Konfigurace přístupu správce

  • Článek

Microsoft Defender for Cloud Apps podporuje řízení přístupu na základě role. Tento článek obsahuje pokyny pro nastavení přístupu k Defenderu for Cloud Apps pro správce. Další informace o přiřazování rolí správců najdete v článcích o ID Microsoft Entra a Microsoftu 365.

Role Microsoft 365 a Microsoft Entra s přístupem k Defenderu for Cloud Apps

Poznámka:

  • Role Microsoft 365 a Microsoft Entra nejsou uvedené na stránce pro správu správy v programu Defender for Cloud Apps. Pokud chcete přiřadit role v Microsoftu 365 nebo Microsoft Entra ID, přejděte na příslušná nastavení RBAC pro danou službu.
  • Defender for Cloud Apps používá Id Microsoft Entra k určení nastavení časového limitu nečinnosti na úrovni adresáře uživatele. Pokud je uživatel nakonfigurovaný v ID Microsoft Entra, aby se při nečinnosti nikdy neodhlašoval, použije se stejné nastavení i v Programu Defender for Cloud Apps.

Ve výchozím nastavení mají následující role správců Microsoft 365 a Microsoft Entra ID přístup k Defenderu for Cloud Apps:

Název role Popis
Globální správce a správce zabezpečení Správci s úplným přístupem mají úplná oprávnění v programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení, nahrávat protokoly a provádět akce zásad správného řízení, přistupovat k agentům SIEM a spravovat je.
Správce Cloud App Security Umožňuje úplný přístup a oprávnění v Defenderu pro Cloud Apps. Tato role uděluje úplná oprávnění programu Defender for Cloud Apps, jako je role globálního správce Microsoft Entra ID. Tato role je ale vymezená na Defender for Cloud Apps a neuděluje úplná oprávnění v jiných produktech zabezpečení Microsoftu.
Správce dodržování předpisů Má oprávnění jen pro čtení a může spravovat výstrahy. Nejde získat přístup k doporučením zabezpečení pro cloudové platformy. Může vytvářet a upravovat zásady souborů, povolit akce zásad správného řízení souborů a zobrazit všechny předdefinované sestavy v Správa dat.
Správce dat dodržování předpisů Má oprávnění jen pro čtení, může vytvářet a upravovat zásady souborů, povolit akce zásad správného řízení souborů a zobrazit všechny sestavy zjišťování. Nejde získat přístup k doporučením zabezpečení pro cloudové platformy.
Operátor zabezpečení Má oprávnění jen pro čtení a může spravovat výstrahy. Tito správci můžou provádět následující akce:
  • Vytvářet zásady, upravovat nebo měnit stávající zásady
  • Provádět akce zásad správného řízení
  • Nahrávat protokoly z Discovery
  • Zakázání nebo schvalování aplikací třetích stran
  • Otevírat nebo prohlížet stránku s nastavením rozsahu IP adres
  • Přístup ke stránkám nastavení systému a jejich zobrazení
  • Přístup k nastavení zjišťování a zobrazení
  • Přístup ke stránce Konektor aplikace s a jeho zobrazení
  • Otevírat nebo prohlížet protokol zásad správného řízení
  • Přístup ke stránce Spravovat sestavy snímků a zobrazení
Čtenář zabezpečení Má oprávnění jen pro čtení a může vytvářet přístupové tokeny rozhraní API. Tito správci můžou provádět následující akce:
    Vytvářet zásady, upravovat nebo měnit stávající zásady
  • Provádět akce zásad správného řízení
  • Nahrávat protokoly z Discovery
  • Zakázání nebo schvalování aplikací třetích stran
  • Otevírat nebo prohlížet stránku s nastavením rozsahu IP adres
  • Přístup ke stránkám nastavení systému a jejich zobrazení
  • Přístup k nastavení zjišťování a zobrazení
  • Přístup ke stránce Konektor aplikace s a jeho zobrazení
  • Otevírat nebo prohlížet protokol zásad správného řízení
  • Přístup ke stránce Spravovat sestavy snímků a zobrazení
Globální čtenář Má úplný přístup jen pro čtení ke všem aspektům Defenderu pro Cloud Apps. Nemůžete změnit žádná nastavení ani provádět žádné akce.

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

Poznámka:

Funkce zásad správného řízení aplikací jsou řízeny pouze rolemi MICROSOFT Entra ID. Další informace najdete v tématu Role zásad správného řízení aplikací.

Role a oprávnění

Oprávnění Globální správce Správce zabezpečení Správce dodržování předpisů Správce dat dodržování předpisů Operátor zabezpečení Čtenář zabezpečení Globální čtenář Správce PBI Správce Cloud App Security
Čtení upozornění
Správa výstrah
Čtení aplikací OAuth
Provádění akcí aplikace OAuth
Přístup ke zjištěných aplikacím, katalogu cloudových aplikací a dalším datům cloud discovery
Konfigurace konektorů rozhraní API
Provádění akcí cloud discovery
Přístup k datům a zásadám souborů
Provádění akcí souborů
Protokol zásad správného řízení přístupu
Provádění akcí protokolu zásad správného řízení
Protokol zásad správného řízení zjišťování s vymezeným oborem přístupu
Čtení zásad
Provádění všech akcí zásad
Provádění akcí zásad souborů
Provádění akcí zásad OAuth
Zobrazení přístupu správce
Správa ochrany osobních údajů správců a aktivit

Předdefinované role správců v Defenderu pro Cloud Apps

Následující konkrétní role správce je možné nakonfigurovat na portálu Microsoft Defenderu v oblasti Role Cloud Apps > oprávnění>:

Název role Popis
Globální správce úplný přístup podobný roli globálního správce Microsoft Entra, ale jenom defender for Cloud Apps.
Správce dodržování předpisů Uděluje stejná oprávnění jako role správce dodržování předpisů Microsoft Entra, ale jenom programu Defender for Cloud Apps.
Čtenář zabezpečení Uděluje stejná oprávnění jako role čtenáře zabezpečení Microsoft Entra, ale pouze programu Defender for Cloud Apps.
Operátor zabezpečení Uděluje stejná oprávnění jako role operátora zabezpečení Microsoft Entra, ale pouze programu Defender for Cloud Apps.
Správce aplikace nebo instance Má úplná nebo jen pro čtení oprávnění ke všem datům v Defenderu for Cloud Apps, která se zabývá výhradně konkrétní aplikací nebo instancí vybrané aplikace.

Například udělíte správci uživatele oprávnění k vaší instanci Box European. Správce uvidí pouze data, která se týkají instance Boxu v Evropě, ať už jde o soubory, aktivity, zásady nebo výstrahy:
  • Stránka Aktivity – Pouze aktivity týkající se konkrétní aplikace
  • Výstrahy – Pouze výstrahy související s konkrétní aplikací V některých případech upozorňují data související s jinou aplikací, pokud data korelují s konkrétní aplikací. Viditelnost dat výstrah souvisejících s jinou aplikací je omezená a neexistuje přístup k podrobnostem, kde najdete další podrobnosti.
  • Zásady – Může zobrazit všechny zásady a pokud jsou přiřazená úplná oprávnění, můžou upravovat nebo vytvářet jenom zásady, které se týkají výhradně aplikace nebo instance.
  • Stránka Účty – Pouze účty pro konkrétní aplikaci nebo instanci
  • Oprávnění aplikace – Pouze oprávnění pro konkrétní aplikaci nebo instanci
  • Stránka Soubory – Pouze soubory z konkrétní aplikace nebo instance
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Aktivita Cloud Discovery – Žádná oprávnění
  • Rozšíření zabezpečení – Pouze oprávnění pro token rozhraní API s uživatelskými oprávněními
  • Akce zásad správného řízení – pouze pro konkrétní aplikaci nebo instanci
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění
Správce skupiny uživatelů Má úplná nebo jen pro čtení oprávnění ke všem datům v Defenderu for Cloud Apps, která se zabývá výhradně konkrétními skupinami, které jsou jim přiřazeny. Pokud například přiřadíte oprávnění správce uživatele ke skupině Německo – všichni uživatelé, může správce zobrazit a upravit informace v defenderu pro Cloud Apps jenom pro tuto skupinu uživatelů. Správce skupiny uživatelů má následující přístup:

  • Stránka Aktivity – Pouze aktivity týkající se uživatelů ve skupině
  • Výstrahy – Pouze výstrahy týkající se uživatelů ve skupině V některých případech upozorňují data související s jiným uživatelem, pokud data korelují s uživateli ve skupině. Viditelnost dat výstrah souvisejících s jinými uživateli je omezená a neexistuje přístup k podrobnostem, kde najdete další podrobnosti.
  • Zásady – Může zobrazit všechny zásady a pokud jsou přiřazená úplná oprávnění, můžou upravovat nebo vytvářet jenom zásady, které se týkají výhradně uživatelů ve skupině.
  • Stránka Účty – Pouze účty pro konkrétní uživatele ve skupině
  • Oprávnění aplikace – Žádná oprávnění
  • Stránka Soubory – Žádná oprávnění
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Aktivita Cloud Discovery – Žádná oprávnění
  • Rozšíření zabezpečení – Pouze oprávnění pro token rozhraní API s uživateli ve skupině
  • Akce zásad správného řízení – pouze pro konkrétní uživatele ve skupině
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění


Poznámky:
  • Pokud chcete přiřadit skupiny správcům skupin uživatelů, musíte nejdřív importovat skupiny uživatelů z připojených aplikací.
  • K importovaným skupinám Microsoft Entra můžete přiřadit oprávnění jenom správcům skupin uživatelů.
Globální správce Cloud Discovery Má oprávnění zobrazovat a upravovat všechna nastavení a data cloud discovery. Globální správce zjišťování má následující přístup:

  • Nastavení: Nastavení systému - Pouze zobrazení; Nastavení Cloud Discovery – Zobrazení a úpravy všech (anonymizační oprávnění závisí na tom, jestli byla povolená během přiřazení role)
  • Aktivita Cloud Discovery – úplná oprávnění
  • Výstrahy – zobrazení a správa pouze výstrah souvisejících s příslušnou sestavou cloud discovery
  • Zásady – Může zobrazit všechny zásady a může upravovat nebo vytvářet jenom zásady cloud discovery.
  • Stránka Aktivity – Žádná oprávnění
  • Stránka Účty – Žádná oprávnění
  • Oprávnění aplikace – Žádná oprávnění
  • Stránka Soubory – Žádná oprávnění
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Rozšíření zabezpečení – Vytváření a odstraňování vlastních tokenů rozhraní API
  • Akce zásad správného řízení – Pouze akce související se službou Cloud Discovery
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění
Správce sestav Cloud Discovery
  • Nastavení: Nastavení systému - Pouze zobrazení; Nastavení Cloud Discovery – Zobrazení všech (anonymizační oprávnění závisí na tom, jestli byla povolená během přiřazení role)
  • Aktivita Cloud Discovery – jen oprávnění ke čtení
  • Výstrahy – zobrazení pouze výstrah souvisejících s příslušnou sestavou cloud discovery
  • Zásady – Může zobrazit všechny zásady a může vytvářet jenom zásady cloud discovery, aniž by bylo možné řídit aplikaci (označování, schválení a neschválené).
  • Stránka Aktivity – Žádná oprávnění
  • Stránka Účty – Žádná oprávnění
  • Oprávnění aplikace – Žádná oprávnění
  • Stránka Soubory – Žádná oprávnění
  • Řízení podmíněného přístupu k aplikacím – Žádná oprávnění
  • Rozšíření zabezpečení – Vytváření a odstraňování vlastních tokenů rozhraní API
  • Akce zásad správného řízení – zobrazení pouze akcí souvisejících s příslušnou sestavou cloud discovery
  • Doporučení zabezpečení pro cloudové platformy – Žádná oprávnění
  • Rozsahy IP adres – Žádná oprávnění

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

Předdefinované role správců Defenderu for Cloud Apps poskytují přístupová oprávnění jenom pro Defender for Cloud Apps.

Přepsání oprávnění správce

Pokud chcete přepsat oprávnění správce z Microsoft Entra ID nebo Microsoftu 365, můžete to udělat ručním přidáním uživatele do Defenderu for Cloud Apps a přiřazením uživatelských oprávnění. Pokud například chcete přiřadit Stephanie, která je čtenářem zabezpečení v Microsoft Entra ID, aby měla úplný přístup v Programu Defender for Cloud Apps, můžete ji přidat ručně do programu Defender for Cloud Apps a přiřadit jí úplný přístup , aby přepsala její roli a povolila jí potřebná oprávnění v programu Defender for Cloud Apps. Všimněte si, že role Microsoft Entra, které uděluje úplný přístup (globální správce, správce zabezpečení a správce Cloud App Security), není možné přepsat.

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

Přidání dalších správců

Do Programu Defender for Cloud Apps můžete přidat další správce, aniž byste museli přidávat uživatele do rolí pro správu Microsoft Entra. Pokud chcete přidat další správce, proveďte následující kroky:

Důležité

  • Přístup na stránku Spravovat správce je k dispozici členům globálních správců, správců zabezpečení, správců dodržování předpisů, správcům dat dodržování předpisů, operátorům zabezpečení, čtenářům zabezpečení a skupinám globálních čtenářů.
  • Pokud chcete upravit stránku Spravovat přístup správce a udělit ostatním uživatelům přístup k Defenderu for Cloud Apps, musíte mít alespoň roli správce zabezpečení.

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

  1. Na portálu Microsoft Defender v nabídce vlevo vyberte Oprávnění.

  2. V části Cloud Apps zvolte Role.

Nabídka Oprávnění

  1. Vyberte +Přidat uživatele a přidejte správce, kteří by měli mít přístup k Defenderu for Cloud Apps. Zadejte e-mailovou adresu uživatele z vaší organizace.

    Poznámka:

    Pokud chcete jako správce pro Defender for Cloud Apps přidat externí poskytovatele spravovaných služeb zabezpečení (MSSPs), nezapomeňte je nejdřív pozvat jako hosta do vaší organizace.

    přidat správce.

  2. V dalším kroku vyberte rozevírací seznam a nastavte, jaký typ role má správce. Pokud vyberete správce aplikace nebo instance, vyberte aplikaci a instanci, ke které má správce oprávnění.

    Poznámka:

    Jakýkoli správce, jehož přístup je omezený, který se pokusí o přístup k omezené stránce nebo provede akci s omezeným přístupem, se zobrazí chyba, že nemá oprávnění k přístupu na stránku nebo provedení akce.

  3. Vyberte Přidat správce.

Pozvání externích správců

Defender for Cloud Apps umožňuje pozvat externí správce (MSSP) jako správce služby Defender pro cloud apps vaší organizace. Pokud chcete přidat MSSP, ujistěte se, že je v tenantovi MSSPs povolený Defender for Cloud Apps, a pak je přidejte jako uživatele spolupráce Microsoft Entra B2B na webu Azure Portal zákazníků MSSPs. Po přidání je možné msSP nakonfigurovat jako správce a přiřadit některou z rolí dostupných v programu Defender for Cloud Apps.

Přidání MSSP do služby MsSP Customer Defender for Cloud Apps

  1. Pomocí postupu v části Přidat uživatele typu host do adresáře zákazníka MSSP přidejte poskytovatele msSPs jako hosta do adresáře.
  2. Přidejte poskytovatele MSSP a přiřaďte roli správce na portálu MsSP Customer Defender for Cloud Apps pomocí postupu v části Přidat další správce. Zadejte stejnou externí e-mailovou adresu, kterou jste použili při přidávání jako hosty v zákaznickém adresáři MSSP.

Přístup pro poskytovatele mssp ke službě MsSP Customer Defender for Cloud Apps

Ve výchozím nastavení přístup msSPs k tenantovi Defender for Cloud Apps prostřednictvím následující adresy URL: https://security.microsoft.com.

MsSPs však bude muset přistupovat k portálu Microsoft Defender zákazníka MSSP pomocí adresy URL specifické pro tenanta v následujícím formátu: https://security.microsoft.com/?tid=<tenant_id>.

Poskytovatelé cloudových služeb můžou pomocí následujícího postupu získat ID tenanta zákaznického portálu MSSP a pak pomocí ID získat přístup k adrese URL specifické pro tenanta:

  1. Jako poskytovatel MSSP se přihlaste k MICROSOFT Entra ID pomocí svých přihlašovacích údajů.

  2. Přepněte adresář na tenanta zákazníka MSSP.

  3. Vyberte vlastnosti ID Microsoft Entra>. ID tenanta zákazníka MSSP najdete v poli ID tenanta tenanta.

  4. Přístup k zákaznickému portálu MSSP nahraďte customer_tenant_id hodnotou v následující adrese URL: https://security.microsoft.com/?tid=<tenant_id>.

Auditování aktivit správce

Defender for Cloud Apps umožňuje exportovat protokol aktivit přihlašování správce a audit zobrazení konkrétního uživatele nebo výstrah provedených v rámci šetření.

Pokud chcete exportovat protokol, proveďte následující kroky:

  1. Na portálu Microsoft Defender v nabídce vlevo vyberte Oprávnění.

  2. V části Cloud Apps zvolte Role.

  3. Na stránce Role správce v pravém horním rohu vyberte Exportovat aktivity správce.

  4. Zadejte požadovaný časový rozsah.

  5. Vyberte Exportovat.

Další kroky

Nastavení cloud discovery