Configurar o acesso de administrador

  • Artigo

O Microsoft Defender para Aplicativos de Nuvem oferece suporte ao controle de acesso baseado em função. Este artigo fornece instruções para configurar o acesso ao Defender para Aplicativos de Nuvem para os administradores. Para obter mais informações sobre como atribuir as funções de administrador, confira os artigos sobre o Microsoft Entra ID e o Microsoft 365.

Microsoft 365 e funções do Microsoft Entra com acesso ao Microsoft Defender para Aplicativos de Nuvem

Observação

  • As funções do Microsoft 365 e do Microsoft Entra não estão listadas na página Gerenciar acesso de administrador do Defender para Aplicativos de Nuvem. Para atribuir funções no Microsoft 365 ou no Microsoft Entra ID, acesse as configurações RBAC relevantes desse serviço.
  • O Defender para Aplicativos de Nuvem usa o Microsoft Entra ID para determinar a configuração de tempo limite de inatividade no nível de diretório do usuário. Se um usuário estiver configurado no Microsoft Entra ID para nunca sair quando inativo, a mesma configuração também será aplicada no Defender para Aplicativos de Nuvem.

Por padrão, as seguintes funções de administrador do Microsoft 365 e do Microsoft Entra ID têm acesso ao Defender para Aplicativos de Nuvem:

Nome da função Descrição
Administrador global e administrador de segurança Os administradores com acesso total têm permissões totais no Defender para Aplicativos de nuvem. Eles podem adicionar administradores, políticas e configurações, fazer upload de logs e executar ações de governança, bem como acessar e gerenciar agentes do SIEM.
Administrador do Cloud App Security Permite acesso total e permissões no Defender para Aplicativos de Nuvem. Essa função concede permissões completas ao Defender para Aplicativos de Nuvem, como a função de administrador global do Microsoft Entra ID. No entanto, essa função tem como escopo o Defender para Aplicativos de Nuvem e não concederá permissões completas em outros produtos de segurança da Microsoft.
Administrador de conformidade Tem permissões somente leitura e pode gerenciar alertas. Não pode acessar as recomendações de segurança para plataformas de nuvem. Pode criar e modificar políticas de arquivo, permitir ações de governança de arquivo e exibir todos os relatórios internos em Gerenciamento de dados.
Administrador de dados de conformidade Tem permissões somente leitura, pode criar e modificar políticas de arquivo, permitir ações de governança de arquivo e exibir todos os relatórios de descoberta. Não pode acessar as recomendações de segurança para plataformas de nuvem.
Operador de segurança Tem permissões somente leitura e pode gerenciar alertas. Esses administradores não têm permissão para executar as seguintes ações:
  • Criar políticas e editar as existentes
  • Executar ações de controle
  • Carregar logs de descoberta
  • Proibir ou aprovar aplicativos de terceiros
  • Acessar e exibir a página de configurações de intervalo de endereço IP
  • Acessando e exibindo as páginas de configurações do sistema
  • Acessar e exibir as configurações de Descoberta
  • Acessar e exibir a página de Conectores de aplicativo
  • Acessar e exibir o Log de controle
  • Acessar e exibir a página Gerenciar relatórios de instantâneos
Leitor de Segurança Tem permissões somente leitura e pode criar tokens de acesso à API. Esses administradores não têm permissão para executar as seguintes ações:
    Criar políticas e editar as existentes
  • Executar ações de controle
  • Carregar logs de descoberta
  • Proibir ou aprovar aplicativos de terceiros
  • Acessar e exibir a página de configurações de intervalo de endereço IP
  • Acessando e exibindo as páginas de configurações do sistema
  • Acessar e exibir as configurações de Descoberta
  • Acessar e exibir a página de Conectores de aplicativo
  • Acessar e exibir o Log de controle
  • Acessar e exibir a página Gerenciar relatórios de instantâneos
Leitor global Tem acesso completo somente leitura a todos os aspectos do Microsoft Defender para Aplicativos de Nuvem. Não pode alterar nenhuma configuração ou executar ações.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Observação

Os recursos de governança de aplicativo são controlados apenas pelas funções do Microsoft Entra ID. Para obter mais informações, confira Funções de governança de aplicativos.

Funções e permissões

Permissões Administrador Global Administrador de Segurança Administrador de conformidade Administrador de dados de conformidade Operador de Segurança Leitor de segurança Leitor global Administrador do PBI Administração do Cloud App Security
Ler alertas
Gerenciar alertas
Ler aplicativos OAuth
Executar ações de aplicativos OAuth
Acessar aplicativos descobertos, catálogo de aplicativos de nuvem e outros dados de descoberta na nuvem
Configurar conectores de API
Executar ações de descoberta na nuvem
Acessar dados de arquivos e políticas de arquivos
Executar ações de arquivo
Log de governança de acesso
Executar ações de log de governança
Acessar log de governança de descoberta com escopo
Políticas de leitura
Executar todas as ações de política
Executar ações de política de arquivos
Executar ações de política OAuth
Exibir gerenciamento de acesso do administrador
Gerenciar privacidade de administradores e atividades

Funções de administrador internas no Defender para Aplicativos de Nuvem

As seguintes funções de administrador específicas podem ser configuradas no portal do Microsoft Defender, na área Permissões > Aplicativos de Nuvem > Funções:

Nome da função Descrição
Administrador global Tem acesso total semelhante à função de Administrador Global do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Administrador de conformidade Concede as mesmas permissões que a função de administrador de conformidade do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Leitor de Segurança Concede as mesmas permissões que a função de leitor de segurança do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Operador de segurança Concede as mesmas permissões que a função de operador de segurança do Microsoft Entra, mas apenas ao Defender para Aplicativos de Nuvem.
Administrador de aplicativo/instância Tem permissões completas ou somente leitura a todos os dados no Defender para Aplicativos de Nuvem relacionados exclusivamente ao aplicativo ou à instância específicos de um aplicativo selecionado.

Por exemplo, você concede uma permissão de administrador de usuários à sua instância europeia do Box. O administrador verá apenas os dados relacionados à instância europeia do Box, sejam arquivos, atividades, políticas ou alertas:
  • Página de atividades – somente atividades sobre o aplicativo específico
  • Alertas: somente alertas relacionados ao aplicativo específico. Em alguns casos, dados de alerta relacionados a outro aplicativo se os dados estiverem correlacionados com o aplicativo específico. A visibilidade para dados de alerta relacionados a outro aplicativo é limitada e não há acesso a drill down para obter mais detalhes
  • Políticas – pode exibir todas as políticas e, se receber permissões completas, editar ou criar somente as políticas relacionadas exclusivamente ao aplicativo ou à instância
  • Página de contas – somente contas para a instância/o aplicativo específico
  • Permissões de aplicativo – somente permissões para a instância/o aplicativo específico
  • Página de arquivos – somente arquivos de instância/aplicativo específico
  • Controle de aplicativo de acesso condicional: sem permissões
  • Atividade do Cloud Discovery: sem permissões
  • Extensões de segurança: somente permissões para o token de API com permissões de usuário
  • Ações de governança – somente para a instância/o aplicativo específico
  • Recomendações de segurança para plataformas na nuvem – nenhuma permissão
  • Intervalos de IP – nenhuma permissão
Administrador do grupo de usuários Tem permissões completas ou somente leitura para todos os dados no Defender para Aplicativos de Nuvem que lida exclusivamente com os grupos específicos atribuídos a eles. Por exemplo, se você atribuir permissões de administrador de usuário ao grupo "Alemanha – todos os usuários", o administrador poderá exibir e editar as informações no Defender para Aplicativos de Nuvem somente para esse grupo de usuários. O administrador do grupo de usuários tem o seguinte acesso:

  • Página de atividades – somente atividades relacionadas aos usuários do grupo
  • Alertas – somente alertas relacionados aos usuários do grupo Em alguns casos, dados de alerta relacionados a outro usuário se os dados estiverem correlacionados com os usuários do grupo. A visibilidade para dados de alerta relacionados a outros usuários é limitada e não há acesso a drill down para obter mais detalhes.
  • Políticas – pode exibir todas as políticas e, se receber permissões completas, editar ou criar somente as políticas relacionadas exclusivamente aos usuários do grupo
  • Página de contas – somente contas dos usuários específicos do grupo
  • Permissões de aplicativo: nenhuma permissão
  • Página de arquivos: nenhuma permissão
  • Controle de aplicativo de acesso condicional: sem permissões
  • Atividade do Cloud Discovery: sem permissões
  • Extensões de segurança: somente permissões para o token de API com usuários do grupo
  • Ações de governança – somente para os usuários específicos do grupo
  • Recomendações de segurança para plataformas na nuvem – nenhuma permissão
  • Intervalos de IP – nenhuma permissão


Observações:
  • Para atribuir grupos a administradores de grupos de usuários, você deve primeiro importar grupos de usuários de aplicativos conectados.
  • Você só pode atribuir permissões de administradores de grupos de usuários a grupos importados do Microsoft Entra.
Administrador global do Cloud Discovery Tem permissão para exibir e editar todos os dados e configurações do Cloud Discovery. O administrador Global do Discovery tem o seguinte acesso:

  • Configurações: Configurações do sistema - Somente exibição;Configurações do Cloud Discovery – exibir e editar tudo (permissões de anonimização dependem se ele recebeu autorização durante a atribuição de função)
  • Atividade do Cloud Discovery – todas as permissões
  • Alertas – exibir e gerenciar apenas alertas relacionados ao relatório relevante do Cloud Discovery
  • Políticas – Pode exibir todas as políticas e editar ou criar somente as políticas do cloud discovery
  • Página de atividades – nenhuma permissão
  • Página de contas – nenhuma permissão
  • Permissões de aplicativo: nenhuma permissão
  • Página de arquivos: nenhuma permissão
  • Controle de aplicativo de acesso condicional: sem permissões
  • Extensões de segurança – criar e excluir seus próprios tokens de API
  • Ações de governança – apenas ações relacionadas ao Cloud Discovery
  • Recomendações de segurança para plataformas na nuvem – nenhuma permissão
  • Intervalos de IP – nenhuma permissão
Administrador de relatório do Cloud Discovery
  • Configurações: Configurações do sistema - Somente exibição;Configurações do Cloud Discovery – Exibir tudo (permissões de anonimização dependem se ele recebeu autorização durante a atribuição de função)
  • Atividade do Cloud Discovery – Apenas permissão de leitura
  • Alertas – Exibir apenas alertas relacionados ao relatório relevante do Cloud Discovery
  • Políticas – Pode exibir todas as políticas e criar apenas políticas do Cloud Discovery, sem a possibilidade de governar o aplicativo (marcação, sanção e exclusão de sanção)
  • Página de atividades – nenhuma permissão
  • Página de contas – nenhuma permissão
  • Permissões de aplicativo: nenhuma permissão
  • Página de arquivos: nenhuma permissão
  • Controle de aplicativo de acesso condicional: sem permissões
  • Extensões de segurança – criar e excluir seus próprios tokens de API
  • Ações de governança – Exibir apenas as ações relacionadas ao relatório relevante do Cloud Discovery
  • Recomendações de segurança para plataformas na nuvem – nenhuma permissão
  • Intervalos de IP – nenhuma permissão

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

As funções de administrador internas do Defender para Aplicativos de Nuvem fornecem apenas permissões de acesso ao Defender para Aplicativos de Nuvem.

Substituir permissões de administrador

Se quiser substituir uma permissão de administrador no Microsoft Entra ID ou no Microsoft 365, faça isso manualmente adicionando o usuário ao Defender para Aplicativos de Nuvem e atribuindo permissões de usuário. Por exemplo, se quiser atribuir a Stephanie, uma leitor de segurança no Microsoft Entra ID, para obter o Acesso completo no Defender para Aplicativos de Nuvem, adicione-a manualmente ao Defender para Aplicativos de Nuvem e atribua a ela o Acesso completo para substituir sua função e conceder a ela as permissões necessárias no Defender para Aplicativos de Nuvem. Observe que não é possível substituir as funções do Microsoft Entra que concedem acesso completo (administrador global, administrador da segurança e administrador da segurança de aplicativo na nuvem).

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Adicionar administradores adicionais

Você pode adicionar administradores adicionais ao Defender para Aplicativos de Nuvem sem adicionar usuários às funções administrativas do Microsoft Entra. Para adicionar outros administradores, realize as seguintes etapas:

Importante

  • O acesso à página Gerenciar acesso de administrador está disponível à membros dos grupos administradores globais, administradores da segurança, administradores de conformidade, administradores de dados de conformidade, operadores de segurança, leitores de segurança e leitores globais.
  • Para editar a página Gerenciar acesso de administrador e conceder a outros usuários acesso ao Defender para Aplicativos de Nuvem, é necessário pelo menos uma função de Administrador de Segurança.

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

  1. No portal do Microsoft Defender, no menu à esquerda, selecione Permissões.

  2. Em Aplicativos de Nuvem, escolha Funções.

Menu Permissões.

  1. Selecione +Adicionar usuário para adicionar os administradores que devem ter acesso ao Defender para Aplicativos de Nuvem. Forneça um endereço de email de um usuário de dentro da sua organização.

    Observação

    Se você quiser adicionar MSSPs (Managed Security Service Providers, provedores de serviços de segurança gerenciados) externos como administradores do Defender para Aplicativos de Nuvem, primeiro convide-os como convidado para sua organização.

    adicionar administradores.

  2. Em seguida, selecione o menu suspenso para definir o tipo de função do administrador. Se você selecionar Administrador de aplicativo/instância, selecione o aplicativo e a instância aos quais o administrador terá permissões.

    Observação

    Qualquer administrador, cujo acesso é limitado, que tentar acessar uma página restrita ou executar uma ação restrita receberá um erro indicando que ele não tem permissão para acessar a página ou executar a ação.

  3. Selecione Adicionar administrador.

Convidar administradores externos

O Defender para Aplicativos de Nuvem permite que você convide administradores externos (MSSPs) como administradores do serviço Defender para Aplicativos de Nuvem da sua organização (cliente MSSP). Para adicionar MSSPs, verifique se o Defender para Aplicativos de Nuvem está habilitado no locatário dos MSSPs e adicione-os como usuários de colaboração B2B do Microsoft Entra no portal do Azure de clientes MSSPs. Depois de adicionados, os MSSPs podem ser configurados como administradores e receber uma das funções disponíveis no Defender para Aplicativos de Nuvem.

Para adicionar MSSPs ao serviço do Defender para Aplicativos de Nuvem de cliente MSSP

  1. Adicione MSSPs como convidado no diretório do cliente MSSP usando as etapas em Adicionar usuários convidados ao diretório.
  2. Adicione MSSPs e atribua uma função de administrador no portal do Defender para Aplicativos de Nuvem do cliente do MSSP usando as etapas em Adicionar administradores adicionais. Forneça o mesmo endereço de email externo usado ao adicioná-los como convidados no diretório do cliente MSSP.

Acesso para MSSPs ao serviço do Defender para Aplicativos de Nuvem de cliente MSSP

Por padrão, os MSSPs acessam o locatário do Defender para Aplicativos de Nuvem por meio da seguinte URL: https://security.microsoft.com.

No entanto, os MSSPs precisarão acessar o portal do Microsoft Defender do cliente MSSP usando uma URL específica do locatário no seguinte formato: https://security.microsoft.com/?tid=<tenant_id>.

Os MSSPs podem usar as etapas a seguir para obter a ID do locatário do portal do cliente MSSP e usá-la para acessar a URL específica do locatário:

  1. Como MSSP, inicie a sessão no Microsoft Entra ID com suas credenciais.

  2. Mude o diretório para o locatário do cliente MSSP.

  3. Selecione Microsoft Entra ID>Propriedades. Você encontrará a ID do locatário do cliente MSSP no campo ID do locatário.

  4. Acesse o portal do cliente MSSP substituindo o valor de customer_tenant_id na seguinte URL: https://security.microsoft.com/?tid=<tenant_id>.

Auditoria de atividades do administrador

O Defender para Aplicativos de Nuvem permite exportar um registro de atividades de login do administrador e uma auditoria de exibições de um usuário específico ou alertas realizados como parte de uma investigação.

Para exportar um log, execute as etapas a seguir.

  1. No portal do Microsoft Defender, no menu à esquerda, selecione Permissões.

  2. Em Aplicativos de Nuvem, escolha Funções.

  3. Na página Funções de administrador, no canto superior direito, selecione Exportar atividades de administrador.

  4. Especifique o intervalo de tempo necessário.

  5. Selecione Exportar.

Próximas etapas

Configurar o Cloud Discovery