Administrar el acceso de administradorManage admin access

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Microsoft Cloud App Security es compatible con el control de acceso basado en roles.Microsoft Cloud App Security supports role-based access control. En este artículo se ofrecen instrucciones para configurar el acceso al portal de Cloud App Security para los administradores.This article provides instructions for setting access to the Cloud App Security portal for your admins. Para obtener más información sobre la asignación de roles de administrador, vea los artículos para Azure Active Directory y Office 365.For more information about assigning administrator roles, see the articles for Azure Active Directory and Office 365 .

Roles de Office 365 y de Azure AD con acceso a Cloud App SecurityOffice 365 and Azure AD roles with access to Cloud App Security

De forma predeterminada, los siguientes roles de administrador de Office 365 y Azure Active Directory (Azure AD) tienen acceso a Microsoft Cloud App Security:By default, the following Office 365 and Azure Active Directory (Azure AD) admin roles have access to Microsoft Cloud App Security:

  • Administrador global y Administrador de seguridad: los administradores con acceso completo tienen permisos completos en Cloud App Security.Global administrator and Security administrator: Admins with Full access have full permissions in Cloud App Security. Pueden agregar administradores, incorporar directivas y configuración, cargar registros y realizar acciones de gobierno.They can add admins, add policies and settings, upload logs and perform governance actions.

  • Administrador de cumplimiento: tiene permisos de solo lectura y puede administrar alertas.Compliance administrator: Has read-only permissions and can manage alerts. Puede crear y modificar directivas de archivo, permitir acciones de control de archivos y ver todos los informes integrados en Administración de datos.Can create and modify file policies, allow file governance actions, and view all the built-in reports under Data Management.

  • Lector de seguridad: tiene permisos de solo lectura y puede administrar alertas.Security reader: Has read-only permissions and can manage alerts. El lector de seguridad no puede realizar las siguientes acciones:The Security reader is restricted from doing the following actions:

    • Crear directivas o editar y cambiar las existentesCreate policies or edit and change existing ones
    • Desempeñar acciones de controlPerforming any governance actions
    • Cargar registros de detecciónUploading discovery logs
    • Prohibición o aprobación de aplicaciones de tercerosBanning or approving third-party apps
    • Obtener acceso a la página de configuración del intervalo de direcciones IP ni verlaAccessing and viewing the IP address range settings page
    • Obtener acceso a cualquier página de configuración ni verlaAccessing and viewing any settings pages
    • Obtener acceso a la configuración de detección ni verlaAccessing and viewing the Discovery settings
    • Obtener acceso a la página de conectores de aplicaciones ni verlaAccessing and viewing the App connectors page
    • Obtener acceso al registro de gobierno ni verloAccessing and viewing the Governance log
    • Obtener acceso a la página de informes de instantáneas de administración ni verlaAccessing and viewing the Manage snapshot reports page
  • Administración de aplicaciones e instancias: tiene permisos en todos los datos en Microsoft Cloud App Security que tengan que ver exclusivamente con la aplicación o instancia específica de una aplicación seleccionada.App/instance admin: Has permissions to all of the data in Microsoft Cloud App Security that deals exclusively with the specific app or instance of an app selected. Por ejemplo, da a un usuario permiso de administrador para la instancia europea de Box.For example, you give a user admin permission to your Box European instance. El administrador verá solo los datos que se relacionan con la instancia europea de Box, ya sean archivos, actividades, directivas o alertas:The admin will see only data that relates to the Box European instance, whether it's files, activities, policies, or alerts:

    • Página de actividades (solo actividades relacionadas con la aplicación específica)Activities page - Only activities about the specific app
    • Alertas (solo alertas relacionadas con la aplicación específica)Alerts - Only alerts relating to the specific app
    • Directivas (puede ver todas las directivas y editar o crear solo directivas que tengan que ver exclusivamente con la instancia o aplicación)Policies - Can view all policies and can edit or create only policies that deal exclusively with the app/instance
    • Página Cuentas: solo cuentas de la aplicación o instancia específicaAccounts page - Only accounts for the specific app/instance
    • Permisos de la aplicación (solo permisos de la aplicación o instancia específica)App permissions - Only permissions for the specific app/instance
    • Página de archivos (solo archivos de la aplicación o instancia específica)Files page - Only files from the specific app/instance
    • Control de aplicaciones de acceso condicional (sin permisos)Conditional Access App Control - No permissions
    • Actividad de Cloud Discovery (sin permisos)Cloud Discovery activity - No permissions
    • Extensiones de seguridad (permisos únicamente para el token de API con permisos de usuario)Security extensions - Permissions only for API token with user permissions
    • Acciones de gobierno (solo para la aplicación o instancia específica)Governance actions - Only for the specific app/instance
  • Administrador de grupo: tiene permisos en todos los datos en Microsoft Cloud App Security que tengan que ver exclusivamente con el grupo específico seleccionado aquí.Group admin: Has permissions to all of the data in Microsoft Cloud App Security that deals exclusively with the specific group selected here. Por ejemplo, si concede permiso a un administrador de usuarios para el grupo "Alemania: todos los usuarios", el administrador podrá ver y modificar información en Microsoft Cloud App Security solo para ese grupo de usuarios:For example, if you give a user admin permission to the group "Germany - all users", the admin can view and modify information in Microsoft Cloud App Security only for that user group:

    • Página de actividades (solo actividades relacionadas con los usuarios del grupo)Activities page - Only activities about the users in the group
    • Alertas (solo alertas relacionadas con los usuarios del grupo)Alerts - Only alerts relating to the users in the group
    • Directivas (puede ver todas las directivas y editar o crear solo directivas que tengan que ver exclusivamente con usuarios del grupo)Policies - Can view all policies and can edit or create only policies that deal exclusively with users in the group
    • Pagina cuentas: solo cuentas de los usuarios del grupo específicosAccounts page - Only accounts for the specific users in the group
    • Permisos de aplicación (sin permisos)App permissions – No permissions
    • Página Archivos (sin permisos)Files page – No permissions
    • Control de aplicaciones de acceso condicional (sin permisos)Conditional Access App Control - No permissions
    • Actividad de Cloud Discovery (sin permisos)Cloud Discovery activity - No permissions
    • Extensiones de seguridad (permisos únicamente para el token de API con usuarios del grupo)Security extensions - Permissions only for API token with users in the group
    • Acciones de gobierno (solo para los usuarios del grupo específicos)Governance actions - Only for the specific users in the group
  • Administrador de detección global: Tiene permiso para ver y editar todos los datos y la configuración de Cloud Discovery.Global Discovery admin: Has permission to view and edit all Cloud Discovery settings and data. El administrador de detección global tiene acceso de la siguiente manera:The Global Discovery admin has access as follows:

    • Configuración:Settings -
      • Configuración del sistema: solo verSystem settings - View only
      • Configuración de Cloud Discovery: ver y editar todo (los permisos de anonimización dependen de si se permite durante la asignación de funciones)Cloud Discovery settings - View and edit all (anonymization permissions depend on whether it was allowed during role assignment)
    • Actividad de Cloud Discovery: todos los permisosCloud Discovery activity - full permissions
    • Alertas: solo las alertas relacionadas con datos de Cloud DiscoveryAlerts - only alerts related to Cloud Discovery data
    • Directivas: puede ver todas las directivas y puede editar o crear solo las directivas de Cloud DiscoveryPolicies - Can view all policies and can edit or create only Cloud Discovery policies
    • Página Actividades: sin permisosActivities page - No permissions
    • Página Cuentas: sin permisosAccounts page - No permissions
    • Permisos de aplicación (sin permisos)App permissions – No permissions
    • Página Archivos (sin permisos)Files page – No permissions
    • Control de aplicaciones de acceso condicional (sin permisos)Conditional Access App Control - No permissions
    • Extensiones de seguridad: sin permisosSecurity extensions - No permissions
    • Acciones de gobierno: solo acciones relacionadas con Cloud DiscoveryGovernance actions - Only Cloud Discovery related actions

Invalidación de los permisos de administradorOverride admin permissions

Si quiere invalidar un permiso de administrador de Azure Active Directory u Office 365, puede hacerlo manualmente agregando el usuario a Cloud App Security y asignándole permisos.If you want to override an administrator's permission from Azure Active Directory or Office 365, you can do so by manually adding the user to Cloud App Security and assigning the user permissions. Por ejemplo, si quiere que Claudia, una usuaria que tiene el rol de Lector de seguridad en Azure Active Directory, tenga Acceso completo en Cloud App Security, puede agregarla manualmente a Cloud App Security y asignarle Acceso completo a fin de invalidar su rol y concederle los permisos necesarios en Cloud App Security.For example, if you want to assign Stephanie, who is a Security reader in Azure Active Directory to have Full access in Cloud App Security, you can add her manually to Cloud App Security and assign her Full access to override her role and allow her the necessary permissions in Cloud App Security.

Agregar administradores adicionalesAdd additional admins

Puede agregar más administradores a Cloud App Security sin agregar usuarios a los roles administrativos de Azure Active Directory.You can add additional admins to Cloud App Security without adding users to Azure Active Directory administrative roles. Para hacerlo, realice estos pasos:To add additional admins, perform the following steps:

Importante

Solo los administradores globales o de seguridad pueden conceder acceso a otros usuarios a Cloud App Security.Only Global administrators or Security administrators can grant access to other users to Cloud App Security.

  1. Haga clic en el engranaje de configuración icono de configuración y luego en Administrar acceso de administrador.Click the settings cog settings icon and then Manage admin access.

  2. Haga clic en el signo más para agregar los administradores que deben tener acceso a Cloud App Security.Click the plus to add the admins who should have access to Cloud App Security. Puede escribir una dirección de correo electrónico interno o externo para permitir que los administradores de la organización o los proveedores de servicios de seguridad administrada (MSSP) externos administren las alertas de seguridad.You can type an internal or external email address to enable administrators from inside your organization or external Managed Security Service Providers (MSSPs) to administer your security alerts.

    agregar administradores

  3. Después, haga clic en la lista desplegable para establecer qué tipo de rol tiene el administrador, a saber, Administrador global, Lector de seguridad, Administrador de cumplimiento o Administrador de aplicación/instancia. Si selecciona Administrador de aplicación/instancia, seleccione la aplicación y la instancia en las que el administrador va a tener permisos.Next, click the drop-down to set what type of role the admin has, Global admin, Security reader, Compliance admin, or App/Instance admin. If you select App/Instance admin, select the app and instance for the admin to have permissions for.

    Nota

    Si un administrador cuyo acceso está limitado intenta acceder a una página restringida o realizar una acción restringida, recibirá un error por el que se notifica que no tiene permiso para acceder a la página o realizar la acción.Any admin, whose access is limited, that attempts to access a restricted page or perform a restricted action will receive an error that they don't have permission to access the page or perform the action.

  4. Haga clic en Agregar administrador.Click Add admin.

Invitar a administradores externosInvite external admins

Microsoft Cloud App Security permite invitar a proveedores de servicios de seguridad administrada (MSSP) externos como administradores del portal de Microsoft Cloud App Security.Microsoft Cloud App Security enables you to invite external Managed Security Service Providers (MSSPs) as administrators of your Microsoft Cloud App Security portal. Ahora es posible configurar a usuarios externos como administradores y asignarles cualquiera de los roles disponibles en Microsoft Cloud App Security.External users can now be configured as administrators and assigned any of the roles available in Microsoft Cloud App Security. Además, para permitir que los MSSP proporcionen servicios en varios inquilinos de clientes, los administradores que tienen derechos de acceso a más de un inquilino ahora pueden cambiar de inquilino fácilmente en el portal.Additionally, to enable MSSPs to provide services across multiple customer tenants, Administrators who have access rights to more than one tenant can now easily switch tenants within the portal.

Para cambiar de inquilino, una vez que tenga permisos para varios inquilinos, haga clic en el icono de usuario.To switch between tenants, after you have permissions to multiple tenants, click the user icon. Verá una lista con los inquilinos para los que dispone de permisos.You will see a list of the tenants for which you have permissions. Seleccione el inquilino que quiera administrar.Select the tenant you want to manage.

seleccionar inquilinochoose tenant

Pasos siguientesNext steps

Configurar Cloud DiscoverySet up Cloud Discovery