設定系統管理員角色
能夠管理系統管理使用者帳戶可以在 Microsoft Defender for Cloud Apps 中執行哪些系統管理工作,對於 Contoso IT 人員而言是非常重要的。 為了協助此項需求,適用於雲端的 Defender 應用程式會實作以角色為基礎的存取控制 (RBAC)。
什麼是 RBAC?
RBAC 是一種系統管理方法,可協助您的組織更安全。 當您執行 RBAC 時,會將系統管理使用者指派給一或多個角色。 這些角色只有執行指定工作所需的權限。
在適用於雲端的 Defender 應用程式中設定 RBAC 時,您可以採取兩種方法。 如下所述:
- 使用來自 Office 365和 Microsoft Entra ID的內建 RBAC 角色。
- 使用雲端 App 安全性系統管理員角色。
在適用於雲端應用程式的Defender中使用 Office 365和 Microsoft Entra角色
您可以使用內建 Office 365 和 Microsoft Entra 系統管理員角色來管理適用於雲端應用程式的Defender。 下表將說明這些角色。
| 角色 | 描述 |
|---|---|
| 全域管理員 | 具有完整存取權的系統管理員在適用於雲端應用程式的Defender中具有完整許可權。 他們可以新增系統管理員、新增原則和設定、上傳記錄並執行治理動作。 |
| 安全性系統管理員 | 具有完整存取權的系統管理員在適用於雲端應用程式的Defender中具有完整許可權。 他們可以新增系統管理員、新增原則和設定、上傳記錄並執行治理動作。 |
| 合規性系統管理員 | 具有唯讀權限,並可管理警示。 無法存取雲端平臺的安全性建議。 可以建立和修改檔案原則、允許檔案控管動作,以及檢視 資料管理 下的所有內建報告。 |
| 合規性資料管理員 | 具有唯讀許可權、可以建立和修改檔案原則、允許檔案控管動作,以及檢視所有探索報告。 無法存取雲端平臺的安全性建議。 |
| 安全性操作員 | 具有唯讀權限,並可管理警示。 |
| 安全性讀取者 | 具有唯讀權限,並可管理警示。 也受限於執行特定動作,包括:建立原則或編輯和變更現有的動作、執行任何治理動作、上傳探索記錄,以及禁止或核准第三方應用程式。 |
| 全域讀取者 | 具有適用於雲端應用程式的Defender所有層面的完整唯讀存取權。 無法變更任何設定或採取任何動作。 |
注意事項
如果您從 [設定] 選取 [管理管理員存取權],則上述角色不會顯示。
使用 Office 365 和 Microsoft Entra 角色的一個重要優點是您可以在一個地方維護 RBAC 基礎結構。 您可以在 Microsoft Entra ID 中指派和管理角色,而且在適用於雲端應用程式的 Defender 中也有效。
使用雲端 App 安全性系統管理員角色
或者,您可以使用適用於雲端的 Defender 應用程式角色。 這可讓您將 Microsoft Entra ID 和 Office 365 角色與適用於雲端應用程式的Defender中的角色分開。
重要事項
只有來自 Microsoft Entra ID的全域管理員或安全性系統管理員可以在適用於雲端應用程式的Defender入口網站中指派其他角色。
下表將說明這些角色。
| 角色 | 描述 |
|---|---|
| 全域系統管理員 | 具有適用於雲端應用程式的Defender的完整存取權。 |
| 安全性讀取者 | 具有唯讀存取權,而且可以管理警示。 |
| 合規性系統管理員 | 具有唯讀存取權、可以管理警示,而且控制有限。 |
| 應用程式/實例系統管理員 | 具有適用於雲端應用程式的 Defender 中所有資料的完整或唯讀許可權,這些數據僅處理所選應用程式的特定應用程式或實例。 |
| 使用者群組系統管理員 | 擁有適用於雲端應用程式的Defender中所有資料的完整或唯讀許可權,這些數據專門處理指派給他們的特定群組。 |
| Cloud Discovery 全域系統管理員 | 具有檢視和編輯所有 Cloud Discovery 設定和數據的許可權。 |
| Cloud Discovery 報表管理員 | 有權檢視適用於雲端應用程式的Defender中僅處理所選特定 Cloud Discovery 報告的所有資料。 |
重要事項
您只能將使用者群組管理員許可權指派給匯入的 Microsoft Entra 群組。
注意事項
有關系統管理功能的完整清單,請檢閱下列文件: 內建的雲端 App 安全性系統管理員角色。
覆寫系統管理員權限
如有需要,您可以從 Microsoft Entra ID 或 Office 365 覆寫系統管理員的許可權。 若要這麼做,您可以新增使用者至適用於雲端的 Defender 應用程式,然後將必要的權限指派給使用者帳戶。
例如,Adele 會在 Microsoft Entra ID 中指派安全性讀取者角色。 您決定 Adele 必須在適用於雲端的 Defender 應用程式中擁有完整存取權。 您可以手動將她新增到適用於雲端的 Defender 應用程式,並將完整存取權指派給她以覆寫她的角色,並允許她擁有適用於雲端的 Defender 應用程式的必要權限。
新增其他系統管理員
若要新增其他系統管理員,請使用下列程序:
- 瀏覽至 適用於雲端的 Defender 應用程式入口網站。
- 在 Microsoft 365 租用戶中以全域系統管理員的身分登入。
- 在入口網站中,選取 [設定]。 這是個人資料圖片旁的齒輪。
- 選取 [管理系統管理員存取權]。
- 在 [管理系統管理員存取權] 頁面上,選取+符號。
- 在 [新增系統管理員存取權] 對話方塊的 [輸入系統管理員 UPN/電子郵件] 文字輸入框中,輸入您想要指派系統管理員權限之帳戶的使用者主體名稱或電子郵件地址。
- 在 [選取此系統管理員角色類型] 清單,選取所需的系統管理員角色,然後選取 [新增系統管理員]。
![螢幕快照顯示 [新增系統管理員] 對話框。系統管理員已輸入電子郵件位址 admin@contoso.com ,並從下拉式清單中選取角色。](../../m365/configure-microsoft-cloud-app-security-initial-settings/media/add-admin.png)
新增具有角色的使用者之後,該使用者會列在 [管理系統管理員存取權] 頁面上。
新增外部系統管理員
若要新增外部系統管理員,例如,從受管理的安全性服務提供者 (MSSP) 新增為適用於雲端的 Defender 應用程式的系統管理員。 若要新增外部使用者,請使用下列高等級程序:
- 確保在來源租用戶上已啟用適用於雲端的 Defender 應用程式
- 從 MSSP 取得適當的外部電子郵件地址
- 使用上述程序,使用您從 MSSP 取得的電子郵件地址新增外部系統管理員
在 Microsoft Defender for Cloud Apps 中設定系統管理員角色和 RBAC
下列影片示範如何在適用於雲端的 Defender 應用程式中設定系統管理員角色和管理 RBAC: