Megosztás a következőn keresztül:

Rendszergazdai hozzáférés konfigurálása

  • Cikk

Microsoft Defender for Cloud Apps támogatja a szerepköralapú hozzáférés-vezérlést. Ez a cikk útmutatást nyújt a rendszergazdák Defender for Cloud Apps elérésének beállításához. A rendszergazdai szerepkörök hozzárendeléséről további információt a Microsoft Entra ID és a Microsoft 365 cikkeiben talál.

Microsoft 365 és Microsoft Entra szerepkörök Defender for Cloud Apps

Megjegyzés:

  • A Microsoft 365 és Microsoft Entra szerepkörök nem szerepelnek a Defender for Cloud Apps Rendszergazdai hozzáférés kezelése lapon. Ha szerepköröket szeretne hozzárendelni a Microsoft 365-ben vagy Microsoft Entra ID, nyissa meg a szolgáltatáshoz tartozó RBAC-beállításokat.
  • Defender for Cloud Apps Microsoft Entra ID használatával határozza meg a felhasználó címtárszintű tétlenségi időtúllépési beállítását. Ha egy felhasználó úgy van konfigurálva a Microsoft Entra ID, hogy inaktív állapotban soha ne jelentkezzen ki, ugyanez a beállítás érvényes lesz Defender for Cloud Apps is.

Alapértelmezés szerint a következő Microsoft 365 és Microsoft Entra ID rendszergazdai szerepkörök férnek hozzá a Defender for Cloud Apps:

Szerepkör neve Leírás
globális rendszergazda és biztonsági rendszergazda A Teljes hozzáféréssel rendelkező rendszergazdák teljes körű engedélyekkel rendelkeznek a Defender for Cloud Apps. Hozzáadhatnak rendszergazdákat, házirendeket és beállításokat adhatnak hozzá, naplókat tölthetnek fel, irányítási műveleteket hajthatnak végre, hozzáférhetnek és kezelhetik a SIEM-ügynököket.
Felhőappbiztonság rendszergazda Lehetővé teszi a teljes hozzáférést és engedélyeket a Defender for Cloud Apps. Ez a szerepkör teljes körű engedélyeket biztosít a Defender for Cloud Apps, például a Microsoft Entra ID globális rendszergazda szerepkörhöz. Ez a szerepkör azonban Defender for Cloud Apps hatókörrel rendelkezik, és nem ad teljes körű engedélyeket más Microsoft biztonsági termékekhez.
Megfelelőségi rendszergazda Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat. Nem lehet hozzáférni a felhőplatformokra vonatkozó biztonsági javaslatokhoz. Fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes beépített jelentést a adatkezelés alatt.
Megfelelőségi adatadminisztrátor Írásvédett engedélyekkel rendelkezik, fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes felderítési jelentést. Nem lehet hozzáférni a felhőplatformokra vonatkozó biztonsági javaslatokhoz.
Biztonsági operátor Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat. Ezek a rendszergazdák nem végezhetik el a következő műveleteket:
  • Szabályzatok létrehozása vagy meglévők szerkesztése és módosítása
  • Szabályozási műveletek végrehajtása
  • Felderítési naplók feltöltése
  • Harmadik féltől származó alkalmazások tiltása vagy jóváhagyása
  • Az IP-címtartomány beállításainak lapjának elérése és megtekintése
  • A rendszerbeállítások lapjainak elérése és megtekintése
  • A felderítési beállítások elérése és megtekintése
  • Az Alkalmazás-összekötők lap elérése és megtekintése
  • Az irányítási napló elérése és megtekintése
  • A Pillanatkép-jelentések kezelése lap elérése és megtekintése
Biztonsági olvasó Írásvédett engedélyekkel rendelkezik, és API-hozzáférési jogkivonatokat hozhat létre. Ezek a rendszergazdák nem végezhetik el a következő műveleteket:
    Szabályzatok létrehozása vagy meglévők szerkesztése és módosítása
  • Szabályozási műveletek végrehajtása
  • Felderítési naplók feltöltése
  • Harmadik féltől származó alkalmazások tiltása vagy jóváhagyása
  • Az IP-címtartomány beállításainak lapjának elérése és megtekintése
  • A rendszerbeállítások lapjainak elérése és megtekintése
  • A felderítési beállítások elérése és megtekintése
  • Az Alkalmazás-összekötők lap elérése és megtekintése
  • Az irányítási napló elérése és megtekintése
  • A Pillanatkép-jelentések kezelése lap elérése és megtekintése
Globális olvasó Teljes írásvédett hozzáféréssel rendelkezik a Defender for Cloud Apps minden aspektusához. A beállítások nem módosíthatók, és nem hajthatók végre műveletek.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Megjegyzés:

Az alkalmazásszabályozási funkciókat csak Microsoft Entra ID szerepkörök vezérlik. További információ: Alkalmazásirányítási szerepkörök.

Szerepkörök és engedélyek

Engedélyek Globális Rendszergazda Biztonsági Rendszergazda Megfelelőségi Rendszergazda Megfelelőségi adatok Rendszergazda Biztonsági operátor Biztonsági olvasó Globális olvasó PBI-Rendszergazda Felhőappbiztonság rendszergazda
Riasztások olvasása
Értesítések kezelése
OAuth-alkalmazások olvasása
OAuth-alkalmazásműveletek végrehajtása
Hozzáférés a felderített alkalmazásokhoz, a felhőalkalmazás-katalógushoz és más felhőfelderítési adatokhoz
API-összekötők konfigurálása
Felhőfelderítési műveletek végrehajtása
Fájlok adatainak és fájlszabályzataihoz való hozzáférés
Fájlműveletek végrehajtása
Hozzáférés az irányítási naplóhoz
Irányítási naplóműveletek végrehajtása
Hatókörön belüli felderítési irányítási napló elérése
Szabályzatok olvasása
Az összes szabályzatművelet végrehajtása
Fájlszabályzat-műveletek végrehajtása
OAuth-szabályzatműveletek végrehajtása
Rendszergazdai hozzáférés kezelése megtekintése
Rendszergazdák kezelése és a tevékenységek adatainak védelme

Beépített rendszergazdai szerepkörök a Defender for Cloud Apps

Az alábbi rendszergazdai szerepkörök konfigurálhatók a Microsoft Defender portál Engedélyek > Felhőalkalmazás-szerepkörök > területén:

Szerepkör neve Leírás
Globális rendszergazda Teljes hozzáféréssel rendelkezik, hasonló a Microsoft Entra globális rendszergazdai szerepkörhöz, de csak a Defender for Cloud Apps.
Megfelelőségi rendszergazda Ugyanazokat az engedélyeket adja meg, mint a Microsoft Entra megfelelőségi rendszergazdai szerepkör, de csak Defender for Cloud Apps.
Biztonsági olvasó Ugyanazokat az engedélyeket adja meg, mint a Microsoft Entra Biztonsági olvasó szerepkör, de csak Defender for Cloud Apps.
Biztonsági operátor Ugyanazokat az engedélyeket adja meg, mint a Microsoft Entra Security operátori szerepkör, de csak Defender for Cloud Apps.
Alkalmazás-/példányadminisztrátor Teljes vagy írásvédett engedélyekkel rendelkezik a Defender for Cloud Apps összes adatához, amely kizárólag a kiválasztott alkalmazás vagy alkalmazáspéldány használatával foglalkozik.

Például rendszergazdai engedélyt ad egy felhasználónak a Box European-példányhoz. A rendszergazda csak a Box European-példányhoz kapcsolódó adatokat látja, legyen szó fájlokról, tevékenységekről, szabályzatokról, viselkedésekről vagy riasztásokról:
  • Tevékenységek lap – Csak az adott alkalmazással kapcsolatos tevékenységek
  • Riasztások/viselkedések – Csak az adott alkalmazáshoz kapcsolódik. Bizonyos esetekben a riasztási/viselkedési adatok egy másik alkalmazáshoz kapcsolódnak, ha az adatok az adott alkalmazással vannak korrelálva. Egy másik alkalmazáshoz kapcsolódó riasztási adatok láthatósága korlátozott, és nincs hozzáférés a részletezéshez további részletekért
  • Szabályzatok – Megtekintheti az összes szabályzatot, és ha a hozzárendelt teljes engedélyek csak az alkalmazással/példánysal kizárólagosan foglalkozó szabályzatokat szerkeszthetik vagy hozhatnak létre
  • Fiókok lap – Csak az adott alkalmazáshoz/példányhoz tartozó fiókok
  • Alkalmazásengedélyek – Csak az adott alkalmazáshoz/példányhoz tartozó engedélyek
  • Fájlok lap – Csak az adott alkalmazásból/példányból származó fájlok
  • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
  • Felhőfelderítési tevékenység – Nincs engedély
  • Biztonsági bővítmények – Csak felhasználói engedélyekkel rendelkező API-jogkivonat engedélyei
  • Irányítási műveletek – Csak az adott alkalmazáshoz/példányhoz
  • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
  • IP-tartományok – Nincs engedély
Felhasználói csoport rendszergazdája Teljes vagy írásvédett engedélyekkel rendelkezik a Defender for Cloud Apps összes olyan adatához, amely kizárólag a hozzájuk rendelt csoportokkal foglalkozik. Ha például felhasználói rendszergazdai engedélyeket rendel a "Németország – minden felhasználó" csoporthoz, a rendszergazda csak az adott felhasználói csoport adatait tekintheti meg és szerkesztheti Defender for Cloud Apps. A felhasználói csoport rendszergazdája a következő hozzáféréssel rendelkezik:

  • Tevékenységek lap – Csak a csoport felhasználóival kapcsolatos tevékenységek
  • Riasztások – Csak a csoport felhasználóira vonatkozó riasztások. Bizonyos esetekben a riasztási adatok egy másik felhasználóhoz kapcsolódnak, ha az adatok korrelálnak a csoport felhasználóival. A más felhasználókhoz kapcsolódó riasztási adatok láthatósága korlátozott, és nincs hozzáférés a részletezéshez további részletekért.
  • Szabályzatok – Megtekintheti az összes szabályzatot, és ha a hozzárendelt teljes engedélyek csak a csoport felhasználóival foglalkozó szabályzatokat szerkeszthetik vagy hozhatnak létre
  • Fiókok lap – Csak a csoport adott felhasználóinak fiókjai
  • Alkalmazásengedélyek – Nincs engedély
  • Fájlok lap – Nincs engedély
  • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
  • Felhőfelderítési tevékenység – Nincs engedély
  • Biztonsági bővítmények – Csak API-jogkivonat engedélyei a csoport felhasználóival
  • Cégirányítási műveletek – Csak a csoport adott felhasználói számára
  • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
  • IP-tartományok – Nincs engedély


Megjegyzések:
  • Ha csoportokat szeretne hozzárendelni a felhasználói csoport rendszergazdáihoz, először importálnia kell a felhasználói csoportokat a csatlakoztatott alkalmazásokból.
  • Az importált Microsoft Entra csoportokhoz csak felhasználóicsoport-rendszergazdákhoz rendelhet engedélyeket.
A Cloud Discovery globális rendszergazdája Engedéllyel rendelkezik az összes felhőfelderítési beállítás és adat megtekintéséhez és szerkesztéséhez. A globális felderítési rendszergazda a következő hozzáféréssel rendelkezik:

  • Beállítások: Rendszerbeállítások – Csak megtekintés; Cloud Discovery-beállítások – Az összes megtekintése és szerkesztése (az anonimizálási engedélyek attól függenek, hogy engedélyezve volt-e a szerepkör-hozzárendelés során)
  • Felhőfelderítési tevékenység – teljes engedélyek
  • Riasztások – csak a vonatkozó felhőfelderítési jelentéshez kapcsolódó riasztások megtekintése és kezelése
  • Szabályzatok – Megtekintheti az összes szabályzatot, és csak a felhőfelderítési szabályzatokat szerkesztheti vagy hozhatja létre
  • Tevékenységek lap – Nincs engedély
  • Fiókok lap – Nincs engedély
  • Alkalmazásengedélyek – Nincs engedély
  • Fájlok lap – Nincs engedély
  • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
  • Biztonsági bővítmények – Saját API-jogkivonatok létrehozása és törlése
  • Irányítási műveletek – Csak a Cloud Discoveryvel kapcsolatos műveletek
  • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
  • IP-tartományok – Nincs engedély
Cloud Discovery-jelentés rendszergazdája
  • Beállítások: Rendszerbeállítások – Csak megtekintés; Felhőfelderítési beállítások – Az összes megtekintése (az anonimizálási engedélyek attól függenek, hogy engedélyezve volt-e a szerepkör-hozzárendelés során)
  • Felhőfelderítési tevékenység – csak olvasási engedélyek
  • Riasztások – csak a megfelelő felhőfelderítési jelentéshez kapcsolódó riasztások megtekintése
  • Szabályzatok – Megtekintheti az összes szabályzatot, és csak felhőfelderítési szabályzatokat hozhat létre az alkalmazás szabályozásának lehetősége nélkül (címkézés, jóváhagyás és nem engedélyezett)
  • Tevékenységek lap – Nincs engedély
  • Fiókok lap – Nincs engedély
  • Alkalmazásengedélyek – Nincs engedély
  • Fájlok lap – Nincs engedély
  • Feltételes hozzáférésű alkalmazásvezérlés – Nincs engedély
  • Biztonsági bővítmények – Saját API-jogkivonatok létrehozása és törlése
  • Cégirányítási műveletek – csak a vonatkozó felhőfelderítési jelentéshez kapcsolódó műveletek megtekintése
  • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
  • IP-tartományok – Nincs engedély

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

A beépített Defender for Cloud Apps rendszergazdai szerepkörök csak Defender for Cloud Apps biztosítanak hozzáférési engedélyeket.

Rendszergazdai engedélyek felülbírálása

Ha felül szeretné bírálni egy rendszergazda engedélyét a Microsoft Entra ID vagy a Microsoft 365-től, ezt úgy teheti meg, hogy manuálisan hozzáadja a felhasználót a Defender for Cloud Apps és hozzárendeli a felhasználói engedélyeket. Ha például szeretné hozzárendelni Stephanie-t, aki biztonsági olvasó Microsoft Entra ID teljes hozzáféréssel rendelkezik Defender for Cloud Apps, manuálisan hozzáadhatja Defender for Cloud Apps, és teljes hozzáféréssel felülbírálhatja a szerepkörét, és engedélyezheti neki a szükséges engedélyeket a következőben: Defender for Cloud Apps. Vegye figyelembe, hogy nem lehet felülbírálni Microsoft Entra teljes hozzáférést biztosító szerepköröket (globális rendszergazda, biztonsági rendszergazda és Felhőappbiztonság rendszergazda).

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

További rendszergazdák hozzáadása

További rendszergazdákat is hozzáadhat a Defender for Cloud Apps anélkül, hogy felhasználókat ad hozzá Microsoft Entra rendszergazdai szerepkörökhöz. További rendszergazdák hozzáadásához hajtsa végre a következő lépéseket:

Fontos

  • A Rendszergazdai hozzáférés kezelése laphoz a globális rendszergazdák, a biztonsági rendszergazdák, a megfelelőségi rendszergazdák, a megfelelőségi adatrendszergazdák, a biztonsági operátorok, a biztonsági olvasók és a globális olvasók csoport tagjai férhetnek hozzá.
  • A Rendszergazdai hozzáférés kezelése lap szerkesztéséhez és a Defender for Cloud Apps hozzáférésének biztosításához legalább biztonsági rendszergazdai szerepkörrel kell rendelkeznie.

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

  1. A Microsoft Defender Portal bal oldali menüjében válassza az Engedélyek lehetőséget.

  2. A Cloud Apps (Felhőalkalmazások) területen válassza a Roles (Szerepkörök) lehetőséget.

    Engedélyek menü.

  3. Válassza a +Felhasználó hozzáadása lehetőséget azoknak a rendszergazdáknak a hozzáadásához, akiknek hozzáféréssel kell rendelkezniük a Defender for Cloud Apps. Adja meg egy felhasználó e-mail-címét a szervezeten belülről.

    Megjegyzés:

    Ha külső felügyelt biztonsági szolgáltatókat (MSSP-ket) szeretne hozzáadni a Defender for Cloud Apps rendszergazdájaként, először hívja meg őket vendégként a szervezetbe.

    rendszergazdák hozzáadása.

  4. Ezután válassza a legördülő menüt, és adja meg, hogy milyen szerepkörrel rendelkezik a rendszergazda. Ha az Alkalmazás-/példányadminisztrátor lehetőséget választja, válassza ki azt az alkalmazást és példányt, amely számára a rendszergazda rendelkezik engedélyekkel.

    Megjegyzés:

    Minden olyan rendszergazda, akinek a hozzáférése korlátozott, és megpróbál hozzáférni egy korlátozott laphoz vagy korlátozott műveletet hajt végre, hibaüzenetet kap, hogy nincs engedélye a lap elérésére vagy a művelet végrehajtására.

  5. Válassza a Rendszergazda hozzáadása lehetőséget.

Külső rendszergazdák meghívása

Defender for Cloud Apps lehetővé teszi külső rendszergazdák (MSSP-k) meghívását a szervezet (MSSP-ügyfél) Defender for Cloud Apps szolgáltatás rendszergazdájaként. MSSP-k hozzáadásához győződjön meg arról, hogy Defender for Cloud Apps engedélyezve van az MSSP-bérlőn, majd adja hozzá őket Microsoft Entra B2B-együttműködés felhasználóiként az MSSP-ügyfelek Azure Portal. A hozzáadást követően az MSSP-k konfigurálhatók rendszergazdákként, és hozzárendelhetők a Defender for Cloud Apps elérhető szerepkörök bármelyikéhez.

MSSP-k hozzáadása az MSSP-ügyfél Defender for Cloud Apps szolgáltatáshoz

  1. Adja hozzá az MSSP-ket vendégként az MSSP-ügyfél címtárában a Vendégfelhasználók hozzáadása a címtárhoz szakaszban leírt lépésekkel.
  2. Adja hozzá az MSSP-ket, és rendeljen hozzá egy rendszergazdai szerepkört az MSSP-ügyfél Defender for Cloud Apps a További rendszergazdák hozzáadása szakaszban leírt lépésekkel. Adja meg ugyanazt a külső e-mail-címet, amelyet az MSSP ügyfélkönyvtárában vendégként való hozzáadáskor használ.

MSSP-k elérése az MSSP-ügyfél Defender for Cloud Apps szolgáltatáshoz

Alapértelmezés szerint az MSSP-k a következő URL-címen férnek hozzá Defender for Cloud Apps bérlőjükhöz: https://security.microsoft.com.

Az MSSP-knek azonban a következő formátumban kell hozzáférnie az MSSP-ügyfél Microsoft Defender Portalhoz egy bérlőspecifikus URL-cím használatával: https://security.microsoft.com/?tid=<tenant_id>.

Az MSSP-k az alábbi lépésekkel szerezhetik be az MSSP ügyfélportál bérlőazonosítóját, majd az azonosítóval érhetik el a bérlőspecifikus URL-címet:

  1. MSSP-ként jelentkezzen be a Microsoft Entra ID a hitelesítő adataival.

  2. Váltson címtárra az MSSP-ügyfél bérlőjére.

  3. Válassza a Microsoft Entra ID>Tulajdonságok lehetőséget. Az MSSP-ügyfél bérlőazonosítóját a Bérlőazonosító mezőben találja.

  4. Nyissa meg az MSSP ügyfélportált a customer_tenant_id következő URL-cím értékének lecserélésével: https://security.microsoft.com/?tid=<tenant_id>.

Rendszergazda tevékenységek naplózása

Defender for Cloud Apps lehetővé teszi, hogy exportálja a rendszergazdai bejelentkezési tevékenységek naplóját, valamint egy adott felhasználó vagy riasztás vizsgálat részeként végrehajtott nézeteinek naplózását.

Napló exportálásához hajtsa végre a következő lépéseket:

  1. A Microsoft Defender Portal bal oldali menüjében válassza az Engedélyek lehetőséget.

  2. A Cloud Apps (Felhőalkalmazások) területen válassza a Roles (Szerepkörök) lehetőséget.

  3. A Rendszergazda szerepkörök lap jobb felső sarkában válassza a Rendszergazdai tevékenységek exportálása lehetőséget.

  4. Adja meg a szükséges időtartományt.

  5. Válassza az Exportálás lehetőséget.

Következő lépések

Felhőfelderítés beállítása