Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender for Cloud Apps поддерживает управление доступом на основе ролей. В этой статье содержатся инструкции по настройке доступа к Defender for Cloud Apps для администраторов. Дополнительные сведения о назначении ролей администратора см. в статьях для Microsoft Entra ID и Microsoft 365.
Роли Microsoft 365 и Microsoft Entra с доступом к Defender for Cloud Apps
Примечание.
- Роли Microsoft 365 и Microsoft Entra не перечислены на странице Defender for Cloud Apps управление доступом администратора. Чтобы назначить роли в Microsoft 365 или Microsoft Entra ID, перейдите к соответствующим параметрам RBAC для этой службы.
- Defender for Cloud Apps использует Microsoft Entra ID для определения времени ожидания бездействия пользователя на уровне каталога. Если пользователь настроен в Microsoft Entra ID, чтобы никогда не выходить из неактивного режима, этот же параметр применяется и в Defender for Cloud Apps.
- Для включения Defender for Cloud Apps Information Protection требуется роль администратора Microsoft Entra, например: администратор приложений или администратор облачных приложений. Дополнительные сведения см. в разделах Встроенные роли Microsoft Entra и Защита среды Microsoft 365.
Примечание.
По мере того как Microsoft Defender движется к полностью унифицированной платформе управления удостоверениями, некоторые конвейеры данных Defender for Cloud Apps по-прежнему остаются отдельными. Определение области действия RBAC в Defender for Cloud Apps использует отдельный конвейер обработки данных, который пока не интегрирован с реестром удостоверений. Корреляции, определенные в инвентаре удостоверений, не влияют на область действия Defender for Cloud Apps. Полный список затронутых функций см. в статье Включение интеграции инвентаризации удостоверений.
По умолчанию следующие роли администраторов Microsoft 365 и Microsoft Entra ID имеют доступ к Defender for Cloud Apps:
| Имя роли | Описание |
|---|---|
| Администратор безопасности | Администраторы с полным доступом имеют полные разрешения в Defender for Cloud Apps. Они могут добавлять администраторов, добавлять политики и параметры, отправлять журналы и выполнять действия по управлению, получать доступ к агентам SIEM и управлять ими. |
| администратор Cloud App Security | Предоставляет полный доступ и разрешения в Defender for Cloud Apps. Эта роль предоставляет полные разрешения для Defender for Cloud Apps, например роль Microsoft Entra ID глобальный администратор. Однако эта роль ограничена Defender for Cloud Apps и не предоставляет полные разрешения для других продуктов майкрософт для обеспечения безопасности. |
| Администратор соответствия требованиям | Разрешения только для чтения; возможность управления оповещениями. Не удается получить доступ к рекомендациям по безопасности для облачных платформ. Может создавать и изменять политики файлов, разрешать действия управления файлами и просматривать все встроенные отчеты в Управление данными. |
| Администратор данных соответствия требованиям | Имеет разрешения только для чтения, может создавать и изменять политики файлов, разрешать действия по управлению файлами и просматривать все отчеты об обнаружении. Не удается получить доступ к рекомендациям по безопасности для облачных платформ. |
| Оператор безопасности | Разрешения только для чтения; возможность управления оповещениями. Этим администраторам запрещено выполнять следующие действия:
|
| Читатель сведений о безопасности | Имеет разрешения только для чтения и может создавать маркеры доступа API. Этим администраторам запрещено выполнять следующие действия:
|
| Глобальный читатель | Имеет полный доступ только для чтения ко всем аспектам Defender for Cloud Apps. Не удается изменить параметры или выполнить какие-либо действия. |
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Примечание.
Практически все возможности управления приложениями управляются только Microsoft Entra ID ролями. Единственным исключением является таблица OAuthAppInfo в расширенном поиске. Унифицированные разрешения RBAC в Defender for Cloud Apps предоставляют доступ к данным управления приложениями в этой конкретной таблице.
В интерфейсе унифицированных оповещений и инцидентов в Defender XDR доступ к данным управления приложениями контролируется только с помощью Microsoft Entra ID.
Дополнительные сведения о разрешениях в системе управления приложениями см. в разделе Роли управления приложениями.
Роли и разрешения
| Разрешения | Глобальный Администратор |
Безопасность Администратор |
Соответствие требованиям Администратор |
Соответствие требованиям Администратор данных |
Безопасность Оператор |
Безопасность Читатель |
Глобальный Читатель |
Администратор PBI | Облачное приложение Администратор безопасности |
|---|---|---|---|---|---|---|---|---|---|
| Чтение оповещений | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Управление оповещениями | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| Чтение приложений OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Выполнение действий приложения OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Доступ к обнаруженным приложениям, каталогу облачных приложений и другим данным об обнаружении облака | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Настройка соединителей API | ✔ | ✔ | ✔ | ✔ | |||||
| Выполните действия по обнаружению облачных ресурсов | ✔ | ✔ | ✔ | ||||||
| Доступ к данным и политикам файлов | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Выполнение действий с файлами | ✔ | ✔ | ✔ | ✔ | |||||
| Доступ к журналу управления | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Выполнение действий журнала управления | ✔ | ✔ | ✔ | ✔ | |||||
| Доступ к журналу управления обнаружением с ограниченной областью | ✔ | ✔ | ✔ | ||||||
| Ознакомьтесь с политиками | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Выполнить все действия политики | ✔ | ✔ | ✔ | ✔ | |||||
| Выполнить действия политики файлов | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| Выполнить действия политики OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Просмотр и управление доступом администратора | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Управление администраторами и конфиденциальностью действий | ✔ | ✔ | ✔ |
Встроенные роли администратора в Defender for Cloud Apps
Следующие конкретные роли администратора можно настроить на портале Microsoft Defender в разделе Разрешения > Облачные приложения > Роли:
| Имя роли | Описание |
|---|---|
| Глобальный администратор | Имеет полный доступ, аналогичный доступу роли глобального администратора Microsoft Entra, но только в Defender for Cloud Apps. |
| Администратор соответствия требованиям | Предоставляет те же разрешения, что и роль администратора соответствия требованиям Microsoft Entra, но только для Defender for Cloud Apps. |
| Читатель сведений о безопасности | Предоставляет те же разрешения, что и роль "Читатель сведений о безопасности" в Microsoft Entra, но только для Defender for Cloud Apps. |
| Оператор безопасности | Предоставляет те же разрешения, что и роль оператора безопасности Microsoft Entra, но только для Defender for Cloud Apps. |
| Администратор приложения или экземпляра | Имеет полные разрешения или разрешения только для чтения для всех данных в Defender for Cloud Apps, которые относятся исключительно к конкретному приложению или экземпляру выбранного приложения. Например, вы предоставляете пользователю права администратора для вашего европейского экземпляра Box. Администратор видит только данные, относящиеся к экземпляру Box European, будь то файлы, действия, политики, поведение или оповещения:
|
| Администратор группы пользователей | Имеет полные или доступные только для чтения разрешения на все данные в Defender for Cloud Apps, которые относятся исключительно к определенным группам, назначенным им. Например, если вы назначаете разрешения администратора пользователя группе "Германия — все пользователи", администратор может просматривать и изменять сведения в Defender for Cloud Apps только для этой группы пользователей. Администратор группы пользователей имеет следующий доступ:
Примечания.
|
| Глобальный администратор Cloud Discovery | Имеет разрешение на просмотр и изменение всех параметров и данных обнаружения в облаке. Администратор глобального обнаружения имеет следующий доступ:
|
| Администратор отчета Cloud Discovery |
|
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Встроенные роли администратора Defender for Cloud Apps предоставляют только разрешения на доступ к Defender for Cloud Apps.
Переопределить права администратора
Чтобы переопределить разрешение администратора от Microsoft Entra ID или Microsoft 365, можно вручную добавить пользователя в Defender for Cloud Apps и назначить ему разрешения. Например, если вы хотите назначить Стефани, которая является читателем безопасности в Microsoft Entra ID иметь полный доступ в Defender for Cloud Apps, вы можете добавить ее вручную в Defender for Cloud Apps и назначить ей полный доступ, чтобы переопределить ее роль и разрешить ей необходимые разрешения в Defender for Cloud Apps. Нельзя переопределить Microsoft Entra роли, предоставляющие полный доступ (глобальный администратор, администратор безопасности и администратор Cloud App Security).
Добавление дополнительных администраторов
Вы можете добавить дополнительных администраторов в Defender for Cloud Apps, не добавляя пользователей в роли администраторов Microsoft Entra. Чтобы добавить дополнительных администраторов, выполните следующие действия.
Важно!
- Доступ к странице Управление доступом администратора доступен членам групп "Глобальные администраторы", "Администраторы безопасности", "Администраторы соответствия требованиям", "Администраторы данных соответствия", "Операторы безопасности", "Читатели безопасности" и "Глобальные читатели".
- Чтобы изменить страницу Управление доступом администратора и предоставить другим пользователям доступ к Defender for Cloud Apps, необходимо иметь по крайней мере роль администратора безопасности.
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
На портале Microsoft Defender в меню слева выберите Разрешения.
В разделе Облачные приложения выберите Роли.
Выберите +Добавить пользователя, чтобы добавить администраторов, которые должны иметь доступ к Defender for Cloud Apps. Укажите адрес электронной почты пользователя из организации.
Примечание.
Если вы хотите добавить внешних поставщиков управляемых служб безопасности (MSSP) в качестве администраторов для Defender for Cloud Apps, сначала пригласите их в качестве гостя в свою организацию.
Затем выберите раскрывающийся список, чтобы задать тип роли администратора. Если вы выберете администратор приложения/экземпляра, выберите приложение и экземпляр, для которых администратор получит разрешения.
Примечание.
Администраторы с ограниченным доступом, которые пытаются получить доступ к ограниченной странице или выполнить действие с ограниченным доступом, получают сообщение об ошибке о том, что у них нет разрешения на доступ к странице или выполнение действия.
Выберите Добавить администратора.
Приглашение внешних администраторов
Defender for Cloud Apps позволяет приглашать внешних администраторов (MSSP) в качестве администраторов службы Defender for Cloud Apps вашей организации (клиента MSSP). Чтобы добавить поставщиков MSSP, убедитесь, что Defender for Cloud Apps включен в арендаторе MSSP, а затем добавьте их как пользователей совместной работы Microsoft Entra B2B в портал Azure клиентов MSSP. После добавления MSSP можно настроить как администраторов и назначить им любую из ролей, доступных в Defender for Cloud Apps.
Добавление поставщиков MSSP в службу Defender for Cloud Apps клиента MSSP
- Добавьте MSSP как пользователей за пределами организации в каталог клиента MSSP, выполнив действия, описанные в разделе Добавление пользователей за пределами организации в каталог.
- Добавьте MSSP и назначьте роль администратора в Defender for Cloud Apps клиента MSSP, выполнив действия, описанные в разделе Добавление дополнительных администраторов. Укажите тот же внешний адрес электронной почты, который используется при добавлении гостей в каталог клиента MSSP.
Доступ MSSP к службе Defender for Cloud Apps клиента MSSP
По умолчанию управляемые поставщики служб безопасности (MSSPs) получают доступ к своему Defender for Cloud Apps клиенту по следующему URL-адресу: https://security.microsoft.com
Однако MSSP необходимо получать доступ к порталу Microsoft Defender клиента MSSP, используя URL-адрес, зависящий от арендатора, в следующем формате: https://security.microsoft.com/?tid=<tenant_id>.
Чтобы получить идентификатор клиента клиентского портала MSSP и получить доступ к URL-адресу для конкретного клиента, выполните следующую процедуру:
- Будучи MSSP, войдите в Microsoft Entra ID, используя свои учетные данные.
- Переключитесь на каталог тенанта клиента MSSP.
- Выберите Microsoft Entra ID>Свойства. Идентификатор клиента MSSP находится в поле Идентификатор клиента .
- Чтобы получить доступ к клиентскому порталу MSSP, замените значение
<tenant_id>в следующем URL-адресе:https://security.microsoft.com/?tid=<tenant_id>.
Аудит действий администратора
Defender for Cloud Apps позволяет экспортировать журнал действий администратора при входе и аудит представлений конкретного пользователя или оповещений, выполненных в рамках исследования.
Чтобы экспортировать журнал, выполните следующие действия.
На портале Microsoft Defender в меню слева выберите Разрешения.
В разделе Облачные приложения выберите Роли.
На странице Администратор ролей в правом верхнем углу выберите Экспорт действий администратора.
Укажите требуемый диапазон времени.
Выберите Экспорт.