配置管理员访问权限
Microsoft Defender for Cloud Apps 支持基于角色的访问控制。 本文介绍了有关设置管理员对 Defender for Cloud Apps 的访问权限的说明。 有关分配管理员角色的更多信息,请参阅有关 Microsoft Entra ID 和 Microsoft 365 的文章。
有权访问 Defender for Cloud Apps 的 Microsoft 365 和 Microsoft Entra 角色
注意
- Microsoft 365 和 Microsoft Entra 角色未在 Defender for Cloud Apps 管理管理员的访问权限页中列出。 要在 Microsoft 365 或 Microsoft Entra ID 中分配角色,请转到该服务的相关 RBAC 设置。
- Defender for Cloud Apps 使用 Microsoft Entra ID 来确定用户的目录级非活动超时设置。 如果在 Microsoft Entra ID 中将用户配置为在非活动状态时永不退出登录,则同样会在 Defender for Cloud Apps 中应用相同的设置。
默认情况下,以下 Microsoft 365 和 Microsoft Entra ID 管理员角色有权访问 Defender for Cloud Apps:
| 角色名称 | 说明 |
|---|---|
| 全局管理员和安全管理员 | 具有完全访问权限的管理员在 Defender for Cloud Apps 中具有完全权限。 他们可以添加管理员、添加策略和设置、上传日志和执行治理操作、访问和管理 SIEM 代理。 |
| Cloud App Security 管理员 | 允许在 Defender for Cloud Apps 中具有完全访问和权限。 此角色授予对 Defender for Cloud Apps 的完整权限,类似于 Microsoft Entra ID 全局管理员角色。 但是,此角色的范围仅限于 Defender for Cloud Apps,并且不会授予跨其他 Microsoft 安全产品的完整权限。 |
| 法规管理员 | 拥有只读权限,可以管理警报。 无法访问云平台的安全建议。 可以创建和修改文件策略,允许文件管理操作,以及查看“数据管理”下的所有内置报表。 |
| 合规性数据管理员 | 具有只读权限,可以创建和修改文件策略、允许文件治理操作以及查看所有发现报告。 无法访问云平台的安全建议。 |
| 安全操作员 | 拥有只读权限,可以管理警报。 这些管理员无法执行以下操作:
|
| 安全读取者 | 具有只读权限,可以创建 API 访问令牌。 这些管理员无法执行以下操作:
|
| 全局读取者 | 对 Defender for Cloud Apps 的所有方面具有完全只读访问权限。 无法更改任何设置或执行任何操作。 |
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
注意
应用治理功能仅受 Microsoft Entra ID 角色的控制。 有关详细信息,请参阅应用治理角色。
角色和权限
| 权限 | 全局管理员 | 安全管理员 | 合规性管理员 | 合规性数据管理员 | 安全操作员 | 安全读取者 | 全局读取者 | PBI 管理员 | 云应用安全管理员 |
|---|---|---|---|---|---|---|---|---|---|
| 读取警报 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理警报 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| 读取 OAuth 应用程序 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 执行 OAuth 应用程序操作 | ✔ | ✔ | ✔ | ✔ | |||||
| 访问发现的应用、云应用目录和其他 Cloud Discovery 数据 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 配置 API 连接器 | ✔ | ✔ | ✔ | ✔ | |||||
| 执行云发现操作 | ✔ | ✔ | ✔ | ||||||
| 访问文件数据和文件策略 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 执行文件操作 | ✔ | ✔ | ✔ | ✔ | |||||
| 访问治理日志 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 执行治理日志操作 | ✔ | ✔ | ✔ | ✔ | |||||
| 访问限定范围的发现治理日志 | ✔ | ✔ | ✔ | ||||||
| 读取策略 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 执行所有策略操作 | ✔ | ✔ | ✔ | ✔ | |||||
| 执行文件策略操作 | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| 执行 OAuth 策略操作 | ✔ | ✔ | ✔ | ✔ | |||||
| 查看管理管理员访问权限 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 管理管理员和活动隐私 | ✔ | ✔ | ✔ |
Defender for Cloud Apps 中的内置管理员角色
可在 Microsoft Defender 门户的权限 > 云应用 > 角色区域中配置以下特定管理员角色:
| 角色名称 | 说明 |
|---|---|
| 全局管理员 | 具有类似于 Microsoft Entra 全局管理员角色的完全访问权限,但仅限于 Defender for Cloud Apps。 |
| 法规管理员 | 授予与 Microsoft Entra 符合性管理员角色相同的权限,但仅限于 Defender for Cloud Apps。 |
| 安全读取者 | 授予与 Microsoft Entra 安全信息读取者角色相同的权限,但仅限于 Defender for Cloud Apps。 |
| 安全操作员 | 授予与 Microsoft Entra 安全操作员角色相同的权限,但仅限于 Defender for Cloud Apps。 |
| 应用/实例管理员 | 拥有对 Defender for Cloud Apps 中所有数据的完全或只读权限,这些数据专门处理特定应用或选定应用的实例。 例如,授予用户对 Box European 实例的管理员权限。 管理员只能看见与 Box European 实例相关的数据(无论是文件、活动、策略或警报):
|
| 用户组管理员 | 对 Defender for Cloud Apps 中的所有数据拥有完全或只读权限,这些数据专门处理分配给他们的特定组。 例如,如果将用户管理员权限分配给“德国-所有用户”组,则管理员只能在 Defender for Cloud Apps 中查看和编辑该用户组的信息。 用户组管理员拥有以下访问权限:
注释:
|
| Cloud Discovery 全局管理员 | 有权查看和编辑所有 Cloud Discovery 设置和数据。 全局发现管理员拥有以下访问权限:
|
| Cloud Discovery 报表管理员 |
|
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
内置的 Defender for Cloud Apps 管理员角色仅提供对 Defender for Cloud Apps 的访问权限。
替换管理员权限
要替代 Microsoft Entra ID 或 Microsoft 365 中的管理员权限,可以将用户手动添加到 Defender for Cloud Apps 中,然后为其分配权限。 例如,假设要分配给 Stephanie,她是 Microsoft Entra ID 中的安全信息读取者,但要在 Defender for Cloud Apps 中拥有完全访问权限,你可以将其手动添加到 Defender for Cloud Apps 中,并向她分配完全访问权限,从而替代她的角色,使其在 Defender for Cloud Apps 中拥有必要的权限。 请注意,无法替代授予完全访问权限的 Microsoft Entra 角色(全局管理员、安全管理员和云应用安全管理员)。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
添加其他管理员
你可以将其他管理员添加到 Defender for Cloud Apps,而无需将用户添加到 Microsoft Entra 管理角色中。 若要添加其他管理员,请执行以下步骤:
重要
- “管理管理员访问”页可供全局管理员成员、安全管理员、合规性管理员、合规性数据管理员、安全操作员、安全信息读取者和全局读取者组的成员访问。
- 若要编辑管理管理员访问页并授予其他用户对 Defender for Cloud Apps 的访问权限,必须至少具有安全管理员角色。
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
在 Microsoft Defender 门户的左侧菜单中,选择“权限”。
在“Cloud Apps”下,选择“角色”。
选择“+ 添加用户”以添加有权访问 Defender for Cloud Apps 的管理员。 提供组织内部用户的电子邮件地址。
注意
如果要将外部托管安全服务提供商 (MSSP) 添加为 Defender for Cloud Apps 的管理员,则请确保首先邀请他们作为来宾以加入组织。
接下来,选择下拉列表以设置管理员拥有的角色类型。 如果选择“应用/实例管理员”,为管理员选择具有相应权限的应用和实例。
注意
任何尝试访问受限页面或执行受限操作的访问受限的管理员都会看到错误消息,提醒其无权访问相应页面或执行相应操作。
选择“添加管理员”。
邀请外部管理员
借助 Defender for Cloud Apps,可邀请外部管理员 (MSSP) 作为组织的(MSSP 客户)Defender for Cloud Apps 服务的管理员。 要添加 MSSP,请确保在 MSSP 租户上启用了 Defender for Cloud Apps,然后在 MSSP 客户 Azure 门户中将其添加为 Microsoft Entra B2B 协作用户。 添加后,可以将 MSSP 配置为管理员,并为其分配 Defender for Cloud Apps 中可用的任何角色。
将 MSSP 添加到 MSSP 客户 Defender for Cloud Apps 服务
- 使用“将来宾用户添加到目录”下的步骤,将 MSSP 添加为 MSSP 客户目录中的来宾。
- 使用“添加其他管理员”下的步骤,在 MSSP 客户 Defender for Cloud Apps 门户中添加 MSSP 并分配管理员角色。 提供在 MSSP 客户目录中将其添加为来宾时使用的相同外部电子邮件地址。
添加到 MSSP 客户 Defender for Cloud Apps 服务的 MSSP 的访问权限
默认情况下,MSSP 通过以下 URL 访问其 Defender for Cloud Apps 租户:https://security.microsoft.com。
但是,MSSP 需要使用以下格式的特定于租户的 URL 来访问 MSSP 客户 Microsoft Defender 门户:https://security.microsoft.com/?tid=<tenant_id>。
MSSP 可以使用以下步骤获取 MSSP 客户门户租户 ID,然后使用该 ID 访问特定于租户的 URL:
作为 MSSP,使用你的凭据登录 Microsoft Entra ID。
将目录切换到 MSSP 客户的租户。
选择 Microsoft Entra ID>属性。 可在“租户 ID”字段中找到 MSSP 客户租户 ID。
通过替换以下 URL 中的
customer_tenant_id值来访问 MSSP 客户门户:https://security.microsoft.com/?tid=<tenant_id>。
管理员活动审核
Defender for Cloud Apps 允许你导出管理员登录活动的日志,并审核在调查过程中执行的特定用户或警报的视图。
要导出日志,请执行以下步骤:
在 Microsoft Defender 门户的左侧菜单中,选择“权限”。
在“Cloud Apps”下,选择“角色”。
在“管理员角色”页的右上角,选择“导出管理员活动”。
指定所需的时间范围。
选择导出。