Configurare l'accesso amministratore

  • Articolo

Microsoft Defender per il cloud App supporta il controllo degli accessi in base al ruolo. Questo articolo fornisce istruzioni per impostare l'accesso alle app di Defender per il cloud per gli amministratori. Per altre informazioni sull'assegnazione dei ruoli di amministratore, vedere gli articoli per Microsoft Entra ID e Microsoft 365.

Ruoli di Microsoft 365 e Microsoft Entra con accesso a Defender per il cloud Apps

Nota

  • I ruoli di Microsoft 365 e Microsoft Entra non sono elencati nella pagina Defender per il cloud Apps Manage admin access (Gestire l'accesso amministratore). Per assegnare ruoli in Microsoft 365 o Microsoft Entra ID, passare alle impostazioni di controllo degli accessi in base al ruolo pertinenti per tale servizio.
  • Defender per il cloud Apps usa l'ID Microsoft Entra per determinare l'impostazione di timeout di inattività a livello di directory dell'utente. Se un utente è configurato in Microsoft Entra ID per non disconnettersi mai quando non è attivo, la stessa impostazione verrà applicata anche in Defender per il cloud Apps.

Per impostazione predefinita, i seguenti ruoli di amministratore di Microsoft 365 e Microsoft Entra ID hanno accesso a Defender per il cloud Apps:

Nome ruolo Descrizione
Amministratore globale e amministratore della sicurezza Gli amministratori con accesso completo hanno autorizzazioni complete in Defender per il cloud App. Possono aggiungere amministratori, aggiungere criteri e impostazioni, caricare i log ed eseguire azioni di governance, accedere e gestire gli agenti SIEM.
Amministratore di Cloud App Security Consente l'accesso completo e le autorizzazioni nelle app di Defender per il cloud. Questo ruolo concede le autorizzazioni complete per le app di Defender per il cloud, ad esempio il ruolo amministratore globale di Microsoft Entra ID. Tuttavia, questo ruolo ha come ambito Defender per il cloud App e non concede autorizzazioni complete per altri prodotti di sicurezza Microsoft.
Amministratore della conformità ha autorizzazioni di sola lettura e può gestire gli avvisi. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud. Può creare e modificare i criteri di file, consentire le azioni di governance sui file e visualizzare tutti i report incorporati in Gestione dati.
Amministratore dei dati di conformità Dispone di autorizzazioni di sola lettura, può creare e modificare i criteri dei file, consentire azioni di governance dei file e visualizzare tutti i report di individuazione. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud.
Operatore per la sicurezza ha autorizzazioni di sola lettura e può gestire gli avvisi. Questi amministratori non possono eseguire le azioni seguenti:
  • Creare criteri o modificare e cambiare quelli esistenti
  • Eseguire azioni di governance
  • Caricare i log di individuazione
  • Vietare o approvare app di terze parti
  • Accedere e visualizzare la pagina delle impostazioni dell'intervallo di indirizzi IP
  • Accesso e visualizzazione di qualsiasi pagina delle impostazioni di sistema
  • Accedere e visualizzare le impostazioni di individuazione
  • Accedere e visualizzare la pagina Connettori app
  • Accedere e visualizzare il log di governance
  • Accesso e visualizzazione della pagina Gestisci report snapshot
Lettore di sicurezza Dispone di autorizzazioni di sola lettura e può creare token di accesso api. Questi amministratori non possono eseguire le azioni seguenti:
    Creare criteri o modificare e cambiare quelli esistenti
  • Eseguire azioni di governance
  • Caricare i log di individuazione
  • Vietare o approvare app di terze parti
  • Accedere e visualizzare la pagina delle impostazioni dell'intervallo di indirizzi IP
  • Accesso e visualizzazione di qualsiasi pagina delle impostazioni di sistema
  • Accedere e visualizzare le impostazioni di individuazione
  • Accedere e visualizzare la pagina Connettori app
  • Accedere e visualizzare il log di governance
  • Accesso e visualizzazione della pagina Gestisci report snapshot
Lettore globale Ha accesso completo in sola lettura a tutti gli aspetti delle app di Defender per il cloud. Non è possibile modificare le impostazioni o eseguire alcuna azione.

Importante

Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Nota

Le funzionalità di governance delle app sono controllate solo dai ruoli Microsoft Entra ID. Per altre informazioni, vedere Ruoli di governance delle app.

Ruoli e autorizzazioni

Autorizzazioni Amministratore globale Amministrazione della protezione Amministratore conformità Amministratore dei dati di conformità Operatore per la sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Ruolo con autorizzazioni di lettura globali Amministratore PBI Amministratore di Cloud App Security
Lettura degli avvisi
Gestire gli avvisi
Leggere le applicazioni OAuth
Eseguire azioni dell'applicazione OAuth
Accedere alle app individuate, al catalogo di app cloud e ad altri dati di Cloud Discovery
Configurare i connettori API
Eseguire azioni di cloud discovery
Accedere ai file di dati e ai criteri dei file
Eseguire azioni file
Log di governance dell'accesso
Eseguire azioni del log di governance
Accedere al log di governance dell'individuazione con ambito
Leggere i criteri
Eseguire tutte le azioni dei criteri
Eseguire azioni dei criteri file
Eseguire azioni dei criteri OAuth
Visualizzare l'accesso amministratore
Gestire gli amministratori e la privacy delle attività

Ruoli di amministratore predefiniti nelle app di Defender per il cloud

I ruoli di amministratore specifici seguenti possono essere configurati nel portale di Microsoft Defender nell'area Autorizzazioni > ruoli app > cloud:

Nome ruolo Descrizione
Amministratore globale Ha accesso completo simile al ruolo amministratore globale di Microsoft Entra, ma solo alle app di Defender per il cloud.
Amministratore della conformità Concede le stesse autorizzazioni del ruolo di amministratore di Microsoft Entra Compliance, ma solo per Defender per il cloud App.
Lettore di sicurezza Concede le stesse autorizzazioni del ruolo lettore Microsoft Entra Security, ma solo per Defender per il cloud Apps.
Operatore per la sicurezza Concede le stesse autorizzazioni del ruolo dell'operatore Microsoft Entra Security, ma solo per Defender per il cloud Apps.
Amministratore app/istanza Dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender per il cloud App che gestisce esclusivamente l'app o l'istanza specifica di un'app selezionata.

Assegnare ad esempio l'autorizzazione di amministratore utenti all'istanza di Box European. L'amministratore visualizzerà solo i dati correlati all'istanza di Box European, sia che si tratti di file, attività, criteri o avvisi:
  • Pagina delle attività: solo le attività relative all'app specifica
  • Avvisi: solo gli avvisi relativi all'app specifica. In alcuni casi, i dati degli avvisi correlati a un'altra app se i dati sono correlati all'app specifica. La visibilità dei dati degli avvisi correlati a un'altra app è limitata e non è possibile accedere al drill-down per altri dettagli
  • Criteri: può visualizzare tutti i criteri e, se assegnate autorizzazioni complete, può modificare o creare solo criteri che gestiscono esclusivamente l'app o l'istanza
  • Pagina degli account: solo gli account per l'app/istanza specifica
  • Autorizzazioni dell'app: solo le autorizzazioni per l'app/istanza specifica
  • Pagina dei file: solo i file dell'app/istanza specifica
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Attività di Cloud Discovery - Nessuna autorizzazione
  • Estensioni di sicurezza : solo le autorizzazioni per il token API con autorizzazioni utente
  • Azioni di governance: solo per l'app/istanza specifica
  • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione
Amministratore del gruppo di utenti Dispone di autorizzazioni complete o di sola lettura per tutti i dati nelle app di Defender per il cloud che gestisce esclusivamente i gruppi specifici assegnati. Ad esempio, se si assegnano autorizzazioni di amministratore utente al gruppo "Germania - tutti gli utenti", l'amministratore può visualizzare e modificare le informazioni in Defender per il cloud App solo per quel gruppo di utenti. L'amministratore del gruppo utenti ha l'accesso seguente:

  • Pagina delle attività: solo le attività relative agli utenti nel gruppo
  • Avvisi: solo gli avvisi relativi agli utenti nel gruppo. In alcuni casi, i dati degli avvisi correlati a un altro utente se i dati sono correlati agli utenti del gruppo. La visibilità dei dati degli avvisi correlati a un altro utente è limitata e non è possibile accedere al drill-down per altri dettagli.
  • Criteri: può visualizzare tutti i criteri e, se assegnate autorizzazioni complete, può modificare o creare solo criteri che gestiscono esclusivamente gli utenti nel gruppo
  • Pagina degli account: solo gli account per gli utenti specifici nel gruppo
  • Autorizzazioni delle app: nessuna autorizzazione
  • Pagina dei file: nessuna autorizzazione
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Attività di Cloud Discovery - Nessuna autorizzazione
  • Estensioni di sicurezza : solo le autorizzazioni per il token API con gli utenti nel gruppo
  • Azioni di governance: solo per gli utenti specifici nel gruppo
  • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione


Note:
  • Per assegnare gruppi agli amministratori del gruppo di utenti, è prima necessario importare gruppi di utenti dalle app connesse.
  • È possibile assegnare autorizzazioni di amministratore del gruppo di utenti solo ai gruppi di Microsoft Entra importati.
Amministratore globale di Cloud Discovery Dispone dell'autorizzazione per visualizzare e modificare tutte le impostazioni e i dati di Cloud Discovery. L'amministratore di Global Discovery ha l'accesso seguente:

  • Impostazioni: impostazioni di sistema - Solo visualizzazione; Impostazioni di Cloud Discovery: visualizzare e modificare tutte le autorizzazioni (le autorizzazioni di anonimizzazione dipendono dal fatto che sia stato consentito durante l'assegnazione di ruolo)
  • Attività di Cloud Discovery - Autorizzazioni complete
  • Avvisi: visualizzare e gestire solo gli avvisi correlati al report di Cloud Discovery pertinente
  • Criteri: può visualizzare tutti i criteri e può modificare o creare solo criteri di Cloud Discovery
  • Pagina delle attività: nessuna autorizzazione
  • Pagina degli account: nessuna autorizzazione
  • Autorizzazioni delle app: nessuna autorizzazione
  • Pagina dei file: nessuna autorizzazione
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Estensioni di sicurezza - Creazione ed eliminazione di token API personalizzati
  • Azioni di governance: solo azioni correlate a Cloud Discovery
  • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione
Amministratore del report di Cloud Discovery
  • Impostazioni: impostazioni di sistema - Solo visualizzazione; Impostazioni di Cloud Discovery - Visualizza tutto (autorizzazioni di anonimizzazione dipendono dal fatto che sia stato consentito durante l'assegnazione di ruolo)
  • Attività di Cloud Discovery : solo autorizzazioni di lettura
  • Avvisi: visualizzare solo gli avvisi correlati al report di Cloud Discovery pertinente
  • Criteri: può visualizzare tutti i criteri e può creare solo criteri di Cloud Discovery, senza la possibilità di gestire l'applicazione (assegnazione di tag, approvazione e annullamento dell'approvazione)
  • Pagina delle attività: nessuna autorizzazione
  • Pagina degli account: nessuna autorizzazione
  • Autorizzazioni delle app: nessuna autorizzazione
  • Pagina dei file: nessuna autorizzazione
  • Controllo app per l'accesso condizionale - Nessuna autorizzazione
  • Estensioni di sicurezza - Creazione ed eliminazione di token API personalizzati
  • Azioni di governance: visualizzare solo le azioni correlate al report di Cloud Discovery pertinente
  • Raccomandazioni sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione

Importante

Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

I ruoli di amministratore delle app di Defender per il cloud predefiniti forniscono solo le autorizzazioni di accesso alle app di Defender per il cloud.

Eseguire l'override delle autorizzazioni di amministratore

Se si vuole eseguire l'override dell'autorizzazione di un amministratore da Microsoft Entra ID o Microsoft 365, è possibile farlo aggiungendo manualmente l'utente a Defender per il cloud Apps e assegnando le autorizzazioni utente. Ad esempio, se si vuole assegnare Stephanie, che è un lettore di sicurezza in Microsoft Entra ID per avere accesso completo in Defender per il cloud Apps, è possibile aggiungerla manualmente a Defender per il cloud Apps e assegnare il suo accesso completo per ignorare il suo ruolo e consentire le autorizzazioni necessarie in Defender per il cloud Applicazioni. Si noti che non è possibile eseguire l'override dei ruoli di Microsoft Entra che concedono l'accesso completo (amministratore globale, amministratore della sicurezza e amministratore di Cloud App Security).

Importante

Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Aggiungere amministratori aggiuntivi

È possibile aggiungere altri amministratori alle app di Defender per il cloud senza aggiungere utenti ai ruoli amministrativi di Microsoft Entra. Per aggiungere altri amministratori, seguire questa procedura:

Importante

  • L'accesso alla pagina Gestisci accesso amministratore è disponibile per i membri dei gruppi Amministratori globali, Amministratori della sicurezza, Amministratori conformità, Amministratori dei dati di conformità, Operatori di sicurezza, Lettori della sicurezza e Lettori globali.
  • Per modificare la pagina Gestisci accesso amministratore e concedere ad altri utenti l'accesso alle app di Defender per il cloud, è necessario avere almeno un ruolo di amministratore della sicurezza.

Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  1. Nel menu a sinistra del portale di Microsoft Defender selezionare Autorizzazioni.

  2. In App cloud scegliere Ruoli.

Menu Autorizzazioni.

  1. Selezionare +Aggiungi utente per aggiungere gli amministratori che devono avere accesso a Defender per il cloud App. Specificare un indirizzo di posta elettronica di un utente dall'interno dell'organizzazione.

    Nota

    Se si vuole aggiungere provider di servizi di sicurezza gestiti esterni come amministratori per le app di Defender per il cloud, assicurarsi di invitarli prima come guest all'organizzazione.

    aggiungere amministratori.

  2. Selezionare quindi l'elenco a discesa per impostare il tipo di ruolo di cui dispone l'amministratore. Se si seleziona App/Instance admin (Amministratore app/istanza), selezionare l'app e l'istanza per la quale l'amministratore deve avere le autorizzazioni.

    Nota

    Gli amministratori con accesso limitato che tentano di accedere a una pagina con accesso limitato o di eseguire un'azione soggetta a restrizioni riceveranno un messaggio di errore che segnala la mancanza delle autorizzazioni necessarie per accedere alla pagina o per eseguire l'azione.

  3. Selezionare Aggiungi amministratore.

Invitare amministratori esterni

Defender per il cloud App consente di invitare amministratori esterni (MSSP) come amministratori del servizio app Defender per il cloud (cliente MSSP) dell'organizzazione. Per aggiungere MSSP, assicurarsi che Defender per il cloud Apps sia abilitato nel tenant MSSPs e quindi aggiungerli come utenti di Collaborazione B2B Di Microsoft Entra nei clienti portale di Azure ms. Dopo l'aggiunta, i provider di servizi di sicurezza possono essere configurati come amministratori e assegnati uno dei ruoli disponibili in Defender per il cloud App.

Per aggiungere MSSP al servizio mssp Defender per il cloud app

  1. Aggiungere MSSP come guest nella directory del cliente MSSP seguendo la procedura descritta in Aggiungere utenti guest alla directory.
  2. Aggiungere mssp e assegnare un ruolo di amministratore nel portale mssp Defender per il cloud app usando la procedura descritta in Aggiungere altri amministratori. Specificare lo stesso indirizzo di posta elettronica esterno usato per aggiungerli come guest nella directory del cliente MSSP.

Accesso per i provider di servizi gestito al servizio mssp Defender per il cloud app

Per impostazione predefinita, i provider di servizi gestito accedono al tenant delle app Defender per il cloud tramite l'URL seguente: https://security.microsoft.com.

Tuttavia, gli MSSP dovranno accedere al portale Microsoft Defender del cliente MSSP usando un URL specifico del tenant nel formato seguente: https://security.microsoft.com/?tid=<tenant_id>.

I provider di servizi gestito possono usare la procedura seguente per ottenere l'ID tenant del portale del cliente MSSP e quindi usare l'ID per accedere all'URL specifico del tenant:

  1. Come MSSP, accedere a Microsoft Entra ID con le credenziali.

  2. Passare alla directory del tenant del cliente MSSP.

  3. Selezionare Proprietà>Microsoft Entra ID. L'ID tenant del cliente MSSP è disponibile nel campo ID tenant.

  4. Accedere al portale dei clienti MSSP sostituendo il customer_tenant_id valore nell'URL seguente: https://security.microsoft.com/?tid=<tenant_id>.

Controllo dell'attività di amministrazione

Defender per il cloud App consente di esportare un log delle attività di accesso dell'amministratore e un controllo delle visualizzazioni di un utente o di avvisi specifici eseguiti come parte di un'indagine.

Per esportare un log, seguire questa procedura:

  1. Nel menu a sinistra del portale di Microsoft Defender selezionare Autorizzazioni.

  2. In App cloud scegliere Ruoli.

  3. Nell'angolo in alto a destra della pagina Ruoli di amministratore selezionare Esporta attività di amministratore.

  4. Specificare l'intervallo di tempo necessario.

  5. Selezionare Esporta.

Passaggi successivi

Configurare Cloud Discovery