Administratorzugriff verwalten

Hinweis

  • Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

  • Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung der Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Microsoft Defender for Cloud Apps unterstützt rollenbasierte Zugriffssteuerung. Dieser Artikel enthält Anweisungen zum Festlegen des Zugriffs auf das Defender für Cloud Apps-Portal für Ihre Administratoren. Weitere Informationen zum Zuweisen von Administratorrollen finden Sie in den Artikeln für Azure Active Directory (Azure AD) und Office 365.

Office 365- und Azure AD-Rollen mit Zugriff auf Defender für Cloud Apps

Hinweis

  • Office 365 und Azure AD-Rollen werden nicht auf der Seite "Administratorzugriff verwalten" Defender für Cloud Apps aufgeführt. Um Rollen in Office 365 oder Azure Active Directory zuzuweisen, wechseln Sie zu den relevanten RBAC-Einstellungen für diesen Dienst.
  • Defender für Cloud Apps verwendet Azure Active Directory, um die Inaktivitätstimeouteinstellung des Benutzers auf Verzeichnisebene zu bestimmen. Wenn ein Benutzer in Azure Active Directory so konfiguriert ist, dass er sich nie abmeldet, gilt die gleiche Einstellung auch in Defender für Cloud Apps.

Standardmäßig haben die folgenden Office 365 und Azure AD-Administratorrollen Zugriff auf Defender für Cloud Apps:

  • globaler Administrator und Sicherheitsadministrator: Administratoren mit vollzugriff verfügen über vollständige Berechtigungen in Defender für Cloud Apps. Sie können Administratoren hinzufügen, Richtlinien und Einstellungen hinzufügen, Protokolle hochladen und Governanceaktionen ausführen, auf SIEM-Agents zugreifen und verwalten.

  • Cloud App Security Administrator: Ermöglicht vollzugriff und Berechtigungen in Defender für Cloud Apps. Diese Rolle gewährt vollständige Berechtigungen für Defender für Cloud Apps, z. B. die Azure AD-globaler Administrator Rolle. Diese Rolle ist jedoch auf Defender für Cloud Apps festgelegt und gewährt keine vollständigen Berechtigungen für andere Microsoft-Sicherheitsprodukte.

  • Complianceadministrator: Verfügt über schreibgeschützte Berechtigungen und kann Warnungen verwalten. Auf Sicherheitsempfehlungen für Cloudplattformen kann nicht zugegriffen werden. Sie können Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und unter Datenverwaltung alle integrierten Berichte anzeigen.

  • Compliancedatenadministrator: Verfügt über schreibgeschützte Berechtigungen, kann Dateirichtlinien erstellen und ändern, Dateigovernanceaktionen zulassen und alle Ermittlungsberichte anzeigen. Auf Sicherheitsempfehlungen für Cloudplattformen kann nicht zugegriffen werden.

  • Sicherheitsoperator und Sicherheitsleser: Verfügen Sie über schreibgeschützte Berechtigungen und können Warnungen verwalten. Diese Administratoren sind auf die folgenden Aktionen beschränkt:

    • Erstellen von Richtlinien sowie Bearbeiten und Ändern vorhandener Richtlinien
    • Ausführen von Governanceaktionen
    • Hochladen von Ermittlungsprotokollen
    • Sperren oder Genehmigen von Apps von Drittanbietern
    • Zugreifen auf die und Anzeigen der Einstellungsseite für den IP-Adressbereich
    • Zugreifen auf und Anzeigen von Systemeinstellungsseiten
    • Zugreifen auf und Anzeigen von Ermittlungseinstellungen
    • Zugreifen auf die und Anzeigen der Seite „App-Connectors“
    • Zugreifen auf das und Anzeigen des Governanceprotokolls
    • Zugreifen auf die und Anzeigen der Seite „Momentaufnahmeberichte verwalten“
    • Zugreifen auf und Anzeigen von SIEM-Agents
  • Globaler Leser: Hat vollständigen schreibgeschützten Zugriff auf alle Aspekte von Defender für Cloud Apps. Kann keine Einstellungen ändern oder Aktionen ausführen.

Rollen und Berechtigungen

Berechtigungen Globaler Administrator Sicherheitsadministrator Compliance Admin Compliancedaten Admin Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser PBI-Admin Cloud App Security Administrator
Lesen von Warnungen
Verwalten von Warnungen
OAuth-Anwendungen lesen
Ausführen von OAuth-Anwendungsaktionen
Zugriff auf ermittelte Apps, den Cloud-App-Katalog und andere Cloud Discovery-Daten
Ausführen von Cloudermittlungsaktionen
Zugreifen auf Dateiendaten und Dateirichtlinien
Ausführen von Dateiaktionen
Zugriffsgovernanceprotokoll
Ausführen von Governanceprotokollaktionen
Zugriffsbereichs-Governanceprotokoll
Lesen von Richtlinien
Ausführen aller Richtlinienaktionen
Ausführen von Dateirichtlinienaktionen
Ausführen von OAuth-Richtlinienaktionen
Verwalten des Administratorzugriffs anzeigen
Verwalten von Administratoren und Aktivitätsdaten

Integrierte Administratorrollen in Defender für Cloud Apps

Die folgenden spezifischen Administratorrollen können im Defender für Cloud Apps-Portal konfiguriert werden:

  • globaler Administrator: Hat den vollständigen Zugriff auf die Azure AD globaler Administrator Rolle, aber nur auf Defender für Cloud Apps.

  • Complianceadministrator: Gewährt die gleichen Berechtigungen wie die Azure AD Compliance-Administratorrolle, aber nur für Defender für Cloud Apps.

  • Sicherheitsleser: Gewährt die gleichen Berechtigungen wie die Azure AD Security-Leserrolle, aber nur für Defender für Cloud Apps.

  • App/Instanzadministrator: Verfügt über vollständige oder schreibgeschützte Berechtigungen für alle Daten in Defender für Cloud Apps, die ausschließlich mit der spezifischen App oder Instanz einer ausgewählten App behandelt werden. Angenommen, Sie vergeben eine Administratorberechtigung für Ihre Box European-Instanz an einen Benutzer. Dem Administrator werden nur Daten angezeigt, die mit der Box European-Instanz in Verbindung stehen, also z.B. Dateien, Aktivitäten, Richtlinien oder Warnungen:

    • Seite „Aktivitäten“: nur Aktivitäten bezüglich der jeweiligen App
    • Warnungen: nur Warnungen im Zusammenhang mit der jeweiligen App
    • Richtlinien – Kann alle Richtlinien anzeigen und wenn die voll zugewiesenen Berechtigungen nur Richtlinien bearbeiten oder erstellen können, die ausschließlich mit der App/Instanz umgehen
    • Seite „Konten“: nur Konten für die jeweilige App/Instanz
    • App-Berechtigungen: nur Berechtigungen für die jeweilige App/Instanz
    • Seite „Dateien“: nur Dateien aus der jeweiligen App/Instanz
    • Conditional Access App Control – keine Berechtigungen
    • Cloud Discovery-Aktivität – keine Berechtigungen
    • Sicherheitserweiterungen – Nur Berechtigungen für API-Token mit Benutzerberechtigungen
    • Governanceaktionen: nur für die jeweilige App/Instanz
    • Sicherheitsempfehlungen für Cloudplattformen – Keine Berechtigungen
  • Benutzergruppenadministrator: Verfügt über vollständige oder schreibgeschützte Berechtigungen für alle Daten in Defender für Cloud Apps, die ausschließlich mit den bestimmten Gruppen behandelt werden, die ihnen zugewiesen sind. Wenn Sie beispielsweise der Gruppe "Deutschland – alle Benutzer" eine Benutzeradministratorberechtigung zuweisen, kann der Administrator Informationen nur für diese Benutzergruppe in Defender für Cloud Apps anzeigen und bearbeiten. Der Administrator der Benutzergruppe hat den folgenden Zugriff:

    • Seite „Aktivitäten“: nur Aktivitäten bezüglich der Benutzer in der Gruppe

    • Warnungen: nur Warnungen im Zusammenhang mit den Benutzern in der Gruppe

    • Richtlinien – Kann alle Richtlinien anzeigen und wenn zugewiesene vollständige Berechtigungen nur Richtlinien bearbeiten oder erstellen können, die ausschließlich mit Benutzern in der Gruppe umgehen

    • Seite „Konten“: nur Konten für die jeweiligen Benutzer in der Gruppe

    • App-Berechtigungen – keine Berechtigungen

    • Seite „Dateien“ – keine Berechtigungen

    • Conditional Access App Control – keine Berechtigungen

    • Cloud Discovery-Aktivität – keine Berechtigungen

    • Sicherheitserweiterungen – Nur Berechtigungen für API-Token mit Benutzern in der Gruppe

    • Governanceaktionen: nur für die jeweiligen Benutzer in der Gruppe

    • Sicherheitsempfehlungen für Cloudplattformen – Keine Berechtigungen

      Hinweis

      • Um Benutzern Gruppenadministratoren Gruppen zuzuweisen, müssen Sie zuerst Benutzergruppen aus verbundenen Apps importieren.
      • Sie können nur Benutzergruppenadministratoren Berechtigungen für importierte Azure AD-Gruppen zuweisen.
  • Globaler Cloud Discovery-Administrator: Hat die Berechtigung, alle Cloud Discovery-Einstellungen und -Daten anzuzeigen und zu bearbeiten. Der Globale Discovery-Administrator hat den folgenden Zugriff:

    • Einstellungen
      • Systemeinstellungen: nur anzeigen
      • Cloud Discovery-Einstellungen: alle anzeigen und bearbeiten (Anonymisierungsberechtigungen hängen davon ab, ob diese während der Rollenzuweisung erteilt wurden)
    • Cloud Discovery-Aktivität: vollständige Berechtigungen
    • Warnungen: nur Warnungen im Zusammenhang mit Cloud Discovery-Daten
    • Richtlinien: kann alle Richtlinien anzeigen und kann nur Cloud Discovery-Richtlinien bearbeiten oder erstellen
    • Seite „Aktivitäten“: keine Berechtigungen
    • Seite „Konten“: keine Berechtigungen
    • App-Berechtigungen – keine Berechtigungen
    • Seite „Dateien“ – keine Berechtigungen
    • Conditional Access App Control – keine Berechtigungen
    • Sicherheitserweiterungen – Erstellen und Löschen eigener API-Token
    • Governanceaktionen: nur Aktionen im Zusammenhang mit Cloud Discovery
    • Sicherheitsempfehlungen für Cloudplattformen – Keine Berechtigungen
  • Administrator des Cloud Discovery-Berichts: Verfügt über Berechtigungen zum Anzeigen aller Daten in Defender für Cloud Apps, die ausschließlich mit den ausgewählten Cloud Discovery-Berichten befasst sind. Sie können beispielsweise einem Administrator die Berechtigung für den fortlaufenden Bericht von Microsoft Defender für Endpunkt erteilen. Der Discovery-Administrator sieht nur die Cloud Discovery-Daten, die sich auf diese Datenquelle und auf den App-Katalog beziehen. Dieser Administrator hat keinen Zugriff auf die Seiten "Aktivitäten", "Dateien" oder " Sicherheitsempfehlungen " und beschränkten Zugriff auf Richtlinien.

Hinweis

Die integrierten Defender für Cloud Apps-Administratorrollen bieten nur Zugriffsberechtigungen für Defender für Cloud Apps.

Außerkraftsetzung von Administratorberechtigungen

Wenn Sie die Berechtigung eines Administrators von Azure AD oder Office 365 außer Kraft setzen möchten, können Sie dies tun, indem Sie den Benutzer manuell zu Defender für Cloud Apps hinzufügen und die Benutzerberechtigungen zuweisen. Wenn Sie z. B. Stephanie zuweisen möchten, der ein Sicherheitsleser in Azure AD ist, um vollzugriff in Defender für Cloud Apps zu haben, können Sie sie manuell zu Defender für Cloud Apps hinzufügen und ihr vollständigen Zugriff zuweisen, um ihre Rolle außer Kraft zu setzen und ihr die erforderlichen Berechtigungen in Defender für Cloud Apps zu ermöglichen. Beachten Sie, dass es nicht möglich ist, Azure AD-Rollen außer Kraft zu setzen, die vollzugriff gewähren (globaler Administrator, Sicherheitsadministrator und Cloud App Security Administrator).

Hinzufügen zusätzlicher Administratoren

Sie können zusätzliche Administratoren zu Defender für Cloud Apps hinzufügen, ohne Benutzer zu Azure AD-Administratorrollen hinzuzufügen. Führen Sie die folgenden Schritte aus, um zusätzliche Administratoren hinzuzufügen:

Wichtig

  • Der Zugriff auf die Seite " Administratorverwaltung" ist für Mitglieder der Gruppen "Globale Administratoren", "Sicherheitsadministratoren", "Complianceadministratoren", "Compliancedatenadministratoren", "Sicherheitsoperatoren", "Sicherheitsleser" und "Globale Leser" verfügbar.
  • Nur globale Azure AD-Administratoren oder Sicherheitsadministratoren können die Seite "Administratorzugriff verwalten" bearbeiten und anderen Benutzern Zugriff auf Defender für Cloud Apps gewähren.
  1. Wählen Sie die Einstellungen settings icon. aus, und verwalten Sie dann den Administratorzugriff.

  2. Wählen Sie das Plussymbol aus, um die Administratoren hinzuzufügen, die Zugriff auf Defender für Cloud Apps haben sollten. Geben Sie eine E-Mail-Adresse eines Benutzers innerhalb Ihrer Organisation an.

    Hinweis

    Wenn Sie externe verwaltete Sicherheitsdienstanbieter (MSSPs) als Administratoren Ihres Defender für Cloud Apps-Portals hinzufügen möchten, stellen Sie sicher, dass Sie sie zuerst als Gast zu Ihrer Organisation einladen.

    add admins.

  3. Wählen Sie als Nächstes die Dropdownliste aus, um festzulegen, welche Rolle der Administrator hat, globaler Administrator, Sicherheitsleser, Complianceadministrator, App/Instance-Administrator, Benutzergruppenadministrator, globaler Cloud Discovery-Administrator oder Cloud Discovery-Berichtsadministrator. Wenn Sie App/Instanz-Administrator auswählen, wählen Sie die App und Instanz für den Administrator aus, für die Berechtigungen vorhanden sind.

    Hinweis

    Administratoren mit beschränktem Zugriff, die versuchen, auf eine Seite mit Zugriffseinschränkung zuzugreifen oder eine Aktion mit Zugriffseinschränkung auszuführen, erhalten eine entsprechende Fehlermeldung.

  4. Wählen Sie "Administrator hinzufügen" aus.

Einladen externer Administratoren

Defender für Cloud Apps ermöglicht es Ihnen, externe Administratoren (MSSPs) als Administratoren des MSSP-Kunden Ihrer Organisation Defender für Cloud Apps-Portal einzuladen. Um MSSPs hinzuzufügen, stellen Sie sicher, dass Defender für Cloud Apps im MSSPs-Mandanten aktiviert sind und sie dann als Azure AD B2B-Zusammenarbeitsbenutzer in den MSSPs-Kunden Azure-Portal hinzufügen. Nach dem Hinzufügen können MSSPs als Administratoren konfiguriert und einer der in Defender für Cloud Apps verfügbaren Rollen zugewiesen werden.

So fügen Sie MSSPs dem MSSP-Kundenportal Defender für Cloud Apps hinzu

  1. Fügen Sie MSSPs als Gast im MSSP-Kundenverzeichnis mithilfe der Schritte unter Hinzufügen von Gastbenutzern zum Verzeichnis hinzu.
  2. Fügen Sie MSSPs hinzu, und weisen Sie im MSSP-Kundenportal eine Administratorrolle Defender für Cloud Apps-Portal zu, indem Sie die Schritte unter "Zusätzliche Administratoren hinzufügen" ausführen. Geben Sie dieselbe externe E-Mail-Adresse an, die beim Hinzufügen von Gästen im MSSP-Kundenverzeichnis verwendet wird.

Zugriff auf MSSPs auf das MSSP-Kundenportal Defender für Cloud Apps

Standardmäßig greifen MSSPs über die folgende URL auf ihren Defender für Cloud Apps-Mandanten zu: https://portal.cloudappsecurity.com

MSSPs müssen jedoch über eine mandantenspezifische URL im folgenden Format auf das MSSP-Kundenportal Defender für Cloud Apps zugreifen: https://portal.cloudappsecurity.com?tid=customer_tenant_id

MSSPs können die folgenden Schritte verwenden, um die MANDANTEN-ID des MSSP-Kundenportals abzurufen und dann die ID für den Zugriff auf die mandantenspezifische URL zu verwenden:

  1. Melden Sie sich als MSSP mit Ihren Anmeldeinformationen bei Azure AD an.

  2. Wechseln Sie zum Mandanten des MSSP-Kunden.

  3. Klicken Sie auf Azure Active Directory>Eigenschaften. Sie finden die MSSP-Kundenmandanten-ID im Feld Mandanten-ID .

  4. Greifen Sie auf das MSSP-Kundenportal zu, indem Sie den customer_tenant_id Wert in der folgenden URL ersetzen: https://portal.cloudappsecurity.com?tid=customer_tenant_id

Admin Aktivitätsüberwachung

Defender für Cloud Apps können Sie ein Protokoll der Administratoranmeldungsaktivitäten und eine Überprüfung der Ansichten eines bestimmten Benutzers oder warnungen exportieren, die als Teil einer Untersuchung durchgeführt wurden.

Führen Sie zum Exportieren eines Protokolls die folgenden Schritte aus:

  1. Wählen Sie auf der Zugriffsseite "Administratoren verwalten " die Option "Administratoraktivitäten exportieren" aus.

  2. Geben Sie den erforderlichen Zeitraum an.

  3. Wähle Exportieren aus.

Nächste Schritte