Administratorzugriff verwalten

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Microsoft Defender for Cloud Apps unterstützt rollenbasierte Zugriffssteuerung. Dieser Artikel enthält Anweisungen zum Festlegen des Zugriffs auf das Defender für Cloud Apps-Portal für Ihre Administratoren. Weitere Informationen zum Zuweisen von Administratorrollen finden Sie in den Artikeln zu Azure Active Directory (Azure AD) und Office 365.

Office 365- und Azure AD Rollen mit Zugriff auf Defender für Cloud Apps

Hinweis

  • Office 365 und Azure AD Rollen werden nicht auf der Defender für Cloud Seite "Administratorzugriff verwalten" aufgeführt. Um Rollen in Office 365 oder Azure Active Directory zuzuweisen, wechseln Sie zu den relevanten RBAC-Einstellungen für diesen Dienst.
  • Defender für Cloud Apps verwendet Azure Active Directory, um die Inaktivitätstimeouteinstellung des Benutzers auf Verzeichnisebene zu bestimmen. Wenn ein Benutzer in AAD so konfiguriert ist, dass er sich nie bei inaktiv abmeldet, gilt die gleiche Einstellung auch in Defender für Cloud Apps.

Standardmäßig haben die folgenden Office 365 und Azure AD Administratorrollen Zugriff auf Defender für Cloud Apps:

  • globaler Administrator und Sicherheitsadministrator: Administratoren mit vollzugriff verfügen über vollständige Berechtigungen in Defender für Cloud Apps. Sie können Administratoren hinzufügen, Richtlinien und Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen, auf SIEM-Agents zugreifen und verwalten.

  • Cloud App Security Administrator: Ermöglicht vollzugriff und Berechtigungen in Defender für Cloud Apps. Diese Rolle gewährt vollständige Berechtigungen für Defender für Cloud Apps, z. B. die Azure AD globaler Administrator Rolle. Diese Rolle ist jedoch auf Defender für Cloud Apps festgelegt und gewährt keine vollständigen Berechtigungen für andere Microsoft-Sicherheitsprodukte.

  • Complianceadministrator: Verfügt über schreibgeschützte Berechtigungen und kann Warnungen verwalten. Auf Sicherheitsempfehlungen für Cloudplattformen kann nicht zugegriffen werden. Sie können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und unter Datenverwaltung alle integrierten Berichte anzeigen.

  • Compliancedatenadministrator: Verfügt über schreibgeschützte Berechtigungen, kann Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und alle Ermittlungsberichte anzeigen. Auf Sicherheitsempfehlungen für Cloudplattformen kann nicht zugegriffen werden.

  • Sicherheitsoperator und Sicherheitsleser: Verfügen Sie über schreibgeschützte Berechtigungen und können Warnungen verwalten. Diese Administratoren sind auf die folgenden Aktionen beschränkt:

    • Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener Richtlinien
    • Ausführen von Governanceaktionen
    • Hochladen von Ermittlungsprotokollen
    • Sperren oder Genehmigen von Apps von Drittanbietern
    • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-Adressbereich
    • Zugreifen auf und Anzeigen von Systemeinstellungsseiten
    • Zugreifen auf und Anzeigen von Ermittlungseinstellungen
    • Zugreifen auf die und Anzeigen der Seite „App-Connectors“
    • Zugreifen auf das und Anzeigen des Governanceprotokolls
    • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“
    • Zugreifen auf und Anzeigen von SIEM-Agents
  • Globaler Leser: Hat vollständigen schreibgeschützten Zugriff auf alle Aspekte von Defender für Cloud Apps. Kann keine Einstellungen ändern oder Aktionen ausführen.

Rollen und Berechtigungen

Berechtigungen Globaler Administrator Sicherheitsadministrator Complianceadministrator Compliancedatenadministrator Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser PBI-Administrator Cloud App Security Administrator
Lesen von Warnungen
Verwalten von Warnungen
OAuth-Anwendungen lesen
Ausführen von OAuth-Anwendungsaktionen
Zugriff auf ermittelte Apps, den Cloud-App-Katalog und andere Cloud Discovery-Daten
Ausführen von Cloudermittlungsaktionen
Zugreifen auf Dateiendaten und Dateirichtlinien
Ausführen von Dateiaktionen
Zugriffsgovernanceprotokoll
Ausführen von Governanceprotokollaktionen
Zugriffsbereichs-Governanceprotokoll
Lesen von Richtlinien
Ausführen aller Richtlinienaktionen
Ausführen von Dateirichtlinienaktionen
Ausführen von OAuth-Richtlinienaktionen
Verwalten des Administratorzugriffs anzeigen
Verwalten von Administratoren und Aktivitätsdaten

Integrierte Administratorrollen in Defender für Cloud Apps

Die folgenden spezifischen Administratorrollen können im Defender für Cloud Apps-Portal konfiguriert werden:

  • App/Instanzadministrator: Verfügt über vollständige oder schreibgeschützte Berechtigungen für alle Daten in Defender für Cloud Apps, die ausschließlich mit der spezifischen App oder Instanz einer ausgewählten App behandelt werden. Angenommen, Sie vergeben eine Administratorberechtigung für Ihre Box European-Instanz an einen Benutzer. Dem Administrator werden nur Daten angezeigt, die mit der Box European-Instanz in Verbindung stehen, also z.B. Dateien, Aktivitäten, Richtlinien oder Warnungen:

    • Seite „Aktivitäten“: nur Aktivitäten bezüglich der jeweiligen App
    • Warnungen: nur Warnungen im Zusammenhang mit der jeweiligen App
    • Richtlinien – Kann alle Richtlinien anzeigen und wenn die voll zugewiesenen Berechtigungen nur Richtlinien bearbeiten oder erstellen können, die ausschließlich mit der App/Instanz umgehen
    • Seite „Konten“: nur Konten für die jeweilige App/Instanz
    • App-Berechtigungen: nur Berechtigungen für die jeweilige App/Instanz
    • Seite „Dateien“: nur Dateien aus der jeweiligen App/Instanz
    • Conditional Access App Control – keine Berechtigungen
    • Cloud Discovery-Aktivität – keine Berechtigungen
    • Sicherheitserweiterungen – Nur Berechtigungen für API-Token mit Benutzerberechtigungen
    • Governanceaktionen: nur für die jeweilige App/Instanz
    • Sicherheitsempfehlungen für Cloudplattformen – Keine Berechtigungen
  • Benutzergruppenadministrator: Verfügt über vollständige oder schreibgeschützte Berechtigungen für alle Daten in Defender für Cloud Apps, die ausschließlich mit den bestimmten Gruppen behandelt werden, die ihnen zugewiesen sind. Wenn Sie beispielsweise einer Benutzeradministratorberechtigung für die Gruppe "Deutschland - alle Benutzer" zuweisen, kann der Administrator Nur für diese Benutzergruppe Informationen in Defender für Cloud Apps anzeigen und bearbeiten. Der Benutzergruppenadministrator hat den folgenden Zugriff:

    • Seite „Aktivitäten“: nur Aktivitäten bezüglich der Benutzer in der Gruppe

    • Warnungen: nur Warnungen im Zusammenhang mit den Benutzern in der Gruppe

    • Richtlinien – Kann alle Richtlinien anzeigen und wenn voll zugewiesene Berechtigungen nur Richtlinien bearbeiten oder erstellen können, die ausschließlich mit Benutzern in der Gruppe umgehen

    • Seite „Konten“: nur Konten für die jeweiligen Benutzer in der Gruppe

    • App-Berechtigungen – keine Berechtigungen

    • Seite „Dateien“ – keine Berechtigungen

    • Conditional Access App Control – keine Berechtigungen

    • Cloud Discovery-Aktivität – keine Berechtigungen

    • Sicherheitserweiterungen – Nur Berechtigungen für API-Token mit Benutzern in der Gruppe

    • Governanceaktionen: nur für die jeweiligen Benutzer in der Gruppe

    • Sicherheitsempfehlungen für Cloudplattformen – Keine Berechtigungen

      Hinweis

      • Um Gruppenadministratoren Gruppen zuzuweisen, müssen Sie zuerst Benutzergruppen aus verbundenen Apps importieren.
      • Sie können nur Benutzergruppenadministratoren Berechtigungen für importierte Azure AD Gruppen zuweisen.
  • Globaler Cloud Discovery-Administrator: Hat die Berechtigung, alle Cloud Discovery-Einstellungen und -Daten anzuzeigen und zu bearbeiten. Der Globale Discovery-Administrator hat den folgenden Zugriff:

    • Einstellungen
      • Systemeinstellungen: nur anzeigen
      • Cloud Discovery-Einstellungen: alle anzeigen und bearbeiten (Anonymisierungsberechtigungen hängen davon ab, ob diese während der Rollenzuweisung erteilt wurden)
    • Cloud Discovery-Aktivität: vollständige Berechtigungen
    • Warnungen: nur Warnungen im Zusammenhang mit Cloud Discovery-Daten
    • Richtlinien: kann alle Richtlinien anzeigen und kann nur Cloud Discovery-Richtlinien bearbeiten oder erstellen
    • Seite „Aktivitäten“: keine Berechtigungen
    • Seite „Konten“: keine Berechtigungen
    • App-Berechtigungen – keine Berechtigungen
    • Seite „Dateien“ – keine Berechtigungen
    • Conditional Access App Control – keine Berechtigungen
    • Sicherheitserweiterungen – Erstellen und Löschen ihrer eigenen API-Token
    • Governanceaktionen: nur Aktionen im Zusammenhang mit Cloud Discovery
    • Sicherheitsempfehlungen für Cloudplattformen – Keine Berechtigungen
  • Cloud Discovery-Berichtadministrator: Verfügt über Berechtigungen zum Anzeigen aller Daten in Defender für Cloud Apps, die ausschließlich mit den ausgewählten Cloud Discovery-Berichten behandelt werden. Sie können beispielsweise einem Administrator die Berechtigung für den fortlaufenden Bericht von Microsoft Defender für Endpunkt erteilen. Der Discovery-Administrator sieht nur die Cloud Discovery-Daten, die sich auf diese Datenquelle und auf den App-Katalog beziehen. Dieser Administrator hat keinen Zugriff auf die Seiten "Aktivitäten", "Dateien" oder " Sicherheitsempfehlungen " und eingeschränkten Zugriff auf Richtlinien.

Hinweis

Die integrierten Defender für Cloud Apps-Administratorrollen bieten nur Zugriffsberechtigungen für Defender für Cloud Apps.

Außerkraftsetzung von Administratorberechtigungen

Wenn Sie die Berechtigung eines Administrators von Azure AD oder Office 365 außer Kraft setzen möchten, können Sie dies tun, indem Sie den Benutzer manuell zu Defender für Cloud Apps hinzufügen und die Benutzerberechtigungen zuweisen. Wenn Sie z. B. Stephanie zuweisen möchten, der ein Sicherheitsleser in Azure AD ist, um Vollzugriff in Defender für Cloud Apps zu haben, können Sie sie manuell zu Defender für Cloud Apps hinzufügen und ihrer Rolle den vollständigen Zugriff zuweisen, um ihre Rolle außer Kraft zu setzen und ihr die erforderlichen Berechtigungen zu ermöglichen. Defender für Cloud Apps.

Hinzufügen zusätzlicher Administratoren

Sie können zusätzliche Administratoren zu Defender für Cloud Apps hinzufügen, ohne Benutzer zu Azure AD administrativen Rollen hinzuzufügen. Führen Sie die folgenden Schritte aus, um zusätzliche Administratoren hinzuzufügen:

Wichtig

  • Zugriff auf die Seite "Administratorzugriff verwalten " ist für Mitglieder der Gruppen "Globaler Administrator", "Sicherheitsadministratoren", "Compliance-Administratoren", "Compliancedatenadministratoren", "Sicherheitsadministratoren", "Sicherheitsleser" und "Globale Leser" verfügbar.
  • Nur Azure AD globale Administratoren oder Sicherheitsadministratoren können die Seite "Administratorzugriff verwalten" bearbeiten und anderen Benutzern Zugriff auf Defender für Cloud Apps gewähren.
  1. Wählen Sie die Einstellungen aus settings icon. , und verwalten Sie dann den Administratorzugriff.

  2. Wählen Sie das Plussymbol aus, um die Administratoren hinzuzufügen, die Zugriff auf Defender für Cloud Apps haben sollten. Geben Sie eine E-Mail-Adresse eines Benutzers innerhalb Ihrer Organisation an.

    Hinweis

    Wenn Sie externe verwaltete Sicherheitsdienstanbieter (MSSPs) als Administratoren Ihres Defender für Cloud Apps-Portals hinzufügen möchten, stellen Sie sicher, dass Sie sie zuerst als Gast zu Ihrer Organisation einladen.

    add admins.

  3. Wählen Sie als Nächstes die Dropdownliste aus, um festzulegen, welche Art von Rolle der Administrator hat, globaler Administrator, Sicherheitsleser, Complianceadministrator, App/Instance-Administrator, Benutzergruppenadministrator, Cloud Discovery globaler Administrator oder Cloud Discovery-Berichtadministrator. Wenn Sie App/Instanzadministrator auswählen, wählen Sie die App und instanz für den Administrator aus, um Berechtigungen zu haben.

    Hinweis

    Administratoren mit beschränktem Zugriff, die versuchen, auf eine Seite mit Zugriffseinschränkung zuzugreifen oder eine Aktion mit Zugriffseinschränkung auszuführen, erhalten eine entsprechende Fehlermeldung.

  4. Wählen Sie "Administrator hinzufügen" aus.

Einladen externer Administratoren

Defender für Cloud Apps ermöglicht es Ihnen, externe Administratoren (MSSPs) als Administratoren des MSSP-Kunden (MSSP-Kunden) Defender für Cloud Apps-Portal einzuladen. Um MSSPs hinzuzufügen, stellen Sie sicher, dass Defender für Cloud Apps im MSSPs-Mandanten aktiviert sind und sie dann als Azure AD B2B-Zusammenarbeitsbenutzer in den MSSPs-Kunden Azure-Portal hinzufügen. Nach dem Hinzufügen können MSSPs als Administratoren konfiguriert und einer der in Defender für Cloud Apps verfügbaren Rollen zugewiesen werden.

So fügen Sie MSSPs dem MSSP-Kundenportal Defender für Cloud Apps hinzu

  1. Fügen Sie MSSPs als Gast im MSSP-Kundenverzeichnis mithilfe der Schritte unter Hinzufügen von Gastbenutzern zum Verzeichnis hinzu.
  2. Fügen Sie MSSPs hinzu und weisen Sie dem MSSP-Kundenportal eine Administratorrolle Defender für Cloud Apps-Portal zu, indem Sie die Schritte unter "Zusätzliche Administratoren hinzufügen" verwenden. Geben Sie die gleiche externe E-Mail-Adresse an, die beim Hinzufügen von Gästen im MSSP-Kundenverzeichnis verwendet wird.

Zugriff auf MSSPs für den MSSP-Kunden Defender für Cloud Apps-Portal

Standardmäßig greifen MSSPs über die folgende URL auf ihren Defender für Cloud Apps-Mandanten zu: https://portal.cloudappsecurity.com

MSSPs müssen jedoch mithilfe einer mandantenspezifischen URL im folgenden Format auf das MSSP-Kundenportal Defender für Cloud Apps zugreifen: https://portal.cloudappsecurity.com?tid=customer_tenant_id

MSSPs können die folgenden Schritte verwenden, um die MSSP-Kundenportalmandanten-ID abzurufen und dann die ID zum Zugriff auf die mandantenspezifische URL zu verwenden:

  1. Melden Sie sich als MSSP bei Azure AD mit Ihren Anmeldeinformationen an.

  2. Wechseln Sie zum Mandanten des MSSP-Kunden.

  3. Klicken Sie auf Azure Active Directory>Eigenschaften. Sie finden die MSSP-Kundenmandanten-ID im Feld "Mandanten-ID ".

  4. Greifen Sie auf das MSSP-Kundenportal zu, indem Sie den customer_tenant_id Wert in der folgenden URL ersetzen: https://portal.cloudappsecurity.com?tid=customer_tenant_id

Überwachung von Administratoraktivitäten

Defender für Cloud Apps können Sie ein Protokoll von Administratoranmeldungsaktivitäten und eine Überwachung von Ansichten eines bestimmten Benutzers oder Benachrichtigungen exportieren, die im Rahmen einer Untersuchung durchgeführt werden.

Führen Sie die folgenden Schritte aus, um ein Protokoll zu exportieren:

  1. Wählen Sie auf der Seite "Administratorzugriff verwalten " die Option "Administratoraktivitäten exportieren" aus.

  2. Geben Sie den erforderlichen Zeitbereich an.

  3. Wähle Exportieren aus.

Nächste Schritte