Roller'i seçin.
Yönetici rolleri sayfasının sağ üst köşesinde Yönetici etkinliklerini dışarı aktar'ı seçin.
Gerekli zaman aralığını belirtin.
Dışarı Aktar'ı seçin.