Administratorzugriff verwaltenManage admin access

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security unterstützt die rollenbasierte Zugriffssteuerung.Microsoft Cloud App Security supports role-based access control. Dieser Artikel enthält Informationen zum Festlegen des Zugriffs auf das Cloud App Security-Portal für Ihre Administratoren.This article provides instructions for setting access to the Cloud App Security portal for your admins. Weitere Informationen zum Zuweisen von Administrator Rollen finden Sie in den Artikeln zu Azure Active Directory und Office 365.For more information about assigning administrator roles, see the articles for Azure Active Directory and Office 365.

Office 365- und Azure AD-Rollen mit Zugriff auf Cloud App SecurityOffice 365 and Azure AD roles with access to Cloud App Security

Hinweis

Die Rollen Office 365 und Azure AD sind auf der Seite Cloud App Security Administrator Zugriff verwalten nicht aufgeführt.Office 365 and Azure AD roles aren't listed in the Cloud App Security Manage admin access page. Um Rollen in Office 365 oder Azure Active Directory zuzuweisen, navigieren Sie zu den relevanten RBAC-Einstellungen für diesen Dienst.To assign roles in Office 365 or Azure Active Directory, go to the relevant RBAC settings for that service.

Die folgenden Administrator Rollen von Office 365 und Azure Active Directory (Azure AD) haben standardmäßig Zugriff auf Cloud App Security:By default, the following Office 365 and Azure Active Directory (Azure AD) admin roles have access to Cloud App Security:

  • Globale Administratoren und Sicherheits Administratoren: Administratoren mit Vollzugriff verfügen in Cloud App Security über vollständige Berechtigungen.Global administrator and Security administrator: Administrators with Full access have full permissions in Cloud App Security. Administratoren können Administratoren hinzufügen, Richtlinien und Einstellungen hinzufügen, Protokolle hochladen und governanceaktionen ausführen, auf Siem-Agents zugreifen und diese verwalten.They can add admins, add policies and settings, upload logs and perform governance actions, access and manage SIEM agents.

  • Complianceadministrator: verfügt über schreibgeschützte Berechtigungen und kann Warnungen verwalten.Compliance administrator: Has read-only permissions and can manage alerts. Der Zugriff auf Sicherheitsempfehlungen für cloudplattformen ist nicht möglich.Cannot access Security recommendations for cloud platforms. Sie können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und unter Datenverwaltung alle integrierten Berichte anzeigen.Can create and modify file policies, allow file governance actions, and view all the built-in reports under Data Management.

  • Kompatibilitäts Daten Administrator: verfügt über schreibgeschützte Berechtigungen, kann Datei Richtlinien erstellen und ändern, dateigovernanceaktionen zulassen und alle Ermittlungsberichte anzeigen.Compliance data administrator: Has read-only permissions, can create and modify file policies, allow file governance actions, and view all discovery reports. Der Zugriff auf Sicherheitsempfehlungen für cloudplattformen ist nicht möglich.Cannot access Security recommendations for cloud platforms.

  • Sicherheits Operator und Sicherheits Leser: verfügen über schreibgeschützte Berechtigungen und können Warnungen verwalten.Security operator and Security reader: Have read-only permissions and can manage alerts. Diese Administratoren sind auf die folgenden Aktionen beschränkt:These admins are restricted from doing the following actions:

    • Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener RichtlinienCreate policies or edit and change existing ones
    • Ausführen von GovernanceaktionenPerforming any governance actions
    • Hochladen von ErmittlungsprotokollenUploading discovery logs
    • Sperren oder Genehmigen von Apps von DrittanbieternBanning or approving third-party apps
    • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-AdressbereichAccessing and viewing the IP address range settings page
    • Zugreifen auf und Anzeigen von System EinstellungsseitenAccessing and viewing any system settings pages
    • Zugreifen auf und Anzeigen von ErmittlungseinstellungenAccessing and viewing the Discovery settings
    • Zugreifen auf die und Anzeigen der Seite „App-Connectors“Accessing and viewing the App connectors page
    • Zugreifen auf das und Anzeigen des GovernanceprotokollsAccessing and viewing the Governance log
    • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“Accessing and viewing the Manage snapshot reports page
    • Zugreifen auf und Anzeigen von Siem-AgentsAccessing and viewing SIEM agents
  • Globaler Reader: verfügt über vollständigen schreibgeschützten Zugriff auf alle Aspekte von Cloud App Security.Global reader: Has full read-only access to all aspects of Cloud App Security. Einstellungen können nicht geändert werden, oder es können keine Aktionen ausgeführt werden.Cannot change any settings or take any actions.

Integrierte Cloud App Security Administrator RollenBuilt-in Cloud App Security admin roles

Die folgenden Cloud App Security spezifischen Administrator Rollen können im Cloud App Security Portal konfiguriert werden:The following Cloud App Security specific admin roles can be configured in the Cloud App Security portal:

  • App-/instanzadministrator: verfügt über vollständige oder schreibgeschützte Berechtigungen für alle Daten in Cloud App Security, die ausschließlich mit der spezifischen app oder Instanz einer ausgewählten App behandelt werden.App/instance admin: Has full or read-only permissions to all of the data in Cloud App Security that deals exclusively with the specific app or instance of an app selected. Angenommen, Sie vergeben eine Administratorberechtigung für Ihre Box European-Instanz an einen Benutzer.For example, you give a user admin permission to your Box European instance. Dem Administrator werden nur Daten angezeigt, die mit der Box European-Instanz in Verbindung stehen, also z.B. Dateien, Aktivitäten, Richtlinien oder Warnungen:The admin will see only data that relates to the Box European instance, whether it's files, activities, policies, or alerts:

    • Seite „Aktivitäten“: nur Aktivitäten bezüglich der jeweiligen AppActivities page - Only activities about the specific app
    • Warnungen: nur Warnungen im Zusammenhang mit der jeweiligen AppAlerts - Only alerts relating to the specific app
    • Richtlinien: können alle Richtlinien anzeigen, und wenn zugewiesene vollständige Berechtigungen nur Richtlinien bearbeiten oder erstellen können, die ausschließlich mit der app/Instanz zu tun habenPolicies - Can view all policies and if assigned full permissions can edit or create only policies that deal exclusively with the app/instance
    • Seite „Konten“: nur Konten für die jeweilige App/InstanzAccounts page - Only accounts for the specific app/instance
    • App-Berechtigungen: nur Berechtigungen für die jeweilige App/InstanzApp permissions - Only permissions for the specific app/instance
    • Seite „Dateien“: nur Dateien aus der jeweiligen App/InstanzFiles page - Only files from the specific app/instance
    • Conditional Access App Control – keine BerechtigungenConditional Access App Control - No permissions
    • Cloud Discovery-Aktivität – keine BerechtigungenCloud Discovery activity - No permissions
    • Sicherheitserweiterungen: nur Berechtigungen für API-Token mit BenutzerberechtigungenSecurity extensions - Only permissions for API token with user permissions
    • Governanceaktionen: nur für die jeweilige App/InstanzGovernance actions - Only for the specific app/instance
    • Sicherheitsempfehlungen für cloudplattformen: keine BerechtigungenSecurity recommendations for cloud platforms - No permissions
  • Benutzergruppen Administrator: verfügt über vollständige oder schreibgeschützte Berechtigungen für alle Daten in Cloud App Security, die ausschließlich mit den Ihnen zugewiesenen Gruppen zu tun haben.User group admin: Has full or read-only permissions to all of the data in Cloud App Security that deals exclusively with the specific groups assigned to them. Wenn Sie z. b. der Gruppe "Deutschland-alle Benutzer" Benutzer Administrator Berechtigungen zuweisen, kann der Administrator Informationen in Cloud App Security nur für diese Benutzergruppe anzeigen und bearbeiten.For example, if you assign a user admin permissions to the group "Germany - all users", the admin can view and edit information in Cloud App Security only for that user group. Der Benutzergruppen Administrator verfügt über die folgenden Zugriffsrechte:The User group admin has the following access:

    • Seite „Aktivitäten“: nur Aktivitäten bezüglich der Benutzer in der GruppeActivities page - Only activities about the users in the group

    • Warnungen: nur Warnungen im Zusammenhang mit den Benutzern in der GruppeAlerts - Only alerts relating to the users in the group

    • Richtlinien: können alle Richtlinien anzeigen, und wenn zugewiesene vollständige Berechtigungen nur Richtlinien bearbeiten oder erstellen können, die ausschließlich mit Benutzern in der Gruppe arbeitenPolicies - Can view all policies and if assigned full permissions can edit or create only policies that deal exclusively with users in the group

    • Seite „Konten“: nur Konten für die jeweiligen Benutzer in der GruppeAccounts page - Only accounts for the specific users in the group

    • App-Berechtigungen – keine BerechtigungenApp permissions – No permissions

    • Seite „Dateien“ – keine BerechtigungenFiles page – No permissions

    • Conditional Access App Control – keine BerechtigungenConditional Access App Control - No permissions

    • Cloud Discovery-Aktivität – keine BerechtigungenCloud Discovery activity - No permissions

    • Sicherheitserweiterungen: nur Berechtigungen für das API-Token für Benutzer in der GruppeSecurity extensions - Only permissions for API token with users in the group

    • Governanceaktionen: nur für die jeweiligen Benutzer in der GruppeGovernance actions - Only for the specific users in the group

    • Sicherheitsempfehlungen für cloudplattformen: keine BerechtigungenSecurity recommendations for cloud platforms - No permissions

      Hinweis

      • Zum Zuweisen von Gruppen zu Benutzergruppen Administratoren müssen Sie zuerst Benutzergruppen aus verbundenen apps importieren.To assign groups to user group admins, you must first import user groups from connected apps.
      • Sie können den importierten Azure Ad Gruppen nur Berechtigungen für Benutzergruppen-Administratoren zuweisen.You can only assign user group admins permissions to imported Azure AD groups.
  • Cloud Discovery globaler Administrator: verfügt über die Berechtigung zum Anzeigen und Bearbeiten aller Cloud Discovery Einstellungen und Daten.Cloud Discovery global admin: Has permission to view and edit all Cloud Discovery settings and data. Der globale Ermittlungs Administrator hat den folgenden Zugriff:The Global Discovery admin has the following access:

    • EinstellungenSettings
      • Systemeinstellungen: nur anzeigenSystem settings - View only
      • Cloud Discovery-Einstellungen: alle anzeigen und bearbeiten (Anonymisierungsberechtigungen hängen davon ab, ob diese während der Rollenzuweisung erteilt wurden)Cloud Discovery settings - View and edit all (anonymization permissions depend on whether it was allowed during role assignment)
    • Cloud Discovery-Aktivität: vollständige BerechtigungenCloud Discovery activity - full permissions
    • Warnungen: nur Warnungen im Zusammenhang mit Cloud Discovery-DatenAlerts - only alerts related to Cloud Discovery data
    • Richtlinien: kann alle Richtlinien anzeigen und kann nur Cloud Discovery-Richtlinien bearbeiten oder erstellenPolicies - Can view all policies and can edit or create only Cloud Discovery policies
    • Seite „Aktivitäten“: keine BerechtigungenActivities page - No permissions
    • Seite „Konten“: keine BerechtigungenAccounts page - No permissions
    • App-Berechtigungen – keine BerechtigungenApp permissions – No permissions
    • Seite „Dateien“ – keine BerechtigungenFiles page – No permissions
    • Conditional Access App Control – keine BerechtigungenConditional Access App Control - No permissions
    • Sicherheitserweiterungen: Erstellen und Löschen Ihrer eigenen API-TokenSecurity extensions - Creating and deleting their own API tokens
    • Governanceaktionen: nur Aktionen im Zusammenhang mit Cloud DiscoveryGovernance actions - Only Cloud Discovery related actions
    • Sicherheitsempfehlungen für cloudplattformen: keine BerechtigungenSecurity recommendations for cloud platforms - No permissions
  • Cloud Discovery Berichts Administrator: verfügt über Berechtigungen zum Anzeigen aller Daten in Cloud App Security, die ausschließlich mit den spezifischen Cloud Discovery ausgewählten Berichten zu tun haben.Cloud Discovery report admin: Has permissions to view all the data in Cloud App Security that deals exclusively with the specific Cloud Discovery reports selected. Beispielsweise können Sie eine Administrator Berechtigung für den kontinuierlichen Bericht von Microsoft Defender for Endpoint erteilen.For example, you can give someone admin permission to the continuous report from Microsoft Defender for Endpoint. Dem Ermittlungs Administrator werden nur die Cloud Discovery Daten angezeigt, die sich auf diese Datenquelle und den App-Katalog beziehen.The Discovery admin will see only the Cloud Discovery data that relates to that data source and to the app catalog. Dieser Administrator hat keinen Zugriff auf die Seiten für Aktivitäten, Dateien oder Sicherheitsempfehlungen sowie den eingeschränkten Zugriff auf Richtlinien.This admin will not have access to the Activities, Files, or Security recommendations pages and limited access to policies.

Hinweis

Die integrierten Cloud App Security Administrator Rollen bieten nur Zugriffsberechtigungen für Cloud App Security.The built-in Cloud App Security admin roles only provide access permissions to Cloud App Security.

Außerkraftsetzung von AdministratorberechtigungenOverride admin permissions

Wenn Sie Berechtigungen eines Administrators in Azure Active Directory oder Office 365 außer Kraft setzen möchten, fügen Sie den Benutzer Cloud App Security manuell hinzu, und weisen Sie ihm Berechtigungen zu.If you want to override an administrator's permission from Azure Active Directory or Office 365, you can do so by manually adding the user to Cloud App Security and assigning the user permissions. Beispiel: Sie möchten Stephanie, eine Sicherheitsleseberechtigte in Azure Active Directory, in Cloud App Security Vollzugriff gewähren. Dazu können Sie sie Cloud App Security manuell hinzufügen und ihr die Berechtigung Vollzugriff zuweisen, um ihre Rolle außer Kraft zu setzen und ihr die benötigten Berechtigungen in Cloud App Security zu erteilen.For example, if you want to assign Stephanie, who is a Security reader in Azure Active Directory to have Full access in Cloud App Security, you can add her manually to Cloud App Security and assign her Full access to override her role and allow her the necessary permissions in Cloud App Security.

Hinzufügen zusätzlicher AdministratorenAdd additional admins

Sie können auch zusätzliche Administratoren zu Cloud App Security hinzufügen, ohne Benutzer zu Azure Active Directory-Administratorrollen hinzuzufügen.You can add additional admins to Cloud App Security without adding users to Azure Active Directory administrative roles. Führen Sie die folgenden Schritte aus, um zusätzliche Administratoren hinzuzufügen:To add additional admins, perform the following steps:

Wichtig

Nur globale Administratoren oder Sicherheitsadministratoren können Zugriff für andere Benutzer auf Cloud App Security gewähren.Only Global administrators or Security administrators can grant access to other users to Cloud App Security.

  1. Klicken Sie auf das Zahnrad Einstellungs Symbol Einstellungen und dann auf Administrator Zugriff verwalten.Click the settings cog settings icon and then Manage admin access.

  2. Klicken Sie auf das Pluszeichen, um die Administratoren hinzuzufügen, die Zugriff auf Cloud App Security haben sollten.Click the plus to add the admins who should have access to Cloud App Security. Sie können eine interne oder externe E-Mail-Adresse eingeben, damit ein Administrator von innerhalb Ihrer Organisation oder von externen Dienstanbietern für die verwaltete Sicherheit (Managed Security Service Providers, MSSPs) Ihre Sicherheitswarnungen verwalten können.You can type an internal or external email address to enable administrators from inside your organization or external Managed Security Service Providers (MSSPs) to administer your security alerts.

    Administratoren hinzufügen

  3. Klicken Sie anschließend auf die Dropdown-Dropdown-Datei, um den Typ der Rolle des Administrators festzulegen: globaler Administrator, Sicherheits Leser, complianceadmin, App-/instanzadministrator, Benutzergruppen Administrator, Cloud Discovery globaler Administrator oder Cloud Discovery Berichts Administrator. Wenn Sie App-/instanzadministrator auswählen, wählen Sie die APP und die Instanz aus, für die der Administrator über Berechtigungen verfügen soll.Next, click the drop-down to set what type of role the admin has, Global admin, Security reader, Compliance admin, App/Instance admin, User group admin, Cloud Discovery global admin, or Cloud Discovery report admin. If you select App/Instance admin, select the app and instance for the admin to have permissions for.

    Hinweis

    Administratoren mit beschränktem Zugriff, die versuchen, auf eine Seite mit Zugriffseinschränkung zuzugreifen oder eine Aktion mit Zugriffseinschränkung auszuführen, erhalten eine entsprechende Fehlermeldung.Any admin, whose access is limited, that attempts to access a restricted page or perform a restricted action will receive an error that they don't have permission to access the page or perform the action.

  4. Klicken Sie auf Administrator hinzufügen.Click Add admin.

Überwachung von Administrator AktivitätenAdmin activity auditing

Mit Cloud App Security können Sie ein Protokoll von Administrator Anmelde Aktivitäten und eine Überwachung der Ansichten eines bestimmten Benutzers oder von Warnungen exportieren, die im Rahmen einer Untersuchung ausgeführt werden.Cloud App Security lets you export a log of admin sign-in activities and an audit of views of a specific user or alerts carried out as part of an investigation.

Führen Sie die folgenden Schritte aus, um ein Protokoll zu exportieren:To export a log, perform the following steps:

  1. Wählen Sie auf der Seite Administratoren Zugriff verwalten die Option Administrator Aktivitäten exportieren aus.In the Manage admins access page, select Export admin activities.

  2. Geben Sie den erforderlichen Zeitraum an.Specify the required time range.

  3. Klicken Sie auf Exportieren.Click Export.

Einladen externer AdministratorenInvite external admins

Cloud App Security ermöglicht es Ihnen, externe verwaltete Sicherheits Dienstanbieter (MSSPs) als Administratoren Ihres Cloud App Security Portals einzuladen.Cloud App Security enables you to invite external Managed Security Service Providers (MSSPs) as administrators of your Cloud App Security portal. Externe Benutzer können jetzt als Administratoren konfiguriert und einer der in Cloud App Security verfügbaren Rollen zugewiesen werden.External users can now be configured as administrators and assigned any of the roles available in Cloud App Security. Stellen Sie zum Hinzufügen externer Benutzer sicher, dass Cloud App Security für den Quell Mandanten aktiviert ist, und geben Sie dann in den Schritten unter Hinzufügen zusätzlicher Administratoreneine externe e-Mail-Adresse ein.To add external users, make sure Cloud App Security is enabled on the source tenant, and then provide an external email address in the steps under Add additional admins.

Außerdem können Administratoren für die Aktivierung von MSSPs zur Bereitstellung von Diensten für mehrere Kundenmandanten, die über Zugriffsrechte für mindestens einen Mandanten verfügen, nun zusätzlich zwischen Mandanten innerhalb des Portals wechseln.Additionally, to enable MSSPs to provide services across multiple customer tenants, Administrators who have access rights to more than one tenant can now easily switch tenants within the portal. Nachdem Sie Berechtigungen zur Vervielfältigung von Mandanten erhalten haben, können Sie zwischen einzelnen Mandanten wechseln. Klicken Sie dazu auf das Benutzersymbol.To switch between tenants, after you have permissions to multiple tenants, click the user icon. Dann sollte eine Liste der Mandanten angezeigt werden, für die Sie über Berechtigungen verfügen.You will see a list of the tenants for which you have permissions. Wählen Sie den Mandanten aus, den Sie verwalten möchten.Select the tenant you want to manage.

Mandanten auswählenchoose tenant

Nächste SchritteNext steps