管理管理員存取權
適用於雲端的 Microsoft Defender Apps 支援角色型訪問控制。 本文提供設定系統管理員 適用於雲端的 Defender 應用程式存取權的指示。 如需指派系統管理員角色的詳細資訊,請參閱 Microsoft Entra ID 和 Microsoft 365 的文章。
可存取 適用於雲端的 Defender Apps 的 Microsoft 365 和 Microsoft Entra 角色
注意
- Microsoft 365 和 Microsoft Entra 角色未列在 適用於雲端的 Defender Apps 管理系統管理員存取頁面中。 若要在 Microsoft 365 或 Microsoft Entra 識別符中指派角色,請移至該服務的相關 RBAC 設定。
- 適用於雲端的 Defender Apps 會使用 Microsoft Entra ID 來判斷使用者的目錄層級閒置逾時設定。 如果使用者在 Microsoft Entra ID 中設定為在非使用中時永遠不會註銷,則相同的設定也會套用在 適用於雲端的 Defender Apps 中。
根據預設,下列Microsoft 365 和 Microsoft Entra ID 管理員角色可以存取 適用於雲端的 Defender Apps:
全域管理員和安全性系統管理員:具有完整存取權的系統管理員在 適用於雲端的 Defender Apps 中具有完整許可權。 他們可以新增系統管理員、新增原則和設定、上傳記錄,以及執行治理動作、存取和管理 SIEM 代理程式。
雲端 App 安全性 系統管理員:允許 適用於雲端的 Defender 應用程式中的完整存取權和許可權。 此角色會授與 適用於雲端的 Defender 應用程式的完整許可權,例如Microsoft Entra ID 全域管理員角色。 不過,此角色的範圍是 適用於雲端的 Defender 應用程式,而且不會授與其他Microsoft安全性產品的完整許可權。
規範管理員:具有唯讀權限,且可以管理警示。 無法存取雲端平臺的安全性建議。 可以建立和修改檔案原則、允許檔案控管動作,以及檢視 [資料管理] 下所有的內建報表。
合規性數據管理員:具有唯讀許可權、可以建立和修改檔案原則、允許檔案控管動作,以及檢視所有探索報告。 無法存取雲端平臺的安全性建議。
安全性操作員:具有唯讀許可權,而且可以管理警示。 這些系統管理員受限於執行下列動作:
- 建立原則或編輯和變更現有原則
- 執行任何管理動作
- 上傳探索記錄
- 禁用或核准協力廠商應用程式
- 存取和檢視 IP 位址範圍設定頁面
- 存取和檢視任何系統設定頁面
- 存取和檢視 Discovery 設定
- 存取和檢視 App 連線程式頁面
- 存取和檢視管理記錄檔
- 存取和檢視管理快照集報告頁面
安全性讀取器:具有唯讀許可權,而且可以建立 API 存取令牌。 這些系統管理員受限於執行下列動作:
- 建立原則或編輯和變更現有原則
- 執行任何管理動作
- 上傳探索記錄
- 禁用或核准協力廠商應用程式
- 存取和檢視 IP 位址範圍設定頁面
- 存取和檢視任何系統設定頁面
- 存取和檢視 Discovery 設定
- 存取和檢視 App 連線程式頁面
- 存取和檢視管理記錄檔
- 存取和檢視管理快照集報告頁面
全域讀取者:具有 適用於雲端的 Defender 應用程式所有層面的完整只讀存取權。 無法變更任何設定或採取任何動作。
注意
應用程式控管功能僅受Microsoft Entra ID 角色控制。 如需詳細資訊,請參閱 應用程式控管角色。
角色和權限
| 權限 | 全域管理員 | 安全性系統管理員 | 合規性管理員 | 合規性數據管理員 | 安全性操作員 | 安全性讀取者 | 全域讀取者 | PBI 管理員 | 雲端 App 安全性 系統管理員 |
|---|---|---|---|---|---|---|---|---|---|
| 讀取警示 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理警示 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| 讀取 OAuth 應用程式 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行 OAuth 應用程式動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取探索到的應用程式、雲端應用程式目錄和其他雲端探索數據 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 設定 API 連接器 | ✔ | ✔ | ✔ | ✔ | |||||
| 執行雲端探索動作 | ✔ | ✔ | ✔ | ||||||
| 存取檔案數據和檔案原則 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行檔案動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取治理記錄 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行治理記錄動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取範圍探索治理記錄 | ✔ | ✔ | ✔ | ||||||
| 讀取原則 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行所有原則動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 執行檔案原則動作 | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| 執行 OAuth 原則動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 檢視管理系統管理員存取權 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 管理系統管理員和活動隱私權 | ✔ | ✔ | ✔ |
適用於雲端的 Defender Apps 中的內建系統管理員角色
您可以在 Microsoft Defender 入口 網站的 [許可權 > 雲端應用程式 > 角色] 區域中設定下列特定的系統管理員角色 :
全域管理員:具有與 Microsoft Entra Global Administrator 角色類似的完整存取權,但只能 適用於雲端的 Defender 應用程式。
合規性系統管理員:授與與 Microsoft Entra Compliance 系統管理員角色相同的許可權,但只授與 適用於雲端的 Defender Apps 的許可權。
安全性讀取者:授與與 Microsoft Entra Security 讀取者角色相同的許可權,但只授與 適用於雲端的 Defender Apps 的許可權。
安全性操作員:授與與 Microsoft Entra Security 操作員角色相同的許可權,但只授與 適用於雲端的 Defender Apps 的許可權。
應用程式/實例管理員:具有 適用於雲端的 Defender 應用程式中所有數據的完整或唯讀許可權,這些數據僅處理所選應用程式的特定應用程式或實例。 例如,您可以將 Box European 執行個體的管理權限提供給使用者。 系統管理員只能看見與 Box European 執行個體相關的資料 (不論它是檔案、活動、原則或警示):
- 活動頁面 - 僅限於特定應用程式的相關活動
- 警示 - 僅與特定應用程式相關的警示。 在某些情況下,如果數據與特定應用程式相互關聯,則會警示與另一個應用程式相關的數據。 對於與另一個應用程式相關的警示數據可見度有限,而且無法存取向下切入以取得更多詳細數據
- 原則 - 可檢視所有原則,如果獲指派的完整許可權可以編輯或建立僅處理應用程式/實例的原則
- [帳戶] 頁面 - 僅限特定應用程式/執行個體的帳戶
- 應用程式權限 - 僅限於特定應用程式/執行個體的權限
- 檔案頁面 - 僅限於特定應用程式/執行個體中的檔案
- 條件式存取應用程式控制 - 沒有權限
- 雲端探索活動 - 沒有權限
- 安全性延伸模組 - 只有具有使用者許可權的 API 令牌許可權
- 治理動作 - 僅適用於特定應用程式/執行個體
- 雲端平台的安全性建議 - 沒有許可權
- IP 範圍 - 沒有許可權
使用者群組管理員:具有 適用於雲端的 Defender Apps 中所有數據的完整或唯讀許可權,專門處理指派給他們的特定群組。 例如,如果您將用戶系統管理員許可權指派給群組 「德國 - 所有使用者」,則系統管理員只能在該使用者群組的 適用於雲端的 Defender Apps 中檢視和編輯資訊。 使用者群組管理員具有下列存取權:
活動頁面 - 僅限於群組中使用者的相關活動
警示 - 僅與群組中使用者相關的警示。 在某些情況下,如果數據與群組中的使用者相互關聯,則會警示與另一位使用者相關的數據。 對於與其他使用者相關的警示數據可見度有限,而且無法存取向下切入以取得更多詳細數據。
原則 - 可以檢視所有原則,如果獲指派的完整許可權可以編輯或建立僅處理群組中用戶的原則
[帳戶] 頁面 - 僅限群組中特定使用者的帳戶
應用程式權限 - 沒有權限
檔案頁面 - 沒有權限
條件式存取應用程式控制 - 沒有權限
雲端探索活動 - 沒有權限
安全性延伸模組 - 只有具有群組中使用者之 API 令牌的許可權
治理動作 - 僅適用於群組中的特定使用者
雲端平台的安全性建議 - 沒有許可權
IP 範圍 - 沒有許可權
注意
- 若要將群組指派給使用者群組管理員,您必須先 從聯機的應用程式匯入使用者群組 。
- 您只能將使用者群組管理員許可權指派給匯入Microsoft Entra 群組。
Cloud Discovery 全域管理員:有權檢視和編輯所有 Cloud Discovery 設定和數據。 全域探索系統管理員具有下列存取權:
- 設置
- 系統設定 - 僅檢視
- Cloud Discovery 設定 - 檢視及編輯所有 (匿名權限取決於在角色指派期間是否允許它而定)
- Cloud Discovery 活動 - 完整權限
- 警示 - 僅檢視和管理與相關 Cloud Discovery 報告相關的警示
- 原則 - 可以檢視所有原則,而且只能編輯或建立 Cloud Discovery 原則
- [活動] 頁面 - 沒有權限
- [帳戶] 頁面 - 沒有權限
- 應用程式權限 - 沒有權限
- 檔案頁面 - 沒有權限
- 條件式存取應用程式控制 - 沒有權限
- 安全性延伸模組 - 建立和刪除自己的 API 令牌
- 治理動作 - 僅限 Cloud Discovery 相關動作
- 雲端平台的安全性建議 - 沒有許可權
- IP 範圍 - 沒有許可權
- 設置
Cloud Discovery 報告管理員:
- 設置
- 系統設定 - 僅檢視
- Cloud Discovery 設定 - 檢視全部 (匿名許可權取決於角色指派期間是否允許)
- Cloud Discovery 活動 - 只讀許可權
- 警示 – 僅檢視與相關 Cloud Discovery 報告相關的警示
- 原則 - 可檢視所有原則,且只能建立 Cloud Discovery 原則,而無法控管應用程式(標記、制裁和未經批准)
- [活動] 頁面 - 沒有權限
- [帳戶] 頁面 - 沒有權限
- 應用程式權限 - 沒有權限
- 檔案頁面 - 沒有權限
- 條件式存取應用程式控制 - 沒有權限
- 安全性延伸模組 - 建立和刪除自己的 API 令牌
- 治理動作 – 僅檢視與相關 Cloud Discovery 報告相關的動作
- 雲端平台的安全性建議 - 沒有許可權
- IP 範圍 - 沒有許可權
- 設置
注意
內建 適用於雲端的 Defender Apps 系統管理員角色僅提供 適用於雲端的 Defender 應用程式的訪問許可權。
覆寫管理員權限
如果您想要從 Microsoft Entra ID 或 Microsoft 365 覆寫系統管理員的許可權,您可以手動將使用者新增至 適用於雲端的 Defender Apps 並指派使用者許可權來執行此動作。 例如,如果您想要將 Stephanie 指派為 Microsoft Entra 標識符中的安全性讀取者,以在 適用於雲端的 Defender Apps 中具有完整存取權,您可以手動將她新增至 適用於雲端的 Defender Apps,並指派她的完整存取權來覆寫她的角色,並允許她在 適用於雲端的 Defender Apps 中的必要許可權。 請注意,無法覆寫授與完整存取權的Microsoft Entra 角色(全域管理員、安全性系統管理員和 雲端 App 安全性 系統管理員)。
新增其他管理員
您可以將其他系統管理員新增至 適用於雲端的 Defender Apps,而不需將使用者新增至 entra 系統管理角色Microsoft。 若要新增其他系統管理員,請執行下列步驟:
重要
- [管理系統管理員存取] 頁面的存取權可供全域管理員、安全性系統管理員、合規性系統管理員、合規性數據管理員、安全性操作員、安全性讀取者和全域讀取者群組的成員使用。
- 只有Microsoft Entra Global Administrators 或 Security Administrators 可以編輯 [管理系統管理員存取權] 頁面,並將 適用於雲端的 Defender 應用程式的存取權授與其他使用者。
在 Microsoft Defender 入口網站的左側功能表中,選取 [ 許可權]。
在 [雲端應用程式] 下,選擇 [角色]。
選取 [+新增使用者] 以新增應該可以存取 適用於雲端的 Defender Apps 的系統管理員。 從您的組織內提供使用者的電子郵件位址。
注意
如果您想要將外部受控安全性服務提供者 (MSSP) 新增為 適用於雲端的 Defender Apps 的系統管理員,請務必先邀請他們作為貴組織的來賓。
接下來,選取下拉式清單,以設定系統管理員擁有的角色類型、全域管理員、安全性讀取者、合規性系統管理員、應用程式/實例管理員、使用者群組管理員、Cloud Discovery 全域管理員或 Cloud Discovery 報告管理員。如果您選取 [應用程式/實例管理員],請選取應用程式,然後選取要讓系統管理員具有許可權的應用程式和實例。
注意
任何存取權受限的管理員,若嘗試存取限制的頁面或執行限制的動作,都會收到錯誤,指出其無權存取頁面或執行動作。
選取 [ 新增系統管理員]。
邀請外部管理員
適用於雲端的 Defender Apps 可讓您邀請外部系統管理員(MSSP)作為您組織的系統管理員(MSSP 客戶)適用於雲端的 Defender Apps 服務。 若要新增 MSSP,請確定 MSSP 租使用者上已啟用 適用於雲端的 Defender 應用程式,然後將它們新增為 MSSP 客戶 Azure 入口網站 Microsoft Entra B2B 共同作業使用者。 新增之後,MSSP 可以設定為系統管理員,並指派 適用於雲端的 Defender Apps 中可用的任何角色。
若要將 MSSP 新增至 MSSP 客戶 適用於雲端的 Defender Apps 服務
- 使用將來賓使用者新增至目錄下的步驟,將 MSSP 新增為 MSSP 客戶目錄中的來賓。
- 使用 [新增其他系統管理員] 底下的步驟,在 MSSP 客戶 適用於雲端的 Defender 應用程式入口網站中新增 MSSP 並指派系統管理員角色。 提供在 MSSP 客戶目錄中新增為來賓時所使用的相同外部電子郵件位址。
MSSP 客戶 適用於雲端的 Defender Apps 服務的存取權
根據預設,MSSP 會透過下列 URL 存取其 適用於雲端的 Defender Apps 租使用者:https://security.microsoft.com。
不過,MSSP 必須使用下列格式的租使用者特定 URL,存取 MSSP 客戶Microsoft Defender 入口網站: https://security.microsoft.com/?tid=<tenant_id>。
MSSP 可以使用下列步驟來取得 MSSP 客戶入口網站租使用者標識碼,然後使用標識符來存取租使用者特定的 URL:
以 MSSP 的身分,使用您的認證登入 Microsoft Entra ID。
將目錄切換至 MSSP 客戶的租使用者。
選取 [Microsoft Entra ID]>[屬性]。 您會在 [租使用者識別符] 字段中找到 MSSP 客戶租使用者識別碼 。
藉由取代
customer_tenant_id下列 URL 中的值來存取 MSSP 客戶入口網站:https://security.microsoft.com/?tid=<tenant_id>。
管理活動稽核
適用於雲端的 Defender Apps 可讓您匯出系統管理員登入活動的記錄,以及稽核在調查時所執行之特定使用者或警示的檢視。
若要匯出記錄檔,請執行下列步驟:
在 Microsoft Defender 入口網站的左側功能表中,選取 [ 許可權]。
在 [雲端應用程式] 下,選擇 [角色]。
在 [ 系統管理員角色] 頁面的右上角,選取 [匯出系統管理員活動]。
指定所需的時間範圍。
選取匯出。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應