Aracılığıyla paylaş


Yönetici erişimini yapılandırma

Microsoft Defender for Cloud Apps rol tabanlı erişim denetimini destekler. Bu makalede, yöneticileriniz için Defender for Cloud Apps erişimi ayarlama yönergeleri sağlanır. Yönetici rolleri atama hakkında daha fazla bilgi için Microsoft Entra ID ve Microsoft 365 makalelerine bakın.

Defender for Cloud Apps erişimi olan Microsoft 365 ve Microsoft Entra rolleri

Not

  • Microsoft 365 ve Microsoft Entra rolleri Defender for Cloud Apps Yönetici erişimini yönet sayfasında listelenmez. Microsoft 365 veya Microsoft Entra ID rol atamak için söz konusu hizmetin ilgili RBAC ayarlarına gidin.
  • Defender for Cloud Apps, kullanıcının dizin düzeyi etkinlik dışı zaman aşımı ayarını belirlemek için Microsoft Entra ID kullanır. Bir kullanıcı Microsoft Entra ID etkin olmadığında hiçbir zaman oturumu kapatmayacak şekilde yapılandırılmışsa, aynı ayar Defender for Cloud Apps'da da geçerli olur.

Varsayılan olarak, aşağıdaki Microsoft 365 ve Microsoft Entra ID yönetici rolleri Defender for Cloud Apps erişebilir:

Rol adı Açıklama
Genel yönetici ve Güvenlik yöneticisi Tam erişimi olan yöneticilerin Defender for Cloud Apps tam izinleri vardır. Yöneticiler ekleyebilir, ilkeler ve ayarlar ekleyebilir, günlükleri karşıya yükleyebilir ve idare eylemleri gerçekleştirebilir, SIEM aracılarına erişebilir ve bu aracıları yönetebilir.
Bulut Uygulamaları Güvenliği yöneticisi Defender for Cloud Apps'de tam erişime ve izinlere izin verir. Bu rol, Microsoft Entra ID Genel yönetici rolü gibi Defender for Cloud Apps için tam izinler verir. Ancak bu rolün kapsamı Defender for Cloud Apps olarak belirlenmiştir ve diğer Microsoft güvenlik ürünlerinde tam izin vermez.
Uyumluluk yöneticisi Salt okunur izinlere sahiptir ve uyarıları yönetebilir. Bulut platformları için Güvenlik önerilerine erişemiyorum. Dosya ilkeleri oluşturabilir ve değiştirebilir, dosya idare eylemlerine izin verebilir ve Veri Yönetimi altındaki tüm yerleşik raporları görüntüleyebilir.
Uyumluluk veri yöneticisi Salt okunur izinlere sahiptir, dosya ilkeleri oluşturup değiştirebilir, dosya idare eylemlerine izin verebilir ve tüm bulma raporlarını görüntüleyebilir. Bulut platformları için Güvenlik önerilerine erişemiyorum.
Güvenlik operatörü Salt okunur izinlere sahiptir ve uyarıları yönetebilir. Bu yöneticilerin aşağıdaki eylemleri gerçekleştirmesi kısıtlanmıştır:
  • İlke oluşturma veya mevcut ilkeleri düzenleme ve değiştirme
  • herhangi bir idare eylemi gerçekleştirme
  • Bulma günlüklerini karşıya yükleme
  • Üçüncü taraf uygulamaları yasaklama veya onaylama
  • IP adresi aralığı ayarları sayfasına erişme ve görüntüleme
  • Tüm sistem ayarları sayfalarına erişme ve bunları görüntüleme
  • Bulma ayarlarına erişme ve bunları görüntüleme
  • Uygulama bağlayıcıları sayfasına erişme ve sayfayı görüntüleme
  • İdare günlüğüne erişme ve bunları görüntüleme
  • Anlık görüntü raporlarını yönet sayfasına erişme ve görüntüleme
Güvenlik gözetmeni Salt okunur izinlere sahiptir ve API erişim belirteçleri oluşturabilir. Bu yöneticilerin aşağıdaki eylemleri gerçekleştirmesi kısıtlanmıştır:
    İlke oluşturma veya mevcut ilkeleri düzenleme ve değiştirme
  • herhangi bir idare eylemi gerçekleştirme
  • Bulma günlüklerini karşıya yükleme
  • Üçüncü taraf uygulamaları yasaklama veya onaylama
  • IP adresi aralığı ayarları sayfasına erişme ve görüntüleme
  • Tüm sistem ayarları sayfalarına erişme ve bunları görüntüleme
  • Bulma ayarlarına erişme ve bunları görüntüleme
  • Uygulama bağlayıcıları sayfasına erişme ve sayfayı görüntüleme
  • İdare günlüğüne erişme ve bunları görüntüleme
  • Anlık görüntü raporlarını yönet sayfasına erişme ve görüntüleme
Genel okuyucu Defender for Cloud Apps tüm yönlerine tam salt okunur erişime sahiptir. Hiçbir ayar değiştirilemez veya herhangi bir eylem gerçekleştiremezsiniz.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Not

Uygulama idaresi özellikleri yalnızca Microsoft Entra ID roller tarafından denetleniyor. Daha fazla bilgi için bkz. Uygulama idaresi rolleri.

Roller ve İzinler

İzinler Genel Yönetici Güvenlik Yönetici Uyumluluk Yönetici Uyumluluk Verileri Yönetici Güvenlik İşleci Güvenlik Okuyucusu Genel Okuyucu PBI Yönetici Bulut Uygulamaları Güvenliği yöneticisi
Uyarıları okuma
Uyarıları yönetin
OAuth uygulamalarını okuma
OAuth uygulama eylemleri gerçekleştirme
Bulunan uygulamalara, bulut uygulaması kataloğuna ve diğer bulut bulma verilerine erişme
API bağlayıcılarını yapılandırma
Bulut bulma eylemleri gerçekleştirme
Dosya verilerine ve dosya ilkelerine erişme
Dosya eylemleri gerçekleştirme
erişim idare günlüğü
İdare günlüğü eylemleri gerçekleştirme
Kapsamlı bulma idare günlüğüne erişme
İlkeleri okuma
Tüm ilke eylemlerini gerçekleştirme
Dosya ilkesi eylemleri gerçekleştirme
OAuth ilkesi eylemleri gerçekleştirme
Yönetici erişimini yönetmeyi görüntüleme
Yöneticileri ve etkinlik gizliliğini yönetme

Defender for Cloud Apps'de yerleşik yönetici rolleri

Aşağıdaki belirli yönetici rolleri Microsoft Defender portalında İzinler > Cloud Apps > Rolleri alanında yapılandırılabilir:

Rol adı Açıklama
Genel yönetici Microsoft Entra Genel Yönetici rolüne benzer ancak yalnızca Defender for Cloud Apps tam erişime sahiptir.
Uyumluluk yöneticisi Microsoft Entra Uyumluluk yöneticisi rolüyle aynı izinleri verir, ancak yalnızca Defender for Cloud Apps.
Güvenlik gözetmeni Microsoft Entra Güvenlik okuyucusu rolüyle aynı izinleri verir, ancak yalnızca Defender for Cloud Apps.
Güvenlik operatörü Microsoft Entra Güvenlik işleci rolüyle aynı izinleri verir, ancak yalnızca Defender for Cloud Apps.
Uygulama/örnek yöneticisi Defender for Cloud Apps'da yalnızca belirli bir uygulama veya seçilen uygulamanın örneğiyle ilgilenen tüm veriler için tam veya salt okunur izinlere sahiptir.

Örneğin, Box European örneğine bir kullanıcı yöneticisi izni verirsiniz. Yönetici, dosyalar, etkinlikler, ilkeler veya uyarılar olsun, yalnızca Box European örneğiyle ilgili verileri görür:
  • Etkinlikler sayfası - Yalnızca belirli bir uygulamayla ilgili etkinlikler
  • Uyarılar - Yalnızca belirli bir uygulamayla ilgili uyarılar. Bazı durumlarda, veriler belirli bir uygulamayla ilişkiliyse başka bir uygulamayla ilgili uyarı verileri. Başka bir uygulamayla ilgili uyarı verilerinin görünürlüğü sınırlıdır ve daha fazla ayrıntı için detaya gitme erişimi yoktur
  • İlkeler - Tüm ilkeleri görüntüleyebilir ve atanmış tam izinler yalnızca uygulama/örnekle özel olarak ilgilenen ilkeleri düzenleyebilir veya oluşturabilir
  • Hesaplar sayfası - Yalnızca belirli bir uygulama/örnek için hesaplar
  • Uygulama izinleri - Yalnızca belirli bir uygulama/örnek için izinler
  • Dosyalar sayfası - Yalnızca belirli bir uygulamadan/örnekten dosyalar
  • Koşullu erişim uygulama denetimi - İzin yok
  • Bulut bulma etkinliği - İzin yok
  • Güvenlik uzantıları - Yalnızca kullanıcı izinlerine sahip API belirteci izinleri
  • İdare eylemleri - Yalnızca belirli uygulama/örnek için
  • Bulut platformları için güvenlik önerileri - İzin yok
  • IP aralıkları - İzin yok
Kullanıcı grubu yöneticisi Defender for Cloud Apps'da yalnızca kendilerine atanan belirli gruplarla ilgilenen tüm veriler için tam veya salt okunur izinlere sahiptir. Örneğin, "Almanya - tüm kullanıcılar" grubuna kullanıcı yöneticisi izinleri atarsanız, yönetici bilgileri yalnızca bu kullanıcı grubu için Defender for Cloud Apps görüntüleyebilir ve düzenleyebilir. Kullanıcı grubu yöneticisi aşağıdaki erişime sahiptir:

  • Etkinlikler sayfası - Yalnızca gruptaki kullanıcılarla ilgili etkinlikler
  • Uyarılar - Yalnızca gruptaki kullanıcılarla ilgili uyarılar. Bazı durumlarda, veriler gruptaki kullanıcılarla ilişkiliyse başka bir kullanıcıyla ilgili uyarı verileri. Başka kullanıcılarla ilgili uyarı verilerinin görünürlüğü sınırlıdır ve daha fazla ayrıntı için detaya gitme erişimi yoktur.
  • İlkeler - Tüm ilkeleri görüntüleyebilir ve atanan tam izinler yalnızca gruptaki kullanıcılarla özel olarak ilgilenen ilkeleri düzenleyebilir veya oluşturabilir
  • Hesaplar sayfası - Yalnızca gruptaki belirli kullanıcılara yönelik hesaplar
  • Uygulama izinleri – İzin yok
  • Dosyalar sayfası – İzin yok
  • Koşullu erişim uygulama denetimi - İzin yok
  • Bulut bulma etkinliği - İzin yok
  • Güvenlik uzantıları - Yalnızca gruptaki kullanıcılarla API belirteci izinleri
  • İdare eylemleri - Yalnızca gruptaki belirli kullanıcılar için
  • Bulut platformları için güvenlik önerileri - İzin yok
  • IP aralıkları - İzin yok


Notlar:
  • Kullanıcı grubu yöneticilerine grup atamak için önce bağlı uygulamalardan kullanıcı gruplarını içeri aktarmanız gerekir.
  • İçeri aktarılan Microsoft Entra gruplarına yalnızca kullanıcı grubu yöneticileri izinleri atayabilirsiniz.
Cloud Discovery genel yöneticisi Tüm bulut bulma ayarlarını ve verilerini görüntüleme ve düzenleme iznine sahiptir. Genel Bulma yöneticisi aşağıdaki erişime sahiptir:

  • Ayarlar: Sistem ayarları - Yalnızca görüntüleme; Cloud Discovery ayarları - Tümünü görüntüleme ve düzenleme (anonimleştirme izinleri rol ataması sırasında izin verilip verilmediğine bağlıdır)
  • Bulut bulma etkinliği - tam izinler
  • Uyarılar - yalnızca ilgili bulut bulma raporuyla ilgili uyarıları görüntüleme ve yönetme
  • İlkeler - Tüm ilkeleri görüntüleyebilir ve yalnızca bulut bulma ilkelerini düzenleyebilir veya oluşturabilir
  • Etkinlikler sayfası - İzin yok
  • Hesaplar sayfası - İzin yok
  • Uygulama izinleri – İzin yok
  • Dosyalar sayfası – İzin yok
  • Koşullu erişim uygulama denetimi - İzin yok
  • Güvenlik uzantıları - Kendi API belirteçlerini oluşturma ve silme
  • İdare eylemleri - Yalnızca Cloud Discovery ile ilgili eylemler
  • Bulut platformları için güvenlik önerileri - İzin yok
  • IP aralıkları - İzin yok
Cloud Discovery rapor yöneticisi
  • Ayarlar: Sistem ayarları - Yalnızca görüntüleme; Bulut bulma ayarları - Tümünü görüntüle (anonimleştirme izinleri rol ataması sırasında izin verilip verilmediğine bağlıdır)
  • Bulut bulma etkinliği - yalnızca okuma izinleri
  • Uyarılar – yalnızca ilgili bulut bulma raporuyla ilgili uyarıları görüntüleyin
  • İlkeler - Tüm ilkeleri görüntüleyebilir ve uygulamayı yönetme olanağı olmadan (etiketleme, tasdik ve tasdiksiz) yalnızca bulut bulma ilkeleri oluşturabilir
  • Etkinlikler sayfası - İzin yok
  • Hesaplar sayfası - İzin yok
  • Uygulama izinleri – İzin yok
  • Dosyalar sayfası – İzin yok
  • Koşullu erişim uygulama denetimi - İzin yok
  • Güvenlik uzantıları - Kendi API belirteçlerini oluşturma ve silme
  • İdare eylemleri – yalnızca ilgili bulut bulma raporuyla ilgili eylemleri görüntüleyin
  • Bulut platformları için güvenlik önerileri - İzin yok
  • IP aralıkları - İzin yok

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Yerleşik Defender for Cloud Apps yönetici rolleri yalnızca Defender for Cloud Apps erişim izinleri sağlar.

Yönetici izinlerini geçersiz kılma

Microsoft Entra ID veya Microsoft 365'ten bir yöneticinin iznini geçersiz kılmak istiyorsanız, kullanıcıyı el ile Defender for Cloud Apps ekleyerek ve kullanıcı izinlerini atayarak bunu yapabilirsiniz. Örneğin, Microsoft Entra ID'da Güvenlik okuyucusu olan Stephanie'yi Defender for Cloud Apps'da Tam erişime sahip olacak şekilde atamak istiyorsanız, Defender for Cloud Apps'a el ile ekleyebilir ve rolünü geçersiz kılmak ve gerekli izinlere izin vermek için ona Tam erişim atayabilirsiniz Defender for Cloud Apps. Tam erişim veren Microsoft Entra rolleri geçersiz kılmanın mümkün olmadığını unutmayın (Genel yönetici, Güvenlik yöneticisi ve Bulut Uygulamaları Güvenliği yöneticisi).

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Ek yönetici ekleme

Microsoft Entra yönetim rollerine kullanıcı eklemeden Defender for Cloud Apps ek yöneticiler ekleyebilirsiniz. Ek yöneticiler eklemek için aşağıdaki adımları uygulayın:

Önemli

  • Yönetici erişimini yönet sayfasına Genel Yöneticiler, Güvenlik Yöneticileri, Uyumluluk Yöneticileri, Uyumluluk Verileri Yöneticileri, Güvenlik İşleçleri, Güvenlik Okuyucuları ve Genel Okuyucular gruplarının üyeleri erişebilir.
  • Yönetici erişimini yönet sayfasını düzenlemek ve diğer kullanıcılara Defender for Cloud Apps erişim vermek için en azından bir Güvenlik Yöneticisi rolüne sahip olmanız gerekir.

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

  1. Microsoft Defender Portalı'nın sol tarafındaki menüde İzinler'i seçin.

  2. Cloud Apps'in altında Roller'i seçin.

İzinler menüsü.

  1. Defender for Cloud Apps erişimi olması gereken yöneticileri eklemek için +Kullanıcı ekle'yi seçin. Kuruluşunuzun içinden bir kullanıcının e-posta adresini sağlayın.

    Not

    Defender for Cloud Apps için yönetici olarak dış Yönetilen Güvenlik Hizmet Sağlayıcıları (MSSP) eklemek istiyorsanız, önce bunları kuruluşunuza konuk olarak davet ettiğinizden emin olun.

    yönetici ekleme.

  2. Ardından, yöneticinin ne tür bir rolü olduğunu ayarlamak için açılan listeyi seçin. Uygulama/Örnek yöneticisi'ni seçerseniz, yöneticinin izinlere sahip olması için uygulamayı ve örneği seçin.

    Not

    Erişimi sınırlı olan, kısıtlı bir sayfaya erişmeye veya kısıtlanmış eylem gerçekleştirmeye çalışan tüm yöneticiler, sayfaya erişme veya eylemi gerçekleştirme iznine sahip olmadığı bir hata alır.

  3. Yönetici ekle'yi seçin.

Dış yöneticileri davet etme

Defender for Cloud Apps, kuruluşunuzun (MSSP müşterisi) Defender for Cloud Apps hizmetinin yöneticisi olarak dış yöneticileri (MSSP) davet etmenizi sağlar. MSSP'leri eklemek için, MSSP kiracısında Defender for Cloud Apps etkinleştirildiğinden emin olun ve ardından bunları MSSP müşterileri Azure portal Microsoft Entra B2B işbirliği kullanıcıları olarak ekleyin. Eklendikten sonra, MSSP'ler yönetici olarak yapılandırılabilir ve Defender for Cloud Apps'da kullanılabilen rollerden herhangi birine atanabilir.

MSSP müşteri Defender for Cloud Apps hizmetine MSSP eklemek için

  1. Konuk kullanıcıları dizine ekleme altındaki adımları kullanarak MSSP müşteri dizinine MSSP'leri konuk olarak ekleyin.
  2. MSSP'leri ekleyin ve Ek yönetici ekleme altındaki adımları kullanarak MSSP müşteri Defender for Cloud Apps portalında bir yönetici rolü atayın. MSSP müşteri dizinine konuk olarak eklerken kullanılan dış e-posta adresini sağlayın.

MSSP müşteri Defender for Cloud Apps hizmetine MSSP erişimi

Varsayılan olarak, MSSP'ler Defender for Cloud Apps kiracılarına şu URL üzerinden erişmektedir: https://security.microsoft.com.

Ancak MSSP'lerin, aşağıdaki biçimde kiracıya özgü bir URL kullanarak MSSP müşteri Microsoft Defender Portalına erişmesi gerekir: https://security.microsoft.com/?tid=<tenant_id>.

MSSP'ler, MSSP müşteri portalı kiracı kimliğini almak için aşağıdaki adımları kullanabilir ve ardından kimliği kullanarak kiracıya özgü URL'ye erişebilir:

  1. MSSP olarak kimlik bilgilerinizle Microsoft Entra ID oturum açın.

  2. Dizini MSSP müşterisinin kiracısına geçirin.

  3. Microsoft Entra ID>Özellikler'i seçin. MSSP müşteri kiracı kimliğini Kiracı Kimliği alanında bulabilirsiniz.

  4. Aşağıdaki URL'deki değeri değiştirerek MSSP müşteri portalına customer_tenant_id erişin: https://security.microsoft.com/?tid=<tenant_id>.

Yönetici etkinlik denetimi

Defender for Cloud Apps, yönetici oturum açma etkinliklerinin günlüğünü ve belirli bir kullanıcının görünümlerinin veya bir araştırmanın parçası olarak gerçekleştirilen uyarıların denetimini dışarı aktarmanıza olanak tanır.

Bir günlüğü dışarı aktarmak için aşağıdaki adımları uygulayın:

  1. Microsoft Defender Portalı'nın sol tarafındaki menüde İzinler'i seçin.

  2. Cloud Apps'in altında Roller'i seçin.

  3. Yönetici rolleri sayfasının sağ üst köşesinde Yönetici etkinliklerini dışarı aktar'ı seçin.

  4. Gerekli zaman aralığını belirtin.

  5. Dışarı Aktar'ı seçin.

Sonraki adımlar