Yönetici erişimini yönetme

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketinden gelen sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft 365 Defender. Daha fazla bilgi için bkz. Microsoft 365 Defender'da uygulamalar Bulut için Microsoft Defender.

Bulut için Microsoft Defender Uygulamaları rol tabanlı erişim denetimini destekler. Bu makalede, yöneticileriniz için Bulut için Defender Uygulamalarına erişimi ayarlama yönergeleri sağlanır. Yönetici rolleri atama hakkında daha fazla bilgi için Azure Active Directory (Azure AD) ve Microsoft 365 makalelerine bakın.

Bulut için Defender Uygulamalarına erişimi olan Microsoft 365 ve Azure AD rolleri

Dekont

  • Microsoft 365 ve Azure AD rolleri, Bulut için Defender Uygulamaları Yönet yönetici erişimini yönet sayfasında listelenmez. Microsoft 365 veya Azure Active Directory'de rol atamak için ilgili hizmet için ilgili RBAC ayarlarına gidin.
  • Bulut için Defender Apps, kullanıcının dizin düzeyi etkinlik dışı zaman aşımı ayarını belirlemek için Azure Active Directory kullanır. Kullanıcı Azure Active Directory'de etkin olmadığında hiçbir zaman oturumu kapatmayacak şekilde yapılandırıldıysa, aynı ayar Bulut için Defender Uygulamalarında da geçerli olur.

Varsayılan olarak, aşağıdaki Microsoft 365 ve Azure AD yönetici rolleri Bulut için Defender Uygulamalarına erişebilir:

  • Genel yönetici ve Güvenlik yöneticisi: Tam erişime sahip Yönetici istrator'ların Bulut için Defender Uygulamalarında tam izinleri vardır. Yöneticiler ekleyebilir, ilke ve ayar ekleyebilir, günlükleri karşıya yükleyebilir ve idare eylemleri gerçekleştirebilir, SIEM aracılarına erişebilir ve bu aracıları yönetebilir.

  • Bulut Uygulamaları Güvenliği yöneticisi: Bulut için Defender Uygulamalarında tam erişime ve izinlere izin verir. Bu rol, Azure AD Genel yönetici rolü gibi Bulut için Defender Uygulamaları için tam izinler verir. Ancak bu rolün kapsamı Bulut için Defender Uygulamalar olarak belirlenmiştir ve diğer Microsoft güvenlik ürünlerine tam izin vermez.

  • Uyumluluk yöneticisi: Salt okunur izinlere sahiptir ve uyarıları yönetebilir. Bulut platformları için Güvenlik önerilerine erişemiyorum. Dosya ilkeleri oluşturup değiştirebilir, dosya idare eylemlerine izin verebilir ve Veri Yönetimi altındaki tüm yerleşik raporları görüntüleyebilir.

  • Uyumluluk veri yöneticisi: Salt okunur izinlere sahiptir, dosya ilkeleri oluşturup değiştirebilir, dosya idare eylemlerine izin verebilir ve tüm bulma raporlarını görüntüleyebilir. Bulut platformları için Güvenlik önerilerine erişemiyorum.

Dekont

28 Ağustos 2022 itibarıyla Azure AD Güvenlik Okuyucusu rolüne atanan kullanıcılar Bulut için Microsoft Defender Uygulamaları uyarılarını yönetemez. Bu değişiklik önümüzdeki birkaç hafta içinde tüm müşterilere aşamalı olarak dağıtılacaktır. Uyarıları yönetmeye devam etmek için kullanıcının rolü bir Azure AD Güvenlik operatörüne güncelleştirilmelidir.

  • Güvenlik işleci: Salt okunur izinlere sahiptir ve uyarıları yönetebilir. Bu yöneticilerin aşağıdaki eylemleri yapması kısıtlanmıştır:

    • İlke oluşturma veya mevcut ilkeleri düzenleme ya da değiştirme
    • Herhangi bir idare eylem gerçekleştirme
    • Bulma günlükleri yükleme
    • Üçüncü taraf uygulamaları yasaklama veya onaylama
    • IP adresi aralığı ayarları sayfasına erişme ve sayfayı görüntüleme
    • Tüm sistem ayarları sayfalarına erişme ve bunları görüntüleme
    • Bulma ayarlarına erişme ve bunları görüntüleme
    • Uygulama bağlayıcısı s sayfasına erişme ve sayfayı görüntüleme
    • İdare günlüğüne erişme ve günlüğü görüntüleme
    • Anlık görüntü raporlarını yönet sayfasına erişme ve sayfayı görüntüleme
    • SIEM aracılarına erişme ve bunları görüntüleme

  • Güvenlik okuyucusu: Salt okunur izinlere sahiptir. Bu yöneticilerin aşağıdaki eylemleri yapması kısıtlanmıştır:

    • İlke oluşturma veya mevcut ilkeleri düzenleme ya da değiştirme
    • Herhangi bir idare eylem gerçekleştirme
    • Bulma günlükleri yükleme
    • Üçüncü taraf uygulamaları yasaklama veya onaylama
    • IP adresi aralığı ayarları sayfasına erişme ve sayfayı görüntüleme
    • Tüm sistem ayarları sayfalarına erişme ve bunları görüntüleme
    • Bulma ayarlarına erişme ve bunları görüntüleme
    • Uygulama bağlayıcısı s sayfasına erişme ve sayfayı görüntüleme
    • İdare günlüğüne erişme ve günlüğü görüntüleme
    • Anlık görüntü raporlarını yönet sayfasına erişme ve sayfayı görüntüleme
    • SIEM aracılarına erişme ve bunları görüntüleme

  • Genel okuyucu: Bulut için Defender Uygulamalarının tüm yönlerine tam salt okunur erişime sahiptir. Hiçbir ayar değiştirilemez veya herhangi bir eylem gerçekleştiremezsiniz.

Roller ve izinler

İzinler Genel Yönetici Güvenlik Yöneticisi Uyumluluk Yöneticisi Uyumluluk Verileri Yönetici Güvenlik İşleci Güvenlik Okuyucusu Genel Okuyucu PBI Yönetici Bulut Uygulamaları Güvenliği yöneticisi
Uyarıları okuma
Uyarıları yönetme
OAuth uygulamalarını okuma
OAuth uygulama eylemlerini gerçekleştirme
Bulunan uygulamalara, bulut uygulaması kataloğuna ve diğer bulut bulma verilerine erişme
API bağlayıcılarını yapılandırma
Bulut bulma eylemleri gerçekleştirme
Dosya verilerine ve dosya ilkelerine erişme
Dosya eylemleri gerçekleştirme
Erişim idare günlüğü
İdare günlüğü eylemleri gerçekleştirme
Kapsamlı bulma idare günlüğüne erişme
İlkeleri okuma
Tüm ilke eylemlerini gerçekleştirme
Dosya ilkesi eylemleri gerçekleştirme
OAuth ilke eylemlerini gerçekleştirme
Yönetici erişimini yönetmeyi görüntüleme
Yöneticileri ve etkinlik gizliliğini yönetme

Bulut için Defender Uygulamalarında yerleşik yönetici rolleri

Aşağıdaki belirli yönetici rolleri Bulut için Defender Uygulamaları portalında yapılandırılabilir:

  • Genel yönetici: Azure AD Genel yönetici rolüne benzer ancak yalnızca Bulut için Defender Uygulamalarına tam erişime sahiptir.

  • Uyumluluk yöneticisi: Azure AD Uyumluluk yöneticisi rolüyle aynı izinleri verir, ancak yalnızca Bulut için Defender Uygulamalarına verir.

  • Güvenlik okuyucusu: Azure AD Güvenlik okuyucusu rolüyle aynı izinleri verir ancak yalnızca Bulut için Defender Uygulamalarına verir.

  • Güvenlik işleci: Azure AD Güvenliği işleci rolüyle aynı izinleri verir ancak yalnızca Bulut için Defender Uygulamalarına verir.

  • Uygulama/örnek yöneticisi: Bulut için Defender Uygulamaları'nda seçilen belirli bir uygulama veya uygulama örneğiyle özel olarak ilgilenen tüm veriler için tam veya salt okunur izinlere sahiptir. Örneğin, Box European örneğine kullanıcı yöneticisi izni verirsiniz. Yönetici yalnızca Box European örneğiyle ilişkili verileri (dosyalar, etkinlikler, ilkeler veya uyarılar) görür:

    • Etkinlikler sayfası - Yalnızca belirli uygulamayla ilgili etkinlikler
    • Uyarılar - Yalnızca belirli uygulamayla ilgili uyarılar. Bazı durumlarda, veriler belirli bir uygulamayla ilişkiliyse başka bir uygulamayla ilgili uyarı verileri. Başka bir uygulamayla ilgili uyarı verilerinin görünürlüğü sınırlıdır ve daha fazla ayrıntı için detaya gitme erişimi yoktur
    • İlkeler - Tüm ilkeleri görüntüleyebilir ve atanan tam izinler yalnızca uygulama/örnekle özel olarak ilgilenen ilkeleri düzenleyebilir veya oluşturabilir
    • Hesaplar sayfası - Yalnızca belirli bir uygulamaya/örneğe yönelik hesaplar
    • Uygulama izinleri - Yalnızca belirli uygulama/örnek için izinler
    • Dosyalar sayfası - Yalnızca belirli uygulama/örnekteki dosyalar
    • Koşullu Erişim Uygulama Denetimi - İzin yok
    • Cloud Discovery etkinliği - İzin yok
    • Güvenlik uzantıları - Yalnızca kullanıcı izinlerine sahip API belirtecinin izinleri
    • İdare eylemleri - Yalnızca belirli uygulama/örnek için
    • Bulut platformları için güvenlik önerileri - İzin yok
    • IP aralıkları - İzin yok

  • Kullanıcı grubu yöneticisi: Bulut için Defender Uygulamalarında yalnızca kendilerine atanan belirli gruplarla ilgilenen tüm veriler için tam veya salt okunur izinlere sahiptir. Örneğin, "Almanya - tüm kullanıcılar" grubuna kullanıcı yöneticisi izinleri atarsanız, yönetici yalnızca bu kullanıcı grubu için Bulut için Defender Uygulamalarında bilgileri görüntüleyebilir ve düzenleyebilir. Kullanıcı grubu yöneticisi aşağıdaki erişime sahiptir:

    • Etkinlikler sayfası - Yalnızca gruptaki kullanıcılarla ilgili etkinlikler

    • Uyarılar - Yalnızca gruptaki kullanıcılarla ilgili uyarılar. Bazı durumlarda, veriler gruptaki kullanıcılarla bağıntılıysa, başka bir kullanıcıyla ilgili uyarı verileri. Başka kullanıcılarla ilgili uyarı verilerinin görünürlüğü sınırlıdır ve daha fazla ayrıntı için detaya gitme erişimi yoktur.

    • İlkeler - Tüm ilkeleri görüntüleyebilir ve atanan tam izinler yalnızca gruptaki kullanıcılarla özel olarak ilgilenen ilkeleri düzenleyebilir veya oluşturabilir

    • Hesaplar sayfası - Yalnızca gruptaki belirli kullanıcılara yönelik hesaplar

    • Uygulama izinleri – İzin yok

    • Dosyalar sayfası – İzin yok

    • Koşullu Erişim Uygulama Denetimi - İzin yok

    • Cloud Discovery etkinliği - İzin yok

    • Güvenlik uzantıları - Yalnızca gruptaki kullanıcılarla API belirteci izinleri

    • İdare eylemleri - Yalnızca gruptaki belirli kullanıcılar için

    • Bulut platformları için güvenlik önerileri - İzin yok

    • IP aralıkları - İzin yok

      Dekont

      • Kullanıcı grubu yöneticilerine grup atamak için, önce bağlı uygulamalardan kullanıcı gruplarını içeri aktarmanız gerekir.
      • İçeri aktarılan Azure AD gruplarına yalnızca kullanıcı grubu yöneticileri izinleri atayabilirsiniz.

  • Cloud Discovery genel yöneticisi: Tüm Cloud Discovery ayarlarını ve verilerini görüntüleme ve düzenleme iznine sahiptir. Genel Bulma yöneticisi aşağıdaki erişime sahiptir:

    • Ayarlar
      • Sistem ayarları - Yalnızca görüntüleme
      • Cloud Discovery ayarları - Tümünü görüntüleme ve düzenleme (anonimleştirme izinleri rol ataması sırasında izin verilip verilmediğine bağlıdır)
    • Cloud Discovery etkinliği - tam izinler
    • Uyarılar - yalnızca ilgili Cloud Discovery raporuyla ilgili uyarıları görüntüleme ve yönetme
    • İlkeler - Tüm ilkeleri görüntüleyebilir ve yalnızca Cloud Discovery ilkelerini düzenleyebilir veya oluşturabilir
    • Etkinlikler sayfası - İzin yok
    • Hesaplar sayfası - İzin yok
    • Uygulama izinleri – İzin yok
    • Dosyalar sayfası – İzin yok
    • Koşullu Erişim Uygulama Denetimi - İzin yok
    • Güvenlik uzantıları - Kendi API belirteçlerini oluşturma ve silme
    • İdare eylemleri - Yalnızca Cloud Discovery ile ilgili eylemler
    • Bulut platformları için güvenlik önerileri - İzin yok
    • IP aralıkları - İzin yok

  • Cloud Discovery rapor yöneticisi:

    • Ayarlar
      • Sistem ayarları - Yalnızca görüntüleme
      • Cloud Discovery ayarları - Tümünü görüntüle (anonimleştirme izinleri rol ataması sırasında izin verilip verilmediğine bağlıdır)
    • Cloud Discovery etkinliği - yalnızca okuma izinleri
    • Uyarılar – yalnızca ilgili Cloud Discovery raporuyla ilgili uyarıları görüntüleme
    • İlkeler - Tüm ilkeleri görüntüleyebilir ve uygulamayı idare etme olanağı olmadan (etiketleme, tasdik ve tasdiksiz) yalnızca Cloud Discovery ilkeleri oluşturabilir
    • Etkinlikler sayfası - İzin yok
    • Hesaplar sayfası - İzin yok
    • Uygulama izinleri – İzin yok
    • Dosyalar sayfası – İzin yok
    • Koşullu Erişim Uygulama Denetimi - İzin yok
    • Güvenlik uzantıları - Kendi API belirteçlerini oluşturma ve silme
    • İdare eylemleri – yalnızca ilgili Cloud Discovery raporuyla ilgili eylemleri görüntüleyin
    • Bulut platformları için güvenlik önerileri - İzin yok
    • IP aralıkları - İzin yok

Dekont

Yerleşik Bulut için Defender Apps yönetici rolleri yalnızca Bulut için Defender Uygulamalarına erişim izinleri sağlar.

Yönetici izinlerini geçersiz kılma

Azure AD veya Microsoft 365'ten bir yöneticinin iznini geçersiz kılmak istiyorsanız, kullanıcıyı Bulut için Defender Uygulamalarına el ile ekleyerek ve kullanıcı izinlerini atayarak bunu yapabilirsiniz. Örneğin, Azure AD'de Güvenlik okuyucusu olan Stephanie'yi Bulut için Defender Uygulamaları'nda Tam erişime sahip olacak şekilde atamak istiyorsanız, Bulut için Defender Uygulamaları'na el ile ekleyebilir ve rolünü geçersiz kılmak ve Bulut için Defender Uygulamalarında gerekli izinlere izin vermek için ona Tam erişim atayabilirsiniz. Tam erişim veren Azure AD rollerini geçersiz kılmanın mümkün olmadığını unutmayın (Genel yönetici, Güvenlik yöneticisi ve Bulut Uygulamaları Güvenliği yöneticisi).

Ek yönetici ekleme

Azure AD yönetim rollerine kullanıcı eklemeden Bulut için Defender Uygulamalarına ek yöneticiler ekleyebilirsiniz. Ek yöneticiler eklemek için aşağıdaki adımları uygulayın:

Önemli

  • Yönetici erişimini yönet sayfasına Genel Yönetici strators, Security Yönetici istrators, Compliance Yönetici istrators, Compliance Data Yönetici istrators, Security Operators, Security Readers ve Global Readers gruplarının üyeleri erişebilir.
  • Yönetici erişimini yönet sayfasını yalnızca Azure AD Genel Yönetici istrator'ları veya Güvenlik Yönetici leyicileri düzenleyebilir ve diğer kullanıcılara Bulut için Defender Uygulamalarına erişim verebilir.

  1. Microsoft 365 Defender portalının sol tarafındaki menüde İzinler'i seçin.

  2. Cloud Apps'in altında Roller'i seçin.

Permissions menu.

  1. Bulut için Defender Uygulamalarına erişimi olması gereken yöneticileri eklemek için +Kullanıcı ekle'yi seçin. Kuruluşunuzun içinden bir kullanıcının e-posta adresini sağlayın.

    Dekont

    dış Yönetilen Güvenlik Hizmeti Sağlayıcıları'nı (MSSP) Bulut için Defender Uygulamaları portalınızın yöneticileri olarak eklemek istiyorsanız, önce bunları kuruluşunuza konuk olarak davet ettiğinizden emin olun.

    add admins.

  2. Ardından yöneticinin ne tür bir rolü olduğunu, Genel yönetici, Güvenlik okuyucusu, Uyumluluk yöneticisi, Uygulama/Örnek yöneticisi, Kullanıcı grubu yöneticisi, Cloud Discovery genel yöneticisi veya Cloud Discovery rapor yöneticisini ayarlamak için açılan listeyi seçin. Uygulama/Örnek yöneticisi'ni seçerseniz, yöneticinin izinlere sahip olması için uygulamayı ve örneği seçin.

    Dekont

    Erişimi sınırlı olan, kısıtlı bir sayfaya erişmeye veya kısıtlanmış bir eylem gerçekleştirmeye çalışan herhangi bir yönetici, sayfaya erişme veya eylemi gerçekleştirme iznine sahip olmadığı bir hata alır.

  3. Yönetici ekle'yi seçin.

Dış yöneticileri davet etme

Bulut için Defender Uygulamaları, kuruluşunuzun (MSSP müşterisi) Bulut için Defender Apps portalının yöneticileri olarak dış yöneticileri (MSSP) davet etmenizi sağlar. MSSP eklemek için, MSSPs kiracısında Bulut için Defender Uygulamalar'ın etkinleştirildiğinden emin olun ve ardından bunları MSSPs müşterileri Azure portalında Azure AD B2B işbirliği kullanıcıları olarak ekleyin. Eklendikten sonra, MSSP'ler yönetici olarak yapılandırılabilir ve Bulut için Defender Uygulamalarında kullanılabilen rollerden herhangi birine atanabilir.

MSSP müşteri Bulut için Defender Uygulamaları portalına MSSP eklemek için

  1. Dizine konuk kullanıcı ekleme altındaki adımları kullanarak MSSP müşteri dizinine MSSP'leri konuk olarak ekleyin.
  2. MSSP ekleyin ve Ek yönetici ekleme altındaki adımları kullanarak MSSP müşteri Bulut için Defender Uygulamaları portalında bir yönetici rolü atayın. BUNLARı MSSP müşteri dizinine konuk olarak eklerken kullanılan dış e-posta adresini sağlayın.

MSSP müşteri Bulut için Defender Uygulamaları portalına MSSP erişimi

Varsayılan olarak, MSSP'ler Bulut için Defender Apps kiracılarına şu URL aracılığıyla erişilir: https://security.microsoft.com.

Ancak MSSP'lerin kiracıya özgü bir URL kullanarak MSSP müşterisi Microsoft 365 Defender portalına şu biçimde erişmesi gerekir: https://security.microsoft.com/?tid=<tenant_id>.

MSSP'ler, MSSP müşteri portalı kiracı kimliğini almak için aşağıdaki adımları kullanabilir ve ardından kiracıya özgü URL'ye erişmek için kimliği kullanabilir:

  1. MSSP olarak kimlik bilgilerinizle Azure AD'de oturum açın.

  2. Dizini MSSP müşterisinin kiracısına geçirin.

  3. Azure Active Directory>Özellikler’i seçin. MSSP müşteri kiracı kimliğini Kiracı Kimliği alanında bulabilirsiniz.

  4. Aşağıdaki URL'deki değeri değiştirerek MSSP müşteri portalına customer_tenant_id erişin: https://security.microsoft.com/?tid=<tenant_id>.

Yönetici etkinlik denetimi

Bulut için Defender Uygulamaları, yönetici oturum açma etkinliklerinin günlüğünü ve araştırma kapsamında gerçekleştirilen belirli bir kullanıcının veya uyarıların görünümlerini denetlemenizi sağlar.

Günlüğü dışarı aktarmak için aşağıdaki adımları uygulayın:

  1. Microsoft 365 Defender portalının sol tarafındaki menüde İzinler'i seçin.

  2. Cloud Apps'in altında Roller'i seçin.

  3. Yönetici rolleri sayfasının sağ üst köşesinde Yönetici etkinliklerini dışarı aktar'ı seçin.

  4. Gerekli zaman aralığını belirtin.

  5. Dışa aktar'ı seçin.

Sonraki adımlar

Cloud Discovery'yi ayarlama