設定系統管理員存取權
適用於雲端的 Microsoft Defender Apps 支援角色型訪問控制。 本文提供為系統管理員設定 適用於雲端的 Defender Apps 存取權的指示。 如需指派系統管理員角色的詳細資訊,請參閱 Microsoft Entra ID 和 Microsoft 365 的文章。
可存取 適用於雲端的 Defender Apps 的 Microsoft 365 和 Microsoft Entra 角色
注意
- Microsoft 365 和 Microsoft Entra 角色未列在 適用於雲端的 Defender Apps 管理系統管理員存取頁面中。 若要在 Microsoft 365 或 Microsoft Entra 識別符中指派角色,請移至該服務的相關 RBAC 設定。
- 適用於雲端的 Defender Apps 會使用 Microsoft Entra ID 來判斷使用者的目錄層級閒置逾時設定。 如果使用者在 Microsoft Entra ID 中設定為永遠不會在非使用中時註銷,則相同的設定也會套用在 適用於雲端的 Defender Apps 中。
根據預設,下列Microsoft 365 和 Microsoft Entra ID 管理員角色可以存取 適用於雲端的 Defender Apps:
| 角色名稱 | 描述 |
|---|---|
| 全域管理員和安全性系統管理員 | 具有完整存取權的系統管理員在 適用於雲端的 Defender Apps 中具有完整許可權。 他們可以新增系統管理員、新增原則和設定、上傳記錄,以及執行治理動作、存取和管理 SIEM 代理程式。 |
| 雲端 App 安全性 系統管理員 | 允許 適用於雲端的 Defender Apps 中的完整存取權和許可權。 此角色會授與 適用於雲端的 Defender 應用程式的完整許可權,例如Microsoft Entra ID 全域管理員角色。 不過,此角色的範圍是 適用於雲端的 Defender 應用程式,而且不會授與其他Microsoft安全性產品的完整許可權。 |
| 合規性系統管理員 | 具有唯讀權限,且可以管理警示。 無法存取雲端平臺的安全性建議。 可以建立和修改檔案原則、允許檔案控管動作,以及檢視 [資料管理] 下所有的內建報表。 |
| 合規性數據管理員 | 具有唯讀許可權、可以建立和修改檔案原則、允許檔案控管動作,以及檢視所有探索報告。 無法存取雲端平臺的安全性建議。 |
| 安全性操作員 | 具有唯讀權限,且可以管理警示。 這些系統管理員受限於執行下列動作:
|
| 安全性讀取器 | 具有唯讀許可權,而且可以建立 API 存取令牌。 這些系統管理員受限於執行下列動作:
|
| 全域讀取器 | 具有 適用於雲端的 Defender 應用程式所有層面的完整唯讀存取權。 無法變更任何設定或採取任何動作。 |
重要
Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。
注意
應用程式控管功能僅受Microsoft Entra ID 角色控制。 如需詳細資訊,請參閱 應用程式控管角色。
角色和權限
| 權限 | 全域管理員 | 安全性系統管理員 | 合規性管理員 | 合規性數據管理員 | 安全性操作員 | 安全性讀取者 | 全域讀取者 | PBI 管理員 | 雲端 App 安全性 系統管理員 |
|---|---|---|---|---|---|---|---|---|---|
| 讀取警示 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理警示 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| 讀取 OAuth 應用程式 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行 OAuth 應用程式動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取探索到的應用程式、雲端應用程式目錄和其他雲端探索數據 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 設定 API 連接器 | ✔ | ✔ | ✔ | ✔ | |||||
| 執行雲端探索動作 | ✔ | ✔ | ✔ | ||||||
| 存取檔案數據和檔案原則 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行檔案動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取治理記錄 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行治理記錄動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取範圍探索治理記錄 | ✔ | ✔ | ✔ | ||||||
| 讀取原則 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行所有原則動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 執行檔案原則動作 | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| 執行 OAuth 原則動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 檢視管理系統管理員存取權 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 管理系統管理員和活動隱私權 | ✔ | ✔ | ✔ |
適用於雲端的 Defender Apps 中的內建系統管理員角色
您可以在 Microsoft Defender 入口 網站的 [許可權 > 雲端應用程式 > 角色] 區域中設定下列特定的系統管理員角色 :
| 角色名稱 | 描述 |
|---|---|
| 全域管理員 | 具有與 Microsoft Entra 全域管理員角色類似的完整存取權,但只能存取 適用於雲端的 Defender Apps。 |
| 合規性系統管理員 | 授與與 Microsoft Entra Compliance 系統管理員角色相同的許可權,但只授與 適用於雲端的 Defender Apps。 |
| 安全性讀取器 | 授與與 Microsoft Entra Security 讀取者角色相同的許可權,但只授與 適用於雲端的 Defender Apps。 |
| 安全性操作員 | 授與與Microsoft Entra Security 操作員角色相同的許可權,但只授與 適用於雲端的 Defender Apps。 |
| 應用程式/實例管理員 | 具有 適用於雲端的 Defender 應用程式中所有數據的完整或只讀許可權,該數據僅處理所選應用程式的特定應用程式或實例。 例如,您可以將 Box European 執行個體的管理權限提供給使用者。 系統管理員只會看到與 Box 歐洲實例相關的數據,無論是檔案、活動、原則或警示:
|
| 使用者群組管理員 | 具有 適用於雲端的 Defender Apps 中所有數據的完整或唯讀許可權,這些數據僅會處理指派給他們的特定群組。 例如,如果您將用戶系統管理員許可權指派給群組 「德國 - 所有使用者」,則系統管理員只能在該使用者群組的 適用於雲端的 Defender Apps 中檢視和編輯資訊。 使用者群組管理員具有下列存取權:
注意:
|
| Cloud Discovery 全域管理員 | 具有檢視和編輯所有雲端探索設定和數據的許可權。 全域探索系統管理員具有下列存取權:
|
| Cloud Discovery 報告管理員 |
|
重要
Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。
內建 適用於雲端的 Defender Apps 系統管理員角色僅提供 適用於雲端的 Defender 應用程式的訪問許可權。
覆寫管理員權限
如果您想要從 Microsoft Entra ID 或 Microsoft 365 覆寫系統管理員的許可權,您可以手動將使用者新增至 適用於雲端的 Defender Apps 並指派使用者許可權來執行此動作。 例如,如果您想要將 Microsoft Entra 識別符中的安全性讀取者指派給 適用於雲端的 Defender Apps 中具有完整存取權的 Stephanie,您可以手動將她新增至 適用於雲端的 Defender Apps,並指派她的完整存取權來覆寫她的角色,並允許她在 適用於雲端的 Defender Apps 中的必要許可權。 請注意,您無法覆寫授與完整存取權的Microsoft Entra 角色(全域管理員、安全性系統管理員和 雲端 App 安全性 系統管理員)。
重要
Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。
新增其他管理員
您可以將其他系統管理員新增至 適用於雲端的 Defender Apps,而不需將使用者新增至 Microsoft Entra 系統管理角色。 若要新增其他系統管理員,請執行下列步驟:
重要
- [管理系統管理員存取] 頁面的存取權可供全域管理員、安全性系統管理員、合規性系統管理員、合規性數據管理員、安全性操作員、安全性讀取者和全域讀取者群組的成員使用。
- 若要編輯 [管理系統管理員存取權] 頁面,並授與其他使用者對 適用於雲端的 Defender Apps 的存取權,您必須至少有安全性系統管理員角色。
Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。
在 Microsoft Defender 入口網站的左側功能表中,選取 [ 許可權]。
在 [雲端應用程式] 下,選擇 [角色]。
選取 [+新增使用者],以新增應該可以存取 適用於雲端的 Defender Apps 的系統管理員。 從您的組織內提供使用者的電子郵件位址。
注意
如果您想要將外部受控安全性服務提供者 (MSSP) 新增為 適用於雲端的 Defender Apps 的系統管理員,請務必先邀請他們作為貴組織的來賓。
接下來,選取下拉式清單,以設定系統管理員擁有的角色類型。 如果您選取 [應用程式/執行個體管理員],請選取要讓管理員擁有權限的應用程式/執行個體。
注意
任何存取權受限的管理員,若嘗試存取限制的頁面或執行限制的動作,都會收到錯誤,指出其無權存取頁面或執行動作。
選取 [ 新增系統管理員]。
邀請外部管理員
適用於雲端的 Defender Apps 可讓您邀請外部系統管理員(MSSP)作為您組織的系統管理員(MSSP 客戶)適用於雲端的 Defender Apps 服務。 若要新增 MSSP,請確定 MSSP 租使用者上已啟用 適用於雲端的 Defender 應用程式,然後將這些應用程式新增為 MSSP 客戶 Azure 入口網站 Microsoft Entra B2B 共同作業使用者。 新增之後,MSSP 可以設定為系統管理員,並指派 適用於雲端的 Defender Apps 中可用的任何角色。
若要將 MSSP 新增至 MSSP 客戶 適用於雲端的 Defender Apps 服務
- 使用將來賓使用者新增至目錄下的步驟,將 MSSP 新增為 MSSP 客戶目錄中的來賓。
- 使用 [新增其他系統管理員] 底下的步驟,在 MSSP 客戶 適用於雲端的 Defender 應用程式入口網站中新增 MSSP 並指派系統管理員角色。 提供在 MSSP 客戶目錄中新增為來賓時所使用的相同外部電子郵件位址。
MSSP 客戶存取 MSSP 適用於雲端的 Defender Apps 服務
根據預設,MSSP 會透過下列 URL 存取其 適用於雲端的 Defender 應用程式租使用者:https://security.microsoft.com。
不過,MSSP 必須使用下列格式的租使用者特定 URL,存取 MSSP 客戶Microsoft Defender 入口網站: https://security.microsoft.com/?tid=<tenant_id>。
MSSP 可以使用下列步驟來取得 MSSP 客戶入口網站租使用者標識碼,然後使用標識符來存取租使用者特定的 URL:
以 MSSP 的身分,使用您的認證登入 Microsoft Entra ID。
將目錄切換至 MSSP 客戶的租使用者。
選取 [Microsoft Entra ID]>[屬性]。 您會在 [租使用者識別符] 字段中找到 MSSP 客戶租使用者識別碼 。
藉由取代
customer_tenant_id下列 URL 中的值來存取 MSSP 客戶入口網站:https://security.microsoft.com/?tid=<tenant_id>。
管理活動稽核
適用於雲端的 Defender Apps 可讓您匯出系統管理員登入活動的記錄,以及稽核在調查時所執行之特定使用者或警示的檢視。
若要匯出記錄檔,請執行下列步驟:
在 Microsoft Defender 入口網站的左側功能表中,選取 [ 許可權]。
在 [雲端應用程式] 下,選擇 [角色]。
在 [ 系統管理員角色] 頁面的右上角,選取 [匯出系統管理員活動]。
指定所需的時間範圍。
選取匯出。