تكوين وصول المسؤول
يدعم Microsoft Defender for Cloud Apps التحكم في الوصول المستند إلى الدور. توفر هذه المقالة إرشادات لإعداد الوصول إلى Defender for Cloud Apps للمسؤولين. لمزيد من المعلومات حول تعيين أدوار المسؤول، راجع مقالات Microsoft Entra IDوMicrosoft 365.
أدوار Microsoft 365 Microsoft Entra مع إمكانية الوصول إلى Defender for Cloud Apps
ملاحظة
- لا يتم سرد أدوار Microsoft 365 Microsoft Entra في صفحة Defender for Cloud Apps إدارة وصول المسؤول. لتعيين الأدوار في Microsoft 365 أو Microsoft Entra ID، انتقل إلى إعدادات RBAC ذات الصلة لتلك الخدمة.
- يستخدم Defender for Cloud Apps Microsoft Entra ID لتحديد إعداد مهلة عدم النشاط على مستوى دليل المستخدم. إذا تم تكوين مستخدم في Microsoft Entra ID عدم تسجيل الخروج أبدا عند عدم تنشيطه، تطبيق نفس الإعداد في Defender for Cloud Apps أيضا.
بشكل افتراضي، يمكن لأدوار مسؤول Microsoft 365 و Microsoft Entra ID التالية الوصول إلى Defender for Cloud Apps:
| اسم الدور | الوصف |
|---|---|
| مسؤول مسؤول عمومي والأمان | يتمتع المسؤولون الذين لديهم حق الوصول الكامل بأذونات كاملة في Defender for Cloud Apps. يمكنهم إضافة المسؤولين وإضافة النهج والإعدادات وتحميل السجلات وتنفيذ إجراءات الحوكمة والوصول إلى وكلاء SIEM وإدارتهم. |
| مسؤول أمان التطبيقات على السحابة | يسمح بالوصول الكامل والأذونات في Defender for Cloud Apps. يمنح هذا الدور أذونات كاملة Defender for Cloud Apps، مثل دور مسؤول عمومي Microsoft Entra ID. ومع ذلك، يتم تحديد نطاق هذا الدور Defender for Cloud Apps ولن يمنح أذونات كاملة عبر منتجات أمان Microsoft الأخرى. |
| مسؤول التوافق | لديه أذونات للقراءة فقط ويمكنه إدارة التنبيهات. لا يمكن الوصول إلى توصيات الأمان للأنظمة الأساسية السحابية. يمكن إنشاء نهج الملفات وتعديلها، والسماح بإجراءات إدارة الملفات، وعرض جميع التقارير المضمنة ضمن إدارة البيانات. |
| مسؤول بيانات التوافق | لديه أذونات للقراءة فقط، ويمكنه إنشاء نهج الملفات وتعديلها، والسماح بإجراءات إدارة الملفات، وعرض جميع تقارير الاكتشاف. لا يمكن الوصول إلى توصيات الأمان للأنظمة الأساسية السحابية. |
| عامل تشغيل الأمان | لديه أذونات للقراءة فقط ويمكنه إدارة التنبيهات. يتم تقييد هؤلاء المسؤولين من القيام بالإجراءات التالية:
|
| قارئ الأمان | لديه أذونات للقراءة فقط ويمكنه إنشاء رموز الوصول المميزة لواجهة برمجة التطبيقات. يتم تقييد هؤلاء المسؤولين من القيام بالإجراءات التالية:
|
| القارئ العمومي | لديه حق الوصول الكامل للقراءة فقط إلى جميع جوانب Defender for Cloud Apps. لا يمكن تغيير أي إعدادات أو اتخاذ أي إجراءات. |
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
ملاحظة
يتم التحكم في ميزات إدارة التطبيقات من خلال الأدوار Microsoft Entra ID فقط. لمزيد من المعلومات، راجع أدوار إدارة التطبيقات.
الأدوار والأذونات
| الأذونات | مسؤول العمومية | مسؤول الأمان | مسؤول التوافق | مسؤول بيانات التوافق | عامل تشغيل الأمان | قارئ الأمان | القارئ العام | مسؤول PBI | مسؤول أمان التطبيقات على السحابة |
|---|---|---|---|---|---|---|---|---|---|
| قراءة التنبيهات | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| إدارة التنبيهات | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| قراءة تطبيقات OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| تنفيذ إجراءات تطبيق OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| الوصول إلى التطبيقات المكتشفة وكتالوج تطبيقات السحابة وبيانات اكتشاف السحابة الأخرى | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| تكوين موصلات واجهة برمجة التطبيقات | ✔ | ✔ | ✔ | ✔ | |||||
| تنفيذ إجراءات اكتشاف السحابة | ✔ | ✔ | ✔ | ||||||
| الوصول إلى بيانات الملفات ونهج الملفات | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| تنفيذ إجراءات الملف | ✔ | ✔ | ✔ | ✔ | |||||
| سجل إدارة الوصول | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| تنفيذ إجراءات سجل الحوكمة | ✔ | ✔ | ✔ | ✔ | |||||
| الوصول إلى سجل إدارة الاكتشاف المحدد النطاق | ✔ | ✔ | ✔ | ||||||
| قراءة النهج | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| تنفيذ جميع إجراءات النهج | ✔ | ✔ | ✔ | ✔ | |||||
| تنفيذ إجراءات نهج الملف | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| تنفيذ إجراءات نهج OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| عرض إدارة وصول المسؤول | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| إدارة المسؤولين وخصوصية النشاط | ✔ | ✔ | ✔ |
أدوار المسؤول المضمنة في Defender for Cloud Apps
يمكن تكوين أدوار المسؤول المحددة التالية في مدخل Microsoft Defender، في منطقة Permissions > Cloud Apps > Roles:
| اسم الدور | الوصف |
|---|---|
| المسؤول العام | لديه حق وصول كامل مشابه لدور المسؤول العام Microsoft Entra ولكن فقط Defender for Cloud Apps. |
| مسؤول التوافق | يمنح نفس الأذونات مثل دور مسؤول التوافق Microsoft Entra ولكن فقط Defender for Cloud Apps. |
| قارئ الأمان | يمنح نفس الأذونات مثل دور قارئ أمان Microsoft Entra ولكن فقط Defender for Cloud Apps. |
| عامل تشغيل الأمان | يمنح نفس الأذونات مثل دور عامل تشغيل أمان Microsoft Entra ولكن فقط Defender for Cloud Apps. |
| مسؤول التطبيق/المثيل | لديه أذونات كاملة أو للقراءة فقط لجميع البيانات في Defender for Cloud Apps التي تتعامل حصريا مع التطبيق أو مثيل التطبيق المحدد. على سبيل المثال، تمنح مسؤول المستخدم إذنا لمثيل Box European. لن يرى المسؤول سوى البيانات التي تتعلق بمثيل Box European، سواء كانت ملفات أو أنشطة أو نهج أو سلوكيات أو تنبيهات:
|
| مسؤول مجموعة المستخدمين | لديه أذونات كاملة أو للقراءة فقط لجميع البيانات في Defender for Cloud Apps التي تتعامل حصريا مع المجموعات المحددة المعينة لها. على سبيل المثال، إذا قمت بتعيين أذونات مسؤول مستخدم للمجموعة "ألمانيا - جميع المستخدمين"، يمكن للمسؤول عرض المعلومات وتحريرها في Defender for Cloud Apps فقط لمجموعة المستخدمين هذه. يتمتع مسؤول مجموعة المستخدمين بالوصول التالي:
ملاحظات:
|
| مسؤول عام في Cloud Discovery | لديه إذن لعرض وتحرير جميع إعدادات وبيانات اكتشاف السحابة. يتمتع مسؤول Global Discovery بالوصول التالي:
|
| مسؤول تقرير Cloud Discovery |
|
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
توفر أدوار المسؤول Defender for Cloud Apps المضمنة أذونات الوصول فقط Defender for Cloud Apps.
تجاوز أذونات المسؤول
إذا كنت تريد تجاوز إذن المسؤول من Microsoft Entra ID أو Microsoft 365، يمكنك القيام بذلك عن طريق إضافة المستخدم يدويا إلى Defender for Cloud Apps وتعيين أذونات المستخدم. على سبيل المثال، إذا كنت تريد تعيين ستيفاني، وهي قارئة أمان في Microsoft Entra ID للحصول على حق الوصول الكامل في Defender for Cloud Apps، يمكنك إضافتها يدويا إلى Defender for Cloud Apps وتعيين وصولها الكامل لتجاوز دورها والسماح لها بالأذونات اللازمة في Defender for Cloud Apps. لاحظ أنه لا يمكن تجاوز الأدوار Microsoft Entra التي تمنح الوصول الكامل (مسؤول عمومي ومسؤول الأمان ومسؤول أمان التطبيقات على السحابة).
هام
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
إضافة مسؤولين إضافيين
يمكنك إضافة مسؤولين إضافيين إلى Defender for Cloud Apps دون إضافة مستخدمين إلى أدوار إدارية Microsoft Entra. لإضافة مسؤولين إضافيين، قم بتنفيذ الخطوات التالية:
هام
- يتوفر الوصول إلى صفحة إدارة وصول المسؤول لأعضاء المسؤولين العموميين ومسؤولي الأمان ومسؤولي التوافق ومسؤولي بيانات التوافق ومشغلي الأمان وقارئي الأمان ومجموعات القراء العموميين.
- لتحرير صفحة إدارة وصول المسؤول ومنح المستخدمين الآخرين حق الوصول إلى Defender for Cloud Apps، يجب أن يكون لديك دور مسؤول الأمان على الأقل.
توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.
في Microsoft Defender Portal، في القائمة اليسرى، حدد Permissions.
ضمن تطبيقات السحابة، اختر الأدوار.
حدد +Add user لإضافة المسؤولين الذين يجب أن يكون لديهم حق الوصول إلى Defender for Cloud Apps. توفير عنوان بريد إلكتروني لمستخدم من داخل مؤسستك.
ملاحظة
إذا كنت تريد إضافة موفري خدمات الأمان المدارة الخارجيين (MSSPs) كمسؤولين Defender for Cloud Apps، فتأكد أولا من دعوتهم كضيف إلى مؤسستك.
بعد ذلك، حدد القائمة المنسدلة لتعيين نوع الدور الذي يمتلكه المسؤول. إذا حددت App/Instance admin، فحدد التطبيق والمثيل للمسؤول للحصول على أذونات له.
ملاحظة
سيتلقى أي مسؤول، يكون وصوله محدودا، يحاول الوصول إلى صفحة مقيدة أو تنفيذ إجراء مقيد خطأ بأنه ليس لديه إذن للوصول إلى الصفحة أو تنفيذ الإجراء.
حدد إضافة مسؤول.
دعوة المسؤولين الخارجيين
Defender for Cloud Apps تمكنك من دعوة المسؤولين الخارجيين (MSSPs) كمسؤولين لخدمة Defender for Cloud Apps لمؤسستك (عميل MSSP). لإضافة MSSPs، تأكد من تمكين Defender for Cloud Apps على مستأجر MSSPs، ثم أضفها كمستخدمي تعاون B2B Microsoft Entra في مدخل Microsoft Azure لعملاء MSSPs. بمجرد إضافتها، يمكن تكوين MSSPs كمسؤولين وتعيين أي من الأدوار المتوفرة في Defender for Cloud Apps.
لإضافة MSSPs إلى خدمة Defender for Cloud Apps عميل MSSP
- أضف MSSPs كضيف في دليل عملاء MSSP باستخدام الخطوات ضمن إضافة مستخدمين ضيوف إلى الدليل.
- أضف MSSPs وقم بتعيين دور مسؤول في عميل MSSP Defender for Cloud Apps باستخدام الخطوات ضمن إضافة مسؤولين إضافيين. قم بتوفير نفس عنوان البريد الإلكتروني الخارجي المستخدم عند إضافتها كضيوف في دليل عملاء MSSP.
الوصول إلى MSSPs إلى خدمة Defender for Cloud Apps عميل MSSP
بشكل افتراضي، يصل MSSPs إلى مستأجر Defender for Cloud Apps الخاص بهم من خلال عنوان URL التالي: https://security.microsoft.com.
ومع ذلك، سيحتاج MSSPs إلى الوصول إلى مدخل عميل MSSP Microsoft Defender باستخدام عنوان URL خاص بالمستأجر بالتنسيق التالي: https://security.microsoft.com/?tid=<tenant_id>.
يمكن لمستخدمي MSSPs استخدام الخطوات التالية للحصول على معرف مستأجر مدخل عميل MSSP ثم استخدام المعرف للوصول إلى عنوان URL الخاص بالمستأجر:
بصفتك MSSP، سجل الدخول إلى Microsoft Entra ID باستخدام بيانات الاعتماد الخاصة بك.
قم بتبديل الدليل إلى مستأجر عميل MSSP.
حدد Microsoft Entra ID>Properties. ستجد معرف مستأجر عميل MSSP في حقل معرف المستأجر .
الوصول إلى مدخل عميل MSSP عن طريق استبدال
customer_tenant_idالقيمة في عنوان URL التالي:https://security.microsoft.com/?tid=<tenant_id>.
تدقيق نشاط مسؤول
يتيح لك Defender for Cloud Apps تصدير سجل لأنشطة تسجيل دخول المسؤول وتدقيق طرق عرض مستخدم أو تنبيهات معينة تم إجراؤها كجزء من التحقيق.
لتصدير سجل، قم بتنفيذ الخطوات التالية:
في Microsoft Defender Portal، في القائمة اليسرى، حدد Permissions.
ضمن تطبيقات السحابة، اختر الأدوار.
في صفحة أدوار مسؤول، في الزاوية العلوية اليسرى، حدد تصدير أنشطة المسؤول.
حدد النطاق الزمني المطلوب.
حدد تصدير.