Administrar el acceso de administrador
Nota:
Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.
Microsoft Defender for Cloud Apps admite el control de acceso basado en rol. En este artículo se proporcionan instrucciones para establecer el acceso al portal de aplicaciones de Defender for Cloud para los administradores. Para más información sobre cómo asignar roles de administrador, consulte los artículos de Azure Active Directory (Azure AD) y Office 365.
Office 365 y roles de Azure AD con acceso a Defender for Cloud Apps
Nota
- Office 365 y roles de Azure AD no aparecen en la página Defender for Cloud Apps Manage admin access (Administrar acceso de administrador). Para asignar roles en Office 365 o Azure Active Directory, vaya a la configuración de RBAC correspondiente para ese servicio.
- Defender for Cloud Aplicaciones usa Azure Active Directory para determinar la configuración de tiempo de espera de inactividad del nivel de directorio del usuario. Si un usuario está configurado en Azure Active Directory no cerrar sesión nunca cuando está inactivo, también se aplicará la misma configuración en Defender for Cloud Aplicaciones.
De forma predeterminada, los siguientes roles de administrador de Office 365 y Azure AD tienen acceso a Defender for Cloud Apps:
Administrador global y administrador de seguridad: los administradores con acceso total tienen permisos completos en Defender for Cloud Aplicaciones. Pueden agregar administradores, agregar directivas y configuraciones, cargar registros y realizar acciones de gobernanza, acceder y administrar agentes SIEM.
Cloud App Security administrador: permite el acceso completo y los permisos en Defender for Cloud Apps. Este rol concede permisos completos a Defender for Cloud Aplicaciones, como el rol de Administrador global de Azure AD. Sin embargo, este rol tiene como ámbito Defender for Cloud Aplicaciones y no concederá permisos completos en otros productos de seguridad de Microsoft.
Administrador de cumplimiento: tiene permisos de solo lectura y puede administrar alertas. No se puede acceder a las recomendaciones de seguridad para las plataformas en la nube. Puede crear y modificar directivas de archivo, permitir acciones de control de archivos y ver todos los informes integrados en Administración de datos.
Administrador de datos de cumplimiento: tiene permisos de solo lectura, puede crear y modificar directivas de archivo, permitir acciones de gobernanza de archivos y ver todos los informes de detección. No se puede acceder a las recomendaciones de seguridad para las plataformas en la nube.
Operador de seguridad y Lector de seguridad: tiene permisos de solo lectura y puede administrar alertas. Estos administradores están restringidos a realizar las siguientes acciones:
- Crear directivas o editar y cambiar las existentes
- Desempeñar acciones de control
- Cargar registros de detección
- Prohibición o aprobación de aplicaciones de terceros
- Obtener acceso a la página de configuración del intervalo de direcciones IP ni verla
- Acceso y visualización de las páginas de configuración del sistema
- Obtener acceso a la configuración de detección ni verla
- Obtener acceso a la página de conectores de aplicaciones ni verla
- Obtener acceso al registro de gobernanza ni verlo
- Obtener acceso a la página de informes de instantáneas de administración ni verla
- Acceso y visualización de agentes SIEM
Lector global: tiene acceso de solo lectura completo a todos los aspectos de Defender for Cloud Apps. No se puede cambiar ninguna configuración ni realizar ninguna acción.
Roles y permisos
| Permisos | Administrador global | Administrador de seguridad | Administración de cumplimiento | Administración de datos de cumplimiento | Operador de seguridad | Lector de seguridad | Lector global | Administración PBI | administrador de Cloud App Security |
|---|---|---|---|---|---|---|---|---|---|
| Leer alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Administrar alertas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Leer aplicaciones de OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Realización de acciones de aplicación de OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Acceso a aplicaciones detectadas, el catálogo de aplicaciones en la nube y otros datos de Cloud Discovery | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Realización de acciones de Cloud Discovery | ✔ | ✔ | ✔ | ||||||
| Acceso a las directivas de archivos y datos de archivos | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Realizar acciones de archivo | ✔ | ✔ | ✔ | ✔ | |||||
| Registro de gobernanza de acceso | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Realización de acciones de registro de gobernanza | ✔ | ✔ | ✔ | ✔ | |||||
| Registro de gobernanza de detección con ámbito de acceso | ✔ | ✔ | ✔ | ||||||
| Leer directivas | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Realizar todas las acciones de directiva | ✔ | ✔ | ✔ | ✔ | |||||
| Realización de acciones de directiva de archivos | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| Realización de acciones de directiva de OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Visualización del acceso de administración de administración | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Administración de administradores y privacidad de actividades | ✔ | ✔ | ✔ |
Roles de administrador integrados en aplicaciones de Defender for Cloud
Los siguientes roles de administrador específicos se pueden configurar en el portal de aplicaciones de Defender for Cloud:
Administrador global: tiene acceso completo similar al rol de Administrador global de Azure AD, pero solo a Defender for Cloud Apps.
Administrador de cumplimiento: concede los mismos permisos que el rol de administrador de cumplimiento de Azure AD, pero solo para Defender for Cloud Aplicaciones.
Lector de seguridad: concede los mismos permisos que el rol lector de seguridad de Azure AD, pero solo para Defender for Cloud Aplicaciones.
Administrador de aplicaciones o instancias: tiene permisos completos o de solo lectura para todos los datos de Defender for Cloud Aplicaciones que se ocupa exclusivamente de la aplicación o instancia específica de una aplicación seleccionada. Por ejemplo, da a un usuario permiso de administrador para la instancia europea de Box. El administrador verá solo los datos que se relacionan con la instancia europea de Box, ya sean archivos, actividades, directivas o alertas:
- Página de actividades (solo actividades relacionadas con la aplicación específica)
- Alertas (solo alertas relacionadas con la aplicación específica)
- Directivas: puede ver todas las directivas y si los permisos completos asignados pueden editar o crear solo directivas que se ocupen exclusivamente de la aplicación o la instancia.
- Página Cuentas: solo cuentas de la aplicación o instancia específica
- Permisos de la aplicación (solo permisos de la aplicación o instancia específica)
- Página de archivos (solo archivos de la aplicación o instancia específica)
- Control de aplicaciones de acceso condicional (sin permisos)
- Actividad de Cloud Discovery (sin permisos)
- Extensiones de seguridad: solo permisos para el token de API con permisos de usuario
- Acciones de gobernanza (solo para la aplicación o instancia específica)
- Recomendaciones de seguridad para plataformas en la nube: sin permisos
Administrador del grupo de usuarios: tiene permisos completos o de solo lectura para todos los datos de Defender for Cloud Aplicaciones que se ocupa exclusivamente de los grupos específicos asignados. Por ejemplo, si asigna permisos de administrador de usuarios al grupo "Alemania : todos los usuarios", el administrador puede ver y editar información en Defender for Cloud Aplicaciones solo para ese grupo de usuarios. El administrador del grupo de usuarios tiene el siguiente acceso:
Página de actividades (solo actividades relacionadas con los usuarios del grupo)
Alertas (solo alertas relacionadas con los usuarios del grupo)
Directivas: puede ver todas las directivas y si los permisos completos asignados pueden editar o crear solo directivas que se ocupan exclusivamente de los usuarios del grupo.
Pagina cuentas: solo cuentas de los usuarios del grupo específicos
Permisos de aplicación (sin permisos)
Página Archivos (sin permisos)
Control de aplicaciones de acceso condicional (sin permisos)
Actividad de Cloud Discovery (sin permisos)
Extensiones de seguridad: solo permisos para el token de API con usuarios del grupo
Acciones de gobernanza (solo para los usuarios del grupo específicos)
Recomendaciones de seguridad para plataformas en la nube: sin permisos
Nota:
- Para asignar grupos a administradores de grupos de usuarios, primero debe importar grupos de usuarios desde aplicaciones conectadas.
- Solo puede asignar permisos de administrador de grupos de usuarios a grupos de Azure AD importados.
Administrador global de Cloud Discovery: tiene permiso para ver y editar todos los datos y la configuración de Cloud Discovery. El administrador de detección global tiene el siguiente acceso:
- Configuración
- Configuración del sistema: solo ver
- Configuración de Cloud Discovery: ver y editar todo (los permisos de anonimización dependen de si se permite durante la asignación de funciones)
- Actividad de Cloud Discovery: todos los permisos
- Alertas: solo las alertas relacionadas con datos de Cloud Discovery
- Directivas: puede ver todas las directivas y puede editar o crear solo las directivas de Cloud Discovery
- Página Actividades: sin permisos
- Página Cuentas: sin permisos
- Permisos de aplicación (sin permisos)
- Página Archivos (sin permisos)
- Control de aplicaciones de acceso condicional (sin permisos)
- Extensiones de seguridad: creación y eliminación de sus propios tokens de API
- Acciones de gobernanza: solo acciones relacionadas con Cloud Discovery
- Recomendaciones de seguridad para plataformas en la nube: sin permisos
- Configuración
Administrador de informes de Cloud Discovery: tiene permisos para ver todos los datos de Defender for Cloud Aplicaciones que se ocupa exclusivamente de los informes específicos de Cloud Discovery seleccionados. Por ejemplo, puede conceder permiso de administrador al informe continuo desde Microsoft Defender para punto de conexión. El administrador de detección verá solo los datos de Cloud Discovery relacionados con ese origen de datos y con el catálogo de aplicaciones. Este administrador no tendrá acceso a las páginas actividades, archivos o recomendaciones de seguridad y acceso limitado a las directivas.
Nota
Los roles de administrador de Defender for Cloud Apps integrados solo proporcionan permisos de acceso a Defender for Cloud Apps.
Invalidación de los permisos de administrador
Si desea invalidar el permiso de un administrador de Azure AD o Office 365, puede hacerlo agregando manualmente el usuario a Defender for Cloud Aplicaciones y asignando los permisos de usuario. Por ejemplo, si quiere asignar a Stephanie, que es un lector de seguridad de Azure AD para que tenga acceso completo en Defender for Cloud Aplicaciones, puede agregarla manualmente a Defender for Cloud Aplicaciones y asignarle acceso total para invalidar su rol y permitir que tenga los permisos necesarios en Defender for Cloud Apps. Tenga en cuenta que no es posible invalidar los roles de Azure AD que conceden acceso total (Administrador global, administrador de seguridad y administrador de Cloud App Security).
Agregar administradores adicionales
Puede agregar administradores adicionales a Defender for Cloud Apps sin agregar usuarios a roles administrativos de Azure AD. Para hacerlo, realice estos pasos:
Importante
- El acceso a la página Administrar acceso de administrador está disponible para los miembros de los grupos Administradores globales, Administradores de seguridad, Administradores de cumplimiento, Administradores de datos de cumplimiento, Operadores de seguridad, Lectores de seguridad y Lectores globales.
- Solo los administradores globales de Azure AD o los administradores de seguridad pueden editar la página Administrar acceso de administrador y conceder a otros usuarios acceso a Defender for Cloud Aplicaciones.
Seleccione el engranaje
de configuración y, a continuación, Administrar el acceso de administrador.Seleccione el icono más para agregar los administradores que deben tener acceso a Defender for Cloud Aplicaciones. Proporcione una dirección de correo electrónico de un usuario desde dentro de su organización.
Nota
Si desea agregar proveedores de servicios de seguridad administrados externos (MSSP) como administradores del portal de aplicaciones de Defender for Cloud, asegúrese de invitarlos primero como invitado a su organización.
A continuación, seleccione la lista desplegable para establecer qué tipo de rol tiene el administrador, administrador global, lector de seguridad, administrador de cumplimiento, administrador de aplicaciones o instancias, administrador del grupo de usuarios, administrador global de Cloud Discovery o administrador de informes de Cloud Discovery. Si selecciona Administrador de aplicación o instancia, seleccione la aplicación y la instancia para que el administrador tenga permisos.
Nota
Si un administrador cuyo acceso está limitado intenta acceder a una página restringida o realizar una acción restringida, recibirá un error por el que se notifica que no tiene permiso para acceder a la página o realizar la acción.
Seleccione Agregar administrador.
Invitar a administradores externos
Defender for Cloud Aplicaciones le permite invitar a administradores externos (MSSP) como administradores del portal de aplicaciones de Defender for Cloud Apps de la organización (cliente de MSSP). Para agregar MSSP, asegúrese de que Defender for Cloud Apps esté habilitado en el inquilino de MSSP y, a continuación, agréguelos como usuarios de colaboración B2B de Azure AD en los clientes de MSSP Azure Portal. Una vez agregado, los MSSP se pueden configurar como administradores y asignar cualquiera de los roles disponibles en Defender for Cloud Apps.
Para agregar MSSP al portal de aplicaciones de Defender for Cloud cliente de MSSP
- Agregue MSSP como invitado en el directorio de clientes de MSSP mediante los pasos descritos en Adición de usuarios invitados al directorio.
- Agregue MSSP y asigne un rol de administrador en el portal de aplicaciones Defender for Cloud cliente de MSSP mediante los pasos descritos en Incorporación de administradores adicionales. Proporcione la misma dirección de correo electrónico externa que se usa al agregarlas como invitados en el directorio de clientes de MSSP.
Acceso para MSSP al portal de aplicaciones de Defender for Cloud cliente de MSSP
De forma predeterminada, los MSSP acceden a su inquilino de Defender for Cloud Apps a través de la siguiente dirección URL: https://portal.cloudappsecurity.com.
Sin embargo, los MSSP tendrán que acceder al portal de aplicaciones de Defender for Cloud cliente de MSSP mediante una dirección URL específica del inquilino en el formato siguiente: https://portal.cloudappsecurity.com?tid=customer_tenant_id.
Los MSSP pueden usar los pasos siguientes para obtener el identificador de inquilino del portal de clientes de MSSP y, a continuación, usar el identificador para acceder a la dirección URL específica del inquilino:
Como MSSP, inicie sesión en Azure AD con sus credenciales.
Cambie el directorio al inquilino del cliente de MSSP.
Seleccione Azure Active Directory>Propiedades. Encontrará el identificador de inquilino del cliente de MSSP en el campo Id. de inquilino .
Acceda al portal de clientes de MSSP reemplazando el
customer_tenant_idvalor en la siguiente dirección URL:https://portal.cloudappsecurity.com?tid=customer_tenant_id.
auditoría de actividad de Administración
Defender for Cloud Aplicaciones permite exportar un registro de actividades de inicio de sesión de administrador y una auditoría de las vistas de un usuario o alertas específicos que se llevan a cabo como parte de una investigación.
Para exportar un registro, realice los pasos siguientes:
En la página Administrar acceso de administradores , seleccione Exportar actividades de administrador.
Especifique el intervalo de tiempo necesario.
Selecciona Export (Exportar).