Поделиться через

Настройка доступа администратора

Microsoft Defender for Cloud Apps поддерживает управление доступом на основе ролей. В этой статье содержатся инструкции по настройке доступа к Defender for Cloud Apps для администраторов. Дополнительные сведения о назначении ролей администратора см. в статьях для Microsoft Entra ID и Microsoft 365.

Роли Microsoft 365 и Microsoft Entra с доступом к Defender for Cloud Apps

Примечание.

  • Роли Microsoft 365 и Microsoft Entra не перечислены на странице Defender for Cloud Apps управление доступом администратора. Чтобы назначить роли в Microsoft 365 или Microsoft Entra ID, перейдите к соответствующим параметрам RBAC для этой службы.
  • Defender for Cloud Apps использует Microsoft Entra ID для определения времени ожидания бездействия пользователя на уровне каталога. Если пользователь настроен в Microsoft Entra ID, чтобы никогда не выходить из неактивного режима, этот же параметр применяется и в Defender for Cloud Apps.
  • Defender for Cloud Apps Information Protection для включения требуется идентификатор Microsoft Entra Администратор, например администратор приложений или администратор облачных приложений. Дополнительные сведения см. в разделах Microsoft Entra встроенных ролей и Защита среды Microsoft 365.

По умолчанию следующие роли администраторов Microsoft 365 и Microsoft Entra ID имеют доступ к Defender for Cloud Apps:

Имя роли Описание
* администратор глобальный администратор и безопасности Администраторы с полным доступом имеют полные разрешения в Defender for Cloud Apps. Они могут добавлять администраторов, добавлять политики и параметры, отправлять журналы и выполнять действия по управлению, получать доступ к агентам SIEM и управлять ими.
администратор Cloud App Security Предоставляет полный доступ и разрешения в Defender for Cloud Apps. Эта роль предоставляет полные разрешения для Defender for Cloud Apps, например роль Microsoft Entra ID глобальный администратор. Однако эта роль ограничена Defender for Cloud Apps и не предоставляет полные разрешения для других продуктов майкрософт для обеспечения безопасности.
Администратор соответствия требованиям Разрешения только для чтения; возможность управления оповещениями. Не удается получить доступ к рекомендациям по безопасности для облачных платформ. Может создавать и изменять политики файлов, разрешать действия управления файлами и просматривать все встроенные отчеты в Управление данными.
Администратор данных соответствия требованиям Имеет разрешения только для чтения, может создавать и изменять политики файлов, разрешать действия по управлению файлами и просматривать все отчеты об обнаружении. Не удается получить доступ к рекомендациям по безопасности для облачных платформ.
Оператор безопасности Разрешения только для чтения; возможность управления оповещениями. Этим администраторам запрещено выполнять следующие действия:
  • Создание или изменение существующих политик
  • Выполнение любых действий по управлению
  • Отправка журналов обнаружения
  • Запрет или утверждение приложений сторонних разработчиков
  • Доступ к странице параметров диапазона IP-адресов и просмотр этой страницы
  • Доступ к страницам параметров системы и их просмотр
  • Доступ к параметрам обнаружения и просмотр их
  • Доступ к странице соединителей приложений и просмотр ее
  • Доступ к журналу управления и его просмотр
  • Доступ и просмотр страницы "Управление отчетами snapshot"
Читатель сведений о безопасности Имеет разрешения только для чтения и может создавать маркеры доступа API. Этим администраторам запрещено выполнять следующие действия:
    Создание или изменение существующих политик
  • Выполнение любых действий по управлению
  • Отправка журналов обнаружения
  • Запрет или утверждение приложений сторонних разработчиков
  • Доступ к странице параметров диапазона IP-адресов и просмотр этой страницы
  • Доступ к страницам параметров системы и их просмотр
  • Доступ к параметрам обнаружения и просмотр их
  • Доступ к странице соединителей приложений и просмотр ее
  • Доступ к журналу управления и его просмотр
  • Доступ и просмотр страницы "Управление отчетами snapshot"
Глобальный читатель Имеет полный доступ только для чтения ко всем аспектам Defender for Cloud Apps. Не удается изменить параметры или выполнить какие-либо действия.

* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Примечание.

Практически все возможности управления приложениями управляются только Microsoft Entra ID ролями. Единственным исключением является таблица OAuthAppInfo в расширенном поиске. Унифицированные разрешения RBAC в Defender for Cloud Apps предоставляют доступ к данным управления приложениями в этой конкретной таблице.

В унифицированных оповещениях и инцидентах в Defender XDR доступ к данным управления приложениями контролируется только Microsoft Entra ID.

Дополнительные сведения о разрешениях в системе управления приложениями см. в разделе Роли управления приложениями.

Роли и разрешения

Разрешения Глобальные
Администратор		 Безопасность
Администратор		 Соответствие требованиям
Администратор		 Соответствие требованиям
Администратор данных		 Безопасность
Оператор		 Безопасность
Читатель		 Глобальные
Читатель		 PBI Администратор Облачное приложение
Администратор безопасности
Чтение оповещений
Управление оповещениями
Чтение приложений OAuth
Выполнение действий приложения OAuth
Доступ к обнаруженным приложениям, каталогу облачных приложений и другим данным об обнаружении облака
Настройка соединителей API
Выполнение действий обнаружения в облаке
Доступ к данным и политикам файлов
Выполнение действий с файлами
Доступ к журналу управления
Выполнение действий журнала управления
Доступ к журналу управления обнаружением с ограниченной областью
Политики чтения
Выполнение всех действий политики
Выполнение действий политики файлов
Выполнение действий политики OAuth
Просмотр управления доступом администратора
Управление администраторами и конфиденциальностью действий

Встроенные роли администратора в Defender for Cloud Apps

На портале Microsoft Defender в области Разрешения роли облачных > приложений > можно настроить следующие конкретные роли администратора:

Имя роли Описание
Глобальный администратор Имеет полный доступ, аналогичный роли глобального администратора Microsoft Entra, но только Defender for Cloud Apps.
Администратор соответствия требованиям Предоставляет те же разрешения, что и роль администратора соответствия требованиям Microsoft Entra, но только для Defender for Cloud Apps.
Читатель сведений о безопасности Предоставляет те же разрешения, что и роль читателя безопасности Microsoft Entra, но только для Defender for Cloud Apps.
Оператор безопасности Предоставляет те же разрешения, что и роль оператора безопасности Microsoft Entra, но только для Defender for Cloud Apps.
Администратор приложения или экземпляра Имеет полные разрешения или разрешения только для чтения для всех данных в Defender for Cloud Apps, которые относятся исключительно к конкретному приложению или экземпляру выбранного приложения.

Например, вы предоставляете администратору пользователя разрешение на доступ к вашему экземпляру Box Для Европы. Администратор видит только данные, относящиеся к экземпляру Box European, будь то файлы, действия, политики, поведение или оповещения:
  • Страница "Действия" — только действия, относящиеся к конкретному приложению
  • Оповещения и поведение — относится только к конкретному приложению. В некоторых случаях данные оповещения или поведения, связанные с другим приложением, если данные связаны с конкретным приложением. Видимость данных оповещений, связанных с другим приложением, ограничена, и нет доступа к детализации для получения дополнительных сведений.
  • Политики. Может просматривать все политики и при назначении полных разрешений может изменять или создавать только политики, которые касаются исключительно приложения или экземпляра.
  • Страница учетных записей — только учетные записи для конкретного приложения или экземпляра
  • Разрешения приложения — только разрешения для конкретного приложения или экземпляра
  • Страница "Файлы" — только файлы из конкретного приложения или экземпляра
  • Управление условным доступом к приложениям — нет разрешений
  • Действие обнаружения в облаке — нет разрешений
  • Расширения безопасности — только разрешения для маркера API с разрешениями пользователя
  • Действия по управлению — только для конкретного приложения или экземпляра
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений
Администратор группы пользователей Имеет полные или доступные только для чтения разрешения на все данные в Defender for Cloud Apps, которые относятся исключительно к определенным группам, назначенным им. Например, если вы назначаете разрешения администратора пользователя группе "Германия — все пользователи", администратор может просматривать и изменять сведения в Defender for Cloud Apps только для этой группы пользователей. Администратор группы пользователей имеет следующий доступ:

  • Страница "Действия" — только действия, касаемые пользователей в группе
  • Оповещения — только оповещения, относящиеся к пользователям в группе. В некоторых случаях оповещать данные, связанные с другим пользователем, если данные коррелируются с пользователями в группе. Видимость данных оповещений, связанных с другими пользователями, ограничена, и нет доступа к детализации для получения дополнительных сведений.
  • Политики. Может просматривать все политики и, если им назначены полные разрешения, может изменять или создавать только политики, которые касаются исключительно пользователей в группе.
  • Страница учетных записей — только учетные записи для определенных пользователей в группе
  • Разрешения приложения — нет разрешений
  • Страница "Файлы" — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Действие обнаружения в облаке — нет разрешений
  • Расширения безопасности — только разрешения для маркера API с пользователями в группе
  • Действия по управлению — только для конкретных пользователей в группе
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений


Примечания.
  • Чтобы назначить группы администраторам групп пользователей, сначала необходимо импортировать группы пользователей из подключенных приложений.
  • Разрешения администраторов групп пользователей можно назначать только импортированным Microsoft Entra группам.
Глобальный администратор Cloud Discovery Имеет разрешение на просмотр и изменение всех параметров и данных обнаружения в облаке. Администратор глобального обнаружения имеет следующий доступ:

  • Параметры: Параметры системы — только просмотр; Параметры Cloud Discovery— просмотр и изменение всех (разрешения на анонимизацию зависят от того, разрешено ли это во время назначения ролей)
  • Действие обнаружения в облаке — полные разрешения
  • Оповещения — просмотр и управление только оповещениями, связанными с соответствующим отчетом об обнаружении облака.
  • Политики. Может просматривать все политики и может изменять или создавать только политики обнаружения в облаке.
  • Страница "Действия" — нет разрешений
  • Страница учетных записей — нет разрешений
  • Разрешения приложения — нет разрешений
  • Страница "Файлы" — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Расширения безопасности — создание и удаление собственных маркеров API
  • Действия по управлению — только действия, связанные с Cloud Discovery
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений
Администратор отчета Cloud Discovery
  • Параметры: Параметры системы — только просмотр; Параметры обнаружения в облаке — просмотреть все (разрешения на анонимизацию зависят от того, разрешено ли это во время назначения ролей)
  • Действие обнаружения в облаке — только разрешения на чтение
  • Оповещения — просмотр только оповещений, связанных с соответствующим отчетом об обнаружении облака.
  • Политики. Может просматривать все политики и создавать только политики обнаружения в облаке без возможности управления приложением (тегами, санкционированием и несанкционированным).
  • Страница "Действия" — нет разрешений
  • Страница учетных записей — нет разрешений
  • Разрешения приложения — нет разрешений
  • Страница "Файлы" — нет разрешений
  • Управление условным доступом к приложениям — нет разрешений
  • Расширения безопасности — создание и удаление собственных маркеров API
  • Действия по управлению — просмотр только действий, связанных с соответствующим отчетом об обнаружении облака.
  • Рекомендации по безопасности для облачных платформ — нет разрешений
  • Диапазоны IP-адресов — нет разрешений

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Встроенные роли администратора Defender for Cloud Apps предоставляют только разрешения на доступ к Defender for Cloud Apps.

Переопределение разрешений администратора

Чтобы переопределить разрешение администратора от Microsoft Entra ID или Microsoft 365, можно вручную добавить пользователя в Defender for Cloud Apps и назначить ему разрешения. Например, если вы хотите назначить Стефани, которая является читателем безопасности в Microsoft Entra ID иметь полный доступ в Defender for Cloud Apps, вы можете добавить ее вручную в Defender for Cloud Apps и назначить ей полный доступ, чтобы переопределить ее роль и разрешить ей необходимые разрешения в Defender for Cloud Apps. Нельзя переопределить Microsoft Entra роли, предоставляющие полный доступ (глобальный администратор, администратор безопасности и администратор Cloud App Security).

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Добавление дополнительных администраторов

Вы можете добавить дополнительных администраторов в Defender for Cloud Apps, не добавляя пользователей в Microsoft Entra административные роли. Чтобы добавить дополнительных администраторов, выполните следующие действия.

Важно!

  • Доступ к странице Управление доступом администратора доступен членам групп "Глобальные администраторы", "Администраторы безопасности", "Администраторы соответствия требованиям", "Администраторы данных соответствия", "Операторы безопасности", "Читатели безопасности" и "Глобальные читатели".
  • Чтобы изменить страницу Управление доступом администратора и предоставить другим пользователям доступ к Defender for Cloud Apps, необходимо иметь по крайней мере роль администратора безопасности.

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  1. На портале Microsoft Defender в меню слева выберите Разрешения.

  2. В разделе Облачные приложения выберите Роли.

    Меню

  3. Выберите +Добавить пользователя, чтобы добавить администраторов, которые должны иметь доступ к Defender for Cloud Apps. Укажите адрес электронной почты пользователя из организации.

    Примечание.

    Если вы хотите добавить внешних поставщиков управляемых служб безопасности (MSSP) в качестве администраторов для Defender for Cloud Apps, сначала пригласите их в качестве гостя в свою организацию.

    добавление администраторов.

  4. Затем выберите раскрывающийся список, чтобы задать тип роли администратора. Если выбрать администратор приложения или экземпляра, выберите приложение и экземпляр, для которых у администратора будут разрешения.

    Примечание.

    Администраторы с ограниченным доступом, которые пытаются получить доступ к ограниченной странице или выполнить действие с ограниченным доступом, получают сообщение об ошибке о том, что у них нет разрешения на доступ к странице или выполнение действия.

  5. Выберите Добавить администратора.

Приглашение внешних администраторов

Defender for Cloud Apps позволяет приглашать внешних администраторов (MSSP) в качестве администраторов службы Defender for Cloud Apps вашей организации (клиента MSSP). Чтобы добавить поставщиков MSSP, убедитесь, что Defender for Cloud Apps включены в клиенте MSSP, а затем добавьте их как Microsoft Entra пользователей службы совместной работы B2B в клиентах MSSP, портал Azure. После добавления mssp можно настроить в качестве администраторов и назначить любую из ролей, доступных в Defender for Cloud Apps.

Добавление поставщиков mssp в службу клиентского Defender for Cloud Apps MSSP

  1. Добавьте MSSP в качестве гостя в каталог клиента MSSP, выполнив действия, описанные в разделе Добавление гостевых пользователей в каталог.
  2. Добавьте mssp и назначьте роль администратора в клиентском Defender for Cloud Apps MSSP, выполнив действия, описанные в разделе Добавление дополнительных администраторов. Укажите тот же внешний адрес электронной почты, который используется при добавлении гостей в каталог клиента MSSP.

Доступ для mssp к службе клиентского Defender for Cloud Apps MSSP

По умолчанию MSSP обращаются к клиенту Defender for Cloud Apps через следующий URL-адрес: https://security.microsoft.com.

Однако msSP должны получить доступ к клиентскому порталу MSSP Microsoft Defender, используя URL-адрес для конкретного клиента в следующем формате: https://security.microsoft.com/?tid=<tenant_id>.

Поставщики служб MSSP могут выполнить следующие действия, чтобы получить идентификатор клиента портала клиента MSSP, а затем использовать идентификатор для доступа к URL-адресу для конкретного клиента:

  1. Войдите в службу MSSP Microsoft Entra ID с учетными данными.
  2. Переключите каталог на клиент клиента MSSP.
  3. Выберите Microsoft Entra ID>Свойства. Идентификатор клиента MSSP находится в поле Идентификатор клиента .
  4. Для доступа к клиентскому порталу MSSP замените customer_tenant_id значение в следующем URL-адресе: https://security.microsoft.com/?tid=<tenant_id>.

аудит действий Администратор

Defender for Cloud Apps позволяет экспортировать журнал действий администратора при входе и аудит представлений конкретного пользователя или оповещений, выполненных в рамках исследования.

Чтобы экспортировать журнал, выполните следующие действия.

  1. На портале Microsoft Defender в меню слева выберите Разрешения.

  2. В разделе Облачные приложения выберите Роли.

  3. На странице Администратор ролей в правом верхнем углу выберите Экспорт действий администратора.

  4. Укажите требуемый диапазон времени.

  5. Выберите Экспорт.

Дальнейшие действия

Настройка облачного обнаружения

  • Last updated on