مشاركة عبر


تكوين وصول المسؤول

يدعم Microsoft Defender for Cloud Apps التحكم في الوصول المستند إلى الدور. توفر هذه المقالة إرشادات لإعداد الوصول إلى Defender for Cloud Apps للمسؤولين. لمزيد من المعلومات حول تعيين أدوار المسؤول، راجع مقالات Microsoft Entra IDوMicrosoft 365.

أدوار Microsoft 365 Microsoft Entra مع إمكانية الوصول إلى Defender for Cloud Apps

ملاحظة

  • لا يتم سرد أدوار Microsoft 365 Microsoft Entra في صفحة Defender for Cloud Apps إدارة وصول المسؤول. لتعيين الأدوار في Microsoft 365 أو Microsoft Entra ID، انتقل إلى إعدادات RBAC ذات الصلة لتلك الخدمة.
  • يستخدم Defender for Cloud Apps Microsoft Entra ID لتحديد إعداد مهلة عدم النشاط على مستوى دليل المستخدم. إذا تم تكوين مستخدم في Microsoft Entra ID عدم تسجيل الخروج أبدا عند عدم تنشيطه، تطبيق نفس الإعداد في Defender for Cloud Apps أيضا.

بشكل افتراضي، يمكن لأدوار مسؤول Microsoft 365 و Microsoft Entra ID التالية الوصول إلى Defender for Cloud Apps:

اسم الدور الوصف
مسؤول مسؤول عمومي والأمان يتمتع المسؤولون الذين لديهم حق الوصول الكامل بأذونات كاملة في Defender for Cloud Apps. يمكنهم إضافة المسؤولين وإضافة النهج والإعدادات وتحميل السجلات وتنفيذ إجراءات الحوكمة والوصول إلى وكلاء SIEM وإدارتهم.
مسؤول أمان التطبيقات على السحابة يسمح بالوصول الكامل والأذونات في Defender for Cloud Apps. يمنح هذا الدور أذونات كاملة Defender for Cloud Apps، مثل دور مسؤول عمومي Microsoft Entra ID. ومع ذلك، يتم تحديد نطاق هذا الدور Defender for Cloud Apps ولن يمنح أذونات كاملة عبر منتجات أمان Microsoft الأخرى.
مسؤول التوافق لديه أذونات للقراءة فقط ويمكنه إدارة التنبيهات. لا يمكن الوصول إلى توصيات الأمان للأنظمة الأساسية السحابية. يمكن إنشاء نهج الملفات وتعديلها، والسماح بإجراءات إدارة الملفات، وعرض جميع التقارير المضمنة ضمن إدارة البيانات.
مسؤول بيانات التوافق لديه أذونات للقراءة فقط، ويمكنه إنشاء نهج الملفات وتعديلها، والسماح بإجراءات إدارة الملفات، وعرض جميع تقارير الاكتشاف. لا يمكن الوصول إلى توصيات الأمان للأنظمة الأساسية السحابية.
عامل تشغيل الأمان لديه أذونات للقراءة فقط ويمكنه إدارة التنبيهات. يتم تقييد هؤلاء المسؤولين من القيام بالإجراءات التالية:
  • إنشاء نهج أو تحرير النهج الموجودة وتغييرها
  • تنفيذ أي إجراءات حوكمة
  • تحميل سجلات الاكتشاف
  • حظر تطبيقات الجهات الخارجية أو الموافقة عليها
  • الوصول إلى صفحة إعدادات نطاق عناوين IP وعرضها
  • الوصول إلى أي صفحات إعدادات النظام وعرضها
  • الوصول إلى إعدادات الاكتشاف وعرضها
  • الوصول إلى صفحة موصلات التطبيقات وعرضها
  • الوصول إلى سجل الحوكمة وعرضه
  • الوصول إلى صفحة إدارة تقارير اللقطة وعرضها
قارئ الأمان لديه أذونات للقراءة فقط ويمكنه إنشاء رموز الوصول المميزة لواجهة برمجة التطبيقات. يتم تقييد هؤلاء المسؤولين من القيام بالإجراءات التالية:
    إنشاء نهج أو تحرير النهج الموجودة وتغييرها
  • تنفيذ أي إجراءات حوكمة
  • تحميل سجلات الاكتشاف
  • حظر تطبيقات الجهات الخارجية أو الموافقة عليها
  • الوصول إلى صفحة إعدادات نطاق عناوين IP وعرضها
  • الوصول إلى أي صفحات إعدادات النظام وعرضها
  • الوصول إلى إعدادات الاكتشاف وعرضها
  • الوصول إلى صفحة موصلات التطبيقات وعرضها
  • الوصول إلى سجل الحوكمة وعرضه
  • الوصول إلى صفحة إدارة تقارير اللقطة وعرضها
القارئ العمومي لديه حق الوصول الكامل للقراءة فقط إلى جميع جوانب Defender for Cloud Apps. لا يمكن تغيير أي إعدادات أو اتخاذ أي إجراءات.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

ملاحظة

يتم التحكم في ميزات إدارة التطبيقات من خلال الأدوار Microsoft Entra ID فقط. لمزيد من المعلومات، راجع أدوار إدارة التطبيقات.

الأدوار والأذونات

الأذونات مسؤول العمومية مسؤول الأمان مسؤول التوافق مسؤول بيانات التوافق عامل تشغيل الأمان قارئ الأمان القارئ العام مسؤول PBI مسؤول أمان التطبيقات على السحابة
قراءة التنبيهات
إدارة التنبيهات
قراءة تطبيقات OAuth
تنفيذ إجراءات تطبيق OAuth
الوصول إلى التطبيقات المكتشفة وكتالوج تطبيقات السحابة وبيانات اكتشاف السحابة الأخرى
تكوين موصلات واجهة برمجة التطبيقات
تنفيذ إجراءات اكتشاف السحابة
الوصول إلى بيانات الملفات ونهج الملفات
تنفيذ إجراءات الملف
سجل إدارة الوصول
تنفيذ إجراءات سجل الحوكمة
الوصول إلى سجل إدارة الاكتشاف المحدد النطاق
قراءة النهج
تنفيذ جميع إجراءات النهج
تنفيذ إجراءات نهج الملف
تنفيذ إجراءات نهج OAuth
عرض إدارة وصول المسؤول
إدارة المسؤولين وخصوصية النشاط

أدوار المسؤول المضمنة في Defender for Cloud Apps

يمكن تكوين أدوار المسؤول المحددة التالية في مدخل Microsoft Defender، في منطقة Permissions > Cloud Apps > Roles:

اسم الدور الوصف
المسؤول العام لديه حق وصول كامل مشابه لدور المسؤول العام Microsoft Entra ولكن فقط Defender for Cloud Apps.
مسؤول التوافق يمنح نفس الأذونات مثل دور مسؤول التوافق Microsoft Entra ولكن فقط Defender for Cloud Apps.
قارئ الأمان يمنح نفس الأذونات مثل دور قارئ أمان Microsoft Entra ولكن فقط Defender for Cloud Apps.
عامل تشغيل الأمان يمنح نفس الأذونات مثل دور عامل تشغيل أمان Microsoft Entra ولكن فقط Defender for Cloud Apps.
مسؤول التطبيق/المثيل لديه أذونات كاملة أو للقراءة فقط لجميع البيانات في Defender for Cloud Apps التي تتعامل حصريا مع التطبيق أو مثيل التطبيق المحدد.

على سبيل المثال، تمنح مسؤول المستخدم إذنا لمثيل Box European. لن يرى المسؤول سوى البيانات التي تتعلق بمثيل Box European، سواء كانت ملفات أو أنشطة أو نهج أو سلوكيات أو تنبيهات:
  • صفحة الأنشطة - الأنشطة المتعلقة بالتطبيق المحدد فقط
  • التنبيهات/السلوكيات - تتعلق فقط بالتطبيق المحدد. في بعض الحالات، بيانات التنبيه/السلوك المتعلقة بتطبيق آخر إذا كانت البيانات مرتبطة بالتطبيق المحدد. الرؤية لبيانات التنبيه المتعلقة بتطبيق آخر محدودة، ولا يوجد وصول للتنقل لأسفل لمزيد من التفاصيل
  • النهج - يمكن عرض جميع النهج وإذا تم تعيين أذونات كاملة يمكنها تحرير النهج التي تتعامل حصريا مع التطبيق/المثيل أو إنشائها فقط
  • صفحة الحسابات - حسابات التطبيق/المثيل المحدد فقط
  • أذونات التطبيق - أذونات التطبيق/المثيل المحدد فقط
  • صفحة الملفات - الملفات فقط من التطبيق/المثيل المحدد
  • التحكم في تطبيق الوصول المشروط - لا توجد أذونات
  • نشاط اكتشاف السحابة - لا توجد أذونات
  • ملحقات الأمان - أذونات الرمز المميز لواجهة برمجة التطبيقات فقط مع أذونات المستخدم
  • إجراءات الحوكمة - فقط للتطبيق/المثيل المحدد
  • توصيات الأمان للأنظمة الأساسية السحابية - لا توجد أذونات
  • نطاقات IP - لا توجد أذونات
مسؤول مجموعة المستخدمين لديه أذونات كاملة أو للقراءة فقط لجميع البيانات في Defender for Cloud Apps التي تتعامل حصريا مع المجموعات المحددة المعينة لها. على سبيل المثال، إذا قمت بتعيين أذونات مسؤول مستخدم للمجموعة "ألمانيا - جميع المستخدمين"، يمكن للمسؤول عرض المعلومات وتحريرها في Defender for Cloud Apps فقط لمجموعة المستخدمين هذه. يتمتع مسؤول مجموعة المستخدمين بالوصول التالي:

  • صفحة الأنشطة - الأنشطة المتعلقة بالمستخدمين في المجموعة فقط
  • التنبيهات - التنبيهات المتعلقة بالمستخدمين في المجموعة فقط. في بعض الحالات، يتم تنبيه البيانات المتعلقة بمستخدم آخر إذا كانت البيانات مرتبطة بالمستخدمين في المجموعة. الرؤية لتنبيه البيانات المتعلقة بمستخدمين آخرين محدودة، ولا يوجد وصول للتنقل لأسفل لمزيد من التفاصيل.
  • النهج - يمكن عرض جميع النهج وإذا تم تعيين أذونات كاملة يمكنها تحرير النهج التي تتعامل حصريا مع المستخدمين في المجموعة أو إنشائها فقط
  • صفحة الحسابات - حسابات المستخدمين المحددين فقط في المجموعة
  • أذونات التطبيق – لا توجد أذونات
  • صفحة الملفات – لا توجد أذونات
  • التحكم في تطبيق الوصول المشروط - لا توجد أذونات
  • نشاط اكتشاف السحابة - لا توجد أذونات
  • ملحقات الأمان - أذونات الرمز المميز لواجهة برمجة التطبيقات فقط مع المستخدمين في المجموعة
  • إجراءات الحوكمة - فقط للمستخدمين المحددين في المجموعة
  • توصيات الأمان للأنظمة الأساسية السحابية - لا توجد أذونات
  • نطاقات IP - لا توجد أذونات


ملاحظات:
  • لتعيين مجموعات لمسؤولي مجموعة المستخدمين، يجب عليك أولا استيراد مجموعات المستخدمين من التطبيقات المتصلة.
  • يمكنك فقط تعيين أذونات مسؤولي مجموعة المستخدمين لمجموعات Microsoft Entra المستوردة.
مسؤول عام في Cloud Discovery لديه إذن لعرض وتحرير جميع إعدادات وبيانات اكتشاف السحابة. يتمتع مسؤول Global Discovery بالوصول التالي:

  • الإعدادات: إعدادات النظام - عرض فقط؛ إعدادات اكتشاف السحابة - عرض الكل وتحريره (تعتمد أذونات الكشف عن الهوية على ما إذا كان مسموحا به أثناء تعيين الدور)
  • نشاط اكتشاف السحابة - الأذونات الكاملة
  • التنبيهات - عرض وإدارة التنبيهات المتعلقة بتقرير اكتشاف السحابة ذي الصلة فقط
  • النهج - يمكنه عرض جميع النهج ويمكنه تحرير نهج اكتشاف السحابة فقط أو إنشائها
  • صفحة الأنشطة - لا توجد أذونات
  • صفحة الحسابات - لا توجد أذونات
  • أذونات التطبيق – لا توجد أذونات
  • صفحة الملفات – لا توجد أذونات
  • التحكم في تطبيق الوصول المشروط - لا توجد أذونات
  • ملحقات الأمان - إنشاء رموز واجهة برمجة التطبيقات الخاصة بها وحذفها
  • إجراءات الحوكمة - الإجراءات ذات الصلة باكتشاف السحابة فقط
  • توصيات الأمان للأنظمة الأساسية السحابية - لا توجد أذونات
  • نطاقات IP - لا توجد أذونات
مسؤول تقرير Cloud Discovery
  • الإعدادات: إعدادات النظام - عرض فقط؛ إعدادات اكتشاف السحابة - عرض الكل (تعتمد أذونات الكشف عن هوية المستخدمين على ما إذا كان مسموحا به أثناء تعيين الدور)
  • نشاط اكتشاف السحابة - قراءة الأذونات فقط
  • التنبيهات - عرض التنبيهات المتعلقة بتقرير اكتشاف السحابة ذي الصلة فقط
  • النهج - يمكنه عرض جميع النهج ويمكنه إنشاء نهج اكتشاف السحابة فقط، دون إمكانية التحكم في التطبيق (وضع العلامات والجزاءات وغير المخولة)
  • صفحة الأنشطة - لا توجد أذونات
  • صفحة الحسابات - لا توجد أذونات
  • أذونات التطبيق – لا توجد أذونات
  • صفحة الملفات – لا توجد أذونات
  • التحكم في تطبيق الوصول المشروط - لا توجد أذونات
  • ملحقات الأمان - إنشاء رموز واجهة برمجة التطبيقات الخاصة بها وحذفها
  • إجراءات الحوكمة - عرض الإجراءات المتعلقة بتقرير اكتشاف السحابة ذي الصلة فقط
  • توصيات الأمان للأنظمة الأساسية السحابية - لا توجد أذونات
  • نطاقات IP - لا توجد أذونات

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

توفر أدوار المسؤول Defender for Cloud Apps المضمنة أذونات الوصول فقط Defender for Cloud Apps.

تجاوز أذونات المسؤول

إذا كنت تريد تجاوز إذن المسؤول من Microsoft Entra ID أو Microsoft 365، يمكنك القيام بذلك عن طريق إضافة المستخدم يدويا إلى Defender for Cloud Apps وتعيين أذونات المستخدم. على سبيل المثال، إذا كنت تريد تعيين ستيفاني، وهي قارئة أمان في Microsoft Entra ID للحصول على حق الوصول الكامل في Defender for Cloud Apps، يمكنك إضافتها يدويا إلى Defender for Cloud Apps وتعيين وصولها الكامل لتجاوز دورها والسماح لها بالأذونات اللازمة في Defender for Cloud Apps. لاحظ أنه لا يمكن تجاوز الأدوار Microsoft Entra التي تمنح الوصول الكامل (مسؤول عمومي ومسؤول الأمان ومسؤول أمان التطبيقات على السحابة).

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

إضافة مسؤولين إضافيين

يمكنك إضافة مسؤولين إضافيين إلى Defender for Cloud Apps دون إضافة مستخدمين إلى أدوار إدارية Microsoft Entra. لإضافة مسؤولين إضافيين، قم بتنفيذ الخطوات التالية:

هام

  • يتوفر الوصول إلى صفحة إدارة وصول المسؤول لأعضاء المسؤولين العموميين ومسؤولي الأمان ومسؤولي التوافق ومسؤولي بيانات التوافق ومشغلي الأمان وقارئي الأمان ومجموعات القراء العموميين.
  • لتحرير صفحة إدارة وصول المسؤول ومنح المستخدمين الآخرين حق الوصول إلى Defender for Cloud Apps، يجب أن يكون لديك دور مسؤول الأمان على الأقل.

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد ذلك في تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

  1. في Microsoft Defender Portal، في القائمة اليسرى، حدد Permissions.

  2. ضمن تطبيقات السحابة، اختر الأدوار.

    قائمة الأذونات.

  3. حدد +Add user لإضافة المسؤولين الذين يجب أن يكون لديهم حق الوصول إلى Defender for Cloud Apps. توفير عنوان بريد إلكتروني لمستخدم من داخل مؤسستك.

    ملاحظة

    إذا كنت تريد إضافة موفري خدمات الأمان المدارة الخارجيين (MSSPs) كمسؤولين Defender for Cloud Apps، فتأكد أولا من دعوتهم كضيف إلى مؤسستك.

    إضافة مسؤولين.

  4. بعد ذلك، حدد القائمة المنسدلة لتعيين نوع الدور الذي يمتلكه المسؤول. إذا حددت App/Instance admin، فحدد التطبيق والمثيل للمسؤول للحصول على أذونات له.

    ملاحظة

    سيتلقى أي مسؤول، يكون وصوله محدودا، يحاول الوصول إلى صفحة مقيدة أو تنفيذ إجراء مقيد خطأ بأنه ليس لديه إذن للوصول إلى الصفحة أو تنفيذ الإجراء.

  5. حدد إضافة مسؤول.

دعوة المسؤولين الخارجيين

Defender for Cloud Apps تمكنك من دعوة المسؤولين الخارجيين (MSSPs) كمسؤولين لخدمة Defender for Cloud Apps لمؤسستك (عميل MSSP). لإضافة MSSPs، تأكد من تمكين Defender for Cloud Apps على مستأجر MSSPs، ثم أضفها كمستخدمي تعاون B2B Microsoft Entra في مدخل Microsoft Azure لعملاء MSSPs. بمجرد إضافتها، يمكن تكوين MSSPs كمسؤولين وتعيين أي من الأدوار المتوفرة في Defender for Cloud Apps.

لإضافة MSSPs إلى خدمة Defender for Cloud Apps عميل MSSP

  1. أضف MSSPs كضيف في دليل عملاء MSSP باستخدام الخطوات ضمن إضافة مستخدمين ضيوف إلى الدليل.
  2. أضف MSSPs وقم بتعيين دور مسؤول في عميل MSSP Defender for Cloud Apps باستخدام الخطوات ضمن إضافة مسؤولين إضافيين. قم بتوفير نفس عنوان البريد الإلكتروني الخارجي المستخدم عند إضافتها كضيوف في دليل عملاء MSSP.

الوصول إلى MSSPs إلى خدمة Defender for Cloud Apps عميل MSSP

بشكل افتراضي، يصل MSSPs إلى مستأجر Defender for Cloud Apps الخاص بهم من خلال عنوان URL التالي: https://security.microsoft.com.

ومع ذلك، سيحتاج MSSPs إلى الوصول إلى مدخل عميل MSSP Microsoft Defender باستخدام عنوان URL خاص بالمستأجر بالتنسيق التالي: https://security.microsoft.com/?tid=<tenant_id>.

يمكن لمستخدمي MSSPs استخدام الخطوات التالية للحصول على معرف مستأجر مدخل عميل MSSP ثم استخدام المعرف للوصول إلى عنوان URL الخاص بالمستأجر:

  1. بصفتك MSSP، سجل الدخول إلى Microsoft Entra ID باستخدام بيانات الاعتماد الخاصة بك.

  2. قم بتبديل الدليل إلى مستأجر عميل MSSP.

  3. حدد Microsoft Entra ID>Properties. ستجد معرف مستأجر عميل MSSP في حقل معرف المستأجر .

  4. الوصول إلى مدخل عميل MSSP عن طريق استبدال customer_tenant_id القيمة في عنوان URL التالي: https://security.microsoft.com/?tid=<tenant_id>.

تدقيق نشاط مسؤول

يتيح لك Defender for Cloud Apps تصدير سجل لأنشطة تسجيل دخول المسؤول وتدقيق طرق عرض مستخدم أو تنبيهات معينة تم إجراؤها كجزء من التحقيق.

لتصدير سجل، قم بتنفيذ الخطوات التالية:

  1. في Microsoft Defender Portal، في القائمة اليسرى، حدد Permissions.

  2. ضمن تطبيقات السحابة، اختر الأدوار.

  3. في صفحة أدوار مسؤول، في الزاوية العلوية اليسرى، حدد تصدير أنشطة المسؤول.

  4. حدد النطاق الزمني المطلوب.

  5. حدد تصدير.

الخطوات التالية