Настройка доступа администратора в Defender for Cloud Apps

Microsoft Defender for Cloud Apps поддерживает управление доступом на основе ролей. В этой статье содержатся инструкции по настройке доступа к Defender for Cloud Apps для администраторов. Дополнительные сведения о назначении ролей администратора см. в статьях для Microsoft Entra ID и Microsoft 365.

Роли Microsoft 365 и Microsoft Entra с доступом к Defender for Cloud Apps

Примечание.

  • Роли Microsoft 365 и Microsoft Entra не перечислены на странице Defender for Cloud Apps управление доступом администратора. Чтобы назначить роли в Microsoft 365 или Microsoft Entra ID, перейдите к соответствующим параметрам RBAC для этой службы.
  • Defender for Cloud Apps использует Microsoft Entra ID для определения времени ожидания бездействия пользователя на уровне каталога. Если пользователь настроен в Microsoft Entra ID, чтобы никогда не выходить из неактивного режима, этот же параметр применяется и в Defender for Cloud Apps.
  • Для включения Defender for Cloud Apps Information Protection требуется роль администратора Microsoft Entra, например: администратор приложений или администратор облачных приложений. Дополнительные сведения см. в разделах Встроенные роли Microsoft Entra и Защита среды Microsoft 365.

Примечание.

По мере того как Microsoft Defender движется к полностью унифицированной платформе управления удостоверениями, некоторые конвейеры данных Defender for Cloud Apps по-прежнему остаются отдельными. Определение области действия RBAC в Defender for Cloud Apps использует отдельный конвейер обработки данных, который пока не интегрирован с реестром удостоверений. Корреляции, определенные в инвентаре удостоверений, не влияют на область действия Defender for Cloud Apps. Полный список затронутых функций см. в статье Включение интеграции инвентаризации удостоверений.

По умолчанию следующие роли администраторов Microsoft 365 и Microsoft Entra ID имеют доступ к Defender for Cloud Apps:

Имя роли Описание
Администратор безопасности Администраторы с полным доступом имеют полные разрешения в Defender for Cloud Apps. Они могут добавлять администраторов, добавлять политики и параметры, отправлять журналы и выполнять действия по управлению, получать доступ к агентам SIEM и управлять ими.
администратор Cloud App Security Предоставляет полный доступ и разрешения в Defender for Cloud Apps. Эта роль предоставляет полные разрешения для Defender for Cloud Apps, например роль Microsoft Entra ID глобальный администратор. Однако эта роль ограничена Defender for Cloud Apps и не предоставляет полные разрешения для других продуктов майкрософт для обеспечения безопасности.
Администратор соответствия требованиям Разрешения только для чтения; возможность управления оповещениями. Не удается получить доступ к рекомендациям по безопасности для облачных платформ. Может создавать и изменять политики файлов, разрешать действия управления файлами и просматривать все встроенные отчеты в Управление данными.
Администратор данных соответствия требованиям Имеет разрешения только для чтения, может создавать и изменять политики файлов, разрешать действия по управлению файлами и просматривать все отчеты об обнаружении. Не удается получить доступ к рекомендациям по безопасности для облачных платформ.
Оператор безопасности Разрешения только для чтения; возможность управления оповещениями. Этим администраторам запрещено выполнять следующие действия:
  • Создание или изменение существующих политик
  • Выполнение любых действий по управлению
  • Отправка журналов обнаружения
  • Запрет или утверждение приложений сторонних разработчиков
  • Доступ к странице параметров диапазона IP-адресов и просмотр этой страницы
  • Доступ к страницам параметров системы и их просмотр
  • Доступ к параметрам обнаружения и просмотр их
  • Доступ к странице соединителей приложений и ее просмотр
  • Доступ к журналу управления и его просмотр
  • Доступ к странице "Управление отчетами о снимках" и ее просмотр
Читатель сведений о безопасности Имеет разрешения только для чтения и может создавать маркеры доступа API. Этим администраторам запрещено выполнять следующие действия:
    Создание или изменение существующих политик
  • Выполнение любых действий по управлению
  • Отправка журналов обнаружения
  • Запрет или утверждение приложений сторонних разработчиков
  • Доступ к странице параметров диапазона IP-адресов и просмотр этой страницы
  • Доступ к страницам параметров системы и их просмотр
  • Доступ к параметрам обнаружения и просмотр их
  • Доступ к странице соединителей приложений и ее просмотр
  • Доступ к журналу управления и его просмотр
  • Доступ к странице "Управление отчетами о снимках" и ее просмотр
Глобальный читатель Имеет полный доступ только для чтения ко всем аспектам Defender for Cloud Apps. Не удается изменить параметры или выполнить какие-либо действия.

* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Примечание.

Практически все возможности управления приложениями управляются только Microsoft Entra ID ролями. Единственным исключением является таблица OAuthAppInfo в расширенном поиске. Унифицированные разрешения RBAC в Defender for Cloud Apps предоставляют доступ к данным управления приложениями в этой конкретной таблице.

В интерфейсе унифицированных оповещений и инцидентов в Defender XDR доступ к данным управления приложениями контролируется только с помощью Microsoft Entra ID.

Дополнительные сведения о разрешениях в системе управления приложениями см. в разделе Роли управления приложениями.

Роли и разрешения

Разрешения Глобальный
Администратор
Безопасность
Администратор
Соответствие требованиям
Администратор
Соответствие требованиям
Администратор данных
Безопасность
Оператор
Безопасность
Читатель
Глобальный
Читатель
Администратор PBI Облачное приложение
Администратор безопасности
Чтение оповещений
Управление оповещениями
Чтение приложений OAuth
Выполнение действий приложения OAuth
Доступ к обнаруженным приложениям, каталогу облачных приложений и другим данным об обнаружении облака
Настройка соединителей API
Выполните действия по обнаружению облачных ресурсов
Доступ к данным и политикам файлов
Выполнение действий с файлами
Доступ к журналу управления
Выполнение действий журнала управления
Доступ к журналу управления обнаружением с ограниченной областью
Ознакомьтесь с политиками
Выполнить все действия политики
Выполнить действия политики файлов
Выполнить действия политики OAuth
Просмотр и управление доступом администратора
Управление администраторами и конфиденциальностью действий

Встроенные роли администратора в Defender for Cloud Apps

Следующие конкретные роли администратора можно настроить на портале Microsoft Defender в разделе Разрешения > Облачные приложения > Роли:

Имя роли Описание
Глобальный администратор Имеет полный доступ, аналогичный доступу роли глобального администратора Microsoft Entra, но только в Defender for Cloud Apps.
Администратор соответствия требованиям Предоставляет те же разрешения, что и роль администратора соответствия требованиям Microsoft Entra, но только для Defender for Cloud Apps.
Читатель сведений о безопасности Предоставляет те же разрешения, что и роль "Читатель сведений о безопасности" в Microsoft Entra, но только для Defender for Cloud Apps.
Оператор безопасности Предоставляет те же разрешения, что и роль оператора безопасности Microsoft Entra, но только для Defender for Cloud Apps.
Администратор приложения или экземпляра Имеет полные разрешения или разрешения только для чтения для всех данных в Defender for Cloud Apps, которые относятся исключительно к конкретному приложению или экземпляру выбранного приложения.

Например, вы предоставляете пользователю права администратора для вашего европейского экземпляра Box. Администратор видит только данные, относящиеся к экземпляру Box European, будь то файлы, действия, политики, поведение или оповещения:
  • Страница "Действия" — только действия, относящиеся к конкретному приложению
  • Оповещения и поведение — относится только к конкретному приложению. В некоторых случаях данные предупреждений или поведения, связанные с другим приложением, если эти данные коррелируют с конкретным приложением. Видимость данных оповещений, связанных с другим приложением, ограничена, и нет доступа к детализации для получения дополнительных сведений.
  • Политики — может просматривать все политики и при наличии полных прав может изменять или создавать только политики, относящиеся исключительно к приложению/экземпляру.
  • Страница учетных записей — только учетные записи для конкретного приложения или экземпляра
  • Разрешения приложения — только разрешения для конкретного приложения или экземпляра
  • Страница файлов — только файлы из конкретного приложения или его экземпляра
  • Управление условным доступом к приложениям — нет разрешений
  • Действие обнаружения в облаке — нет разрешений
  • Расширения безопасности — только для прав доступа токена API с пользовательскими правами доступа
  • Действия управления — только для определённого приложения или экземпляра
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений
Администратор группы пользователей Имеет полные или доступные только для чтения разрешения на все данные в Defender for Cloud Apps, которые относятся исключительно к определенным группам, назначенным им. Например, если вы назначаете разрешения администратора пользователя группе "Германия — все пользователи", администратор может просматривать и изменять сведения в Defender for Cloud Apps только для этой группы пользователей. Администратор группы пользователей имеет следующий доступ:

  • Страница "Действия" — только действия, касаемые пользователей в группе
  • Оповещения — только оповещения, относящиеся к пользователям в группе. В некоторых случаях оповещать данные, связанные с другим пользователем, если данные коррелируются с пользователями в группе. Видимость данных оповещений, связанных с другими пользователями, ограничена, и нет доступа к детализации для получения дополнительных сведений.
  • Политики. Может просматривать все политики и, если им назначены полные разрешения, может изменять или создавать только политики, которые касаются исключительно пользователей в группе.
  • Страница учетных записей — только учетные записи для определенных пользователей в группе
  • Разрешения приложения — нет разрешений
  • страница Files — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Действие обнаружения в облаке — нет разрешений
  • Расширения безопасности — права доступа только для токена API пользователей в группе
  • Действия по управлению — только для конкретных пользователей в группе
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений


Примечания.
  • Чтобы назначить группы администраторам групп пользователей, сначала необходимо импортировать группы пользователей из подключенных приложений.
  • Разрешения администраторов групп пользователей можно назначать только импортированным Microsoft Entra группам.
Глобальный администратор Cloud Discovery Имеет разрешение на просмотр и изменение всех параметров и данных обнаружения в облаке. Администратор глобального обнаружения имеет следующий доступ:

  • Параметры: Параметры системы — только просмотр; Параметры Cloud Discovery— просмотр и изменение всех (разрешения на анонимизацию зависят от того, разрешено ли это во время назначения ролей)
  • Действие «Обнаружение облака» — полные разрешения
  • Оповещения — просмотр и управление только оповещениями, связанными с соответствующим отчетом об обнаружении облака.
  • Политики. Может просматривать все политики и может изменять или создавать только политики обнаружения в облаке.
  • Страница "Действия" — нет разрешений
  • Страница учетных записей — нет разрешений
  • Разрешения приложения — нет разрешений
  • страница Files — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Расширения безопасности — создание и удаление собственных токенов API
  • Действия по управлению — только действия, связанные с Cloud Discovery
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений
Администратор отчета Cloud Discovery
  • Параметры: Параметры системы — только просмотр; Параметры обнаружения в облаке — просмотреть все (разрешения на анонимизацию зависят от того, разрешено ли это во время назначения ролей)
  • Обнаружение облачных ресурсов — только с правами чтения
  • Оповещения — просмотр только оповещений, связанных с соответствующим отчетом об обнаружении облака.
  • Политики: может просматривать все политики и создавать только политики обнаружения облачных приложений без возможности управлять приложениями (назначать теги, разрешать и запрещать их использование)
  • Страница "Действия" — нет разрешений
  • Страница учетных записей — нет разрешений
  • Разрешения приложения — нет разрешений
  • страница Files — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Расширения безопасности — создание и удаление собственных API-токенов
  • Действия по управлению — просмотр только действий, связанных с соответствующим отчетом об обнаружении облака.
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов: нет прав доступа

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Встроенные роли администратора Defender for Cloud Apps предоставляют только разрешения на доступ к Defender for Cloud Apps.

Переопределить права администратора

Чтобы переопределить разрешение администратора от Microsoft Entra ID или Microsoft 365, можно вручную добавить пользователя в Defender for Cloud Apps и назначить ему разрешения. Например, если вы хотите назначить Стефани, которая является читателем безопасности в Microsoft Entra ID иметь полный доступ в Defender for Cloud Apps, вы можете добавить ее вручную в Defender for Cloud Apps и назначить ей полный доступ, чтобы переопределить ее роль и разрешить ей необходимые разрешения в Defender for Cloud Apps. Нельзя переопределить Microsoft Entra роли, предоставляющие полный доступ (глобальный администратор, администратор безопасности и администратор Cloud App Security).

Добавление дополнительных администраторов

Вы можете добавить дополнительных администраторов в Defender for Cloud Apps, не добавляя пользователей в роли администраторов Microsoft Entra. Чтобы добавить дополнительных администраторов, выполните следующие действия.

Важно!

  • Доступ к странице Управление доступом администратора доступен членам групп "Глобальные администраторы", "Администраторы безопасности", "Администраторы соответствия требованиям", "Администраторы данных соответствия", "Операторы безопасности", "Читатели безопасности" и "Глобальные читатели".
  • Чтобы изменить страницу Управление доступом администратора и предоставить другим пользователям доступ к Defender for Cloud Apps, необходимо иметь по крайней мере роль администратора безопасности.

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  1. На портале Microsoft Defender в меню слева выберите Разрешения.

  2. В разделе Облачные приложения выберите Роли.

    Меню

  3. Выберите +Добавить пользователя, чтобы добавить администраторов, которые должны иметь доступ к Defender for Cloud Apps. Укажите адрес электронной почты пользователя из организации.

    Примечание.

    Если вы хотите добавить внешних поставщиков управляемых служб безопасности (MSSP) в качестве администраторов для Defender for Cloud Apps, сначала пригласите их в качестве гостя в свою организацию.

    Снимок экрана: диалоговое окно добавления пользователя для добавления дополнительных администраторов в Defender for Cloud Apps.

  4. Затем выберите раскрывающийся список, чтобы задать тип роли администратора. Если вы выберете администратор приложения/экземпляра, выберите приложение и экземпляр, для которых администратор получит разрешения.

    Примечание.

    Администраторы с ограниченным доступом, которые пытаются получить доступ к ограниченной странице или выполнить действие с ограниченным доступом, получают сообщение об ошибке о том, что у них нет разрешения на доступ к странице или выполнение действия.

  5. Выберите Добавить администратора.

Приглашение внешних администраторов

Defender for Cloud Apps позволяет приглашать внешних администраторов (MSSP) в качестве администраторов службы Defender for Cloud Apps вашей организации (клиента MSSP). Чтобы добавить поставщиков MSSP, убедитесь, что Defender for Cloud Apps включен в арендаторе MSSP, а затем добавьте их как пользователей совместной работы Microsoft Entra B2B в портал Azure клиентов MSSP. После добавления MSSP можно настроить как администраторов и назначить им любую из ролей, доступных в Defender for Cloud Apps.

Добавление поставщиков MSSP в службу Defender for Cloud Apps клиента MSSP

  1. Добавьте MSSP как пользователей за пределами организации в каталог клиента MSSP, выполнив действия, описанные в разделе Добавление пользователей за пределами организации в каталог.
  2. Добавьте MSSP и назначьте роль администратора в Defender for Cloud Apps клиента MSSP, выполнив действия, описанные в разделе Добавление дополнительных администраторов. Укажите тот же внешний адрес электронной почты, который используется при добавлении гостей в каталог клиента MSSP.

Доступ MSSP к службе Defender for Cloud Apps клиента MSSP

По умолчанию управляемые поставщики служб безопасности (MSSPs) получают доступ к своему Defender for Cloud Apps клиенту по следующему URL-адресу: https://security.microsoft.com

Однако MSSP необходимо получать доступ к порталу Microsoft Defender клиента MSSP, используя URL-адрес, зависящий от арендатора, в следующем формате: https://security.microsoft.com/?tid=<tenant_id>.

Чтобы получить идентификатор клиента клиентского портала MSSP и получить доступ к URL-адресу для конкретного клиента, выполните следующую процедуру:

  1. Будучи MSSP, войдите в Microsoft Entra ID, используя свои учетные данные.
  2. Переключитесь на каталог тенанта клиента MSSP.
  3. Выберите Microsoft Entra ID>Свойства. Идентификатор клиента MSSP находится в поле Идентификатор клиента .
  4. Чтобы получить доступ к клиентскому порталу MSSP, замените значение <tenant_id> в следующем URL-адресе: https://security.microsoft.com/?tid=<tenant_id>.

Аудит действий администратора

Defender for Cloud Apps позволяет экспортировать журнал действий администратора при входе и аудит представлений конкретного пользователя или оповещений, выполненных в рамках исследования.

Чтобы экспортировать журнал, выполните следующие действия.

  1. На портале Microsoft Defender в меню слева выберите Разрешения.

  2. В разделе Облачные приложения выберите Роли.

  3. На странице Администратор ролей в правом верхнем углу выберите Экспорт действий администратора.

  4. Укажите требуемый диапазон времени.

  5. Выберите Экспорт.

Дальнейшие действия