Administrar el acceso de administrador

Se aplica a: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando. Obtenga más información sobre esta y otras actualizaciones en este artículo. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.

Microsoft Cloud App Security es compatible con el control de acceso basado en roles. En este artículo se proporcionan instrucciones para establecer el acceso al portal Cloud App Security para los administradores. Para obtener más información sobre la asignación de roles de administrador, vea los artículos Azure Active Directory (Azure AD) y Office 365.

Importante

Hemos cambiado el flujo para agregar administradores externos a Cloud App Security. El administrador externo no inscrito mediante el nuevo proceso se eliminará antes del 31 de octubre. Para obtener más información, vea Invitar a administradores externos.

Roles de Office 365 y de Azure AD con acceso a Cloud App Security

Nota

  • Office 365 y Azure AD de acceso de administrador no aparecen en la Cloud App Security Administrar acceso de administrador. Para asignar roles en Office 365 o Azure Active Directory, vaya a la configuración de RBAC pertinente para ese servicio.
  • Cloud App Security usa Azure Active Directory para determinar el valor de tiempo de espera de inactividad del nivel de directorio del usuario. Si un usuario está configurado en AAD cerrar sesión nunca cuando está inactivo, también se aplicará la misma configuración en Cloud App Security.

De forma predeterminada, los siguientes roles Office 365 y Azure AD administrador tienen acceso a Cloud App Security:

  • Administrador global y Administrador de seguridad: los administradores con acceso completo tienen permisos completos en Cloud App Security. Pueden agregar administradores, agregar directivas y configuraciones, cargar registros y realizar acciones de gobernanza, acceder y administrar agentes SIEM.

  • Cloud App Security administrador: permite el acceso completo y los permisos en Cloud App Security. Este rol concede permisos completos para Cloud App Security, como el Azure AD Administrador global rol. Sin embargo, este rol está limitado a Cloud App Security y no concederá permisos completos en otros productos de seguridad de Microsoft.

  • Administrador de cumplimiento: tiene permisos de solo lectura y puede administrar alertas. No se puede acceder a las recomendaciones de seguridad para plataformas en la nube. Puede crear y modificar directivas de archivo, permitir acciones de control de archivos y ver todos los informes integrados en Administración de datos.

  • Administrador de datos de cumplimiento: tiene permisos de solo lectura, puede crear y modificar directivas de archivo, permitir acciones de gobernanza de archivos y ver todos los informes de detección. No se puede acceder a las recomendaciones de seguridad para plataformas en la nube.

  • Operador de seguridad y Lector de seguridad: tiene permisos de solo lectura y puede administrar alertas. Estos administradores no pueden realizar las siguientes acciones:

    • Crear directivas o editar y cambiar las existentes
    • Desempeñar acciones de control
    • Cargar registros de detección
    • Prohibición o aprobación de aplicaciones de terceros
    • Obtener acceso a la página de configuración del intervalo de direcciones IP ni verla
    • Acceso y visualización de las páginas de configuración del sistema
    • Obtener acceso a la configuración de detección ni verla
    • Obtener acceso a la página de conectores de aplicaciones ni verla
    • Obtener acceso al registro de gobernanza ni verlo
    • Obtener acceso a la página de informes de instantáneas de administración ni verla
    • Acceso y visualización de agentes SIEM
  • Lector global: tiene acceso de solo lectura completo a todos los aspectos de Cloud App Security. No se puede cambiar ninguna configuración ni realizar ninguna acción.

Roles y permisos

Permisos Administrador global Administrador de seguridad Administrador de cumplimiento Administrador de datos de cumplimiento Operador de seguridad Lector de seguridad Lector global Administrador de PBI Cloud App Security administrador
Leer alertas
Administración de alertas
Leer aplicaciones de OAuth
Realización de acciones de aplicación de OAuth
Acceso a aplicaciones detectadas, catálogo de aplicaciones en la nube y otros datos de cloud discovery
Realización de acciones de cloud discovery
Acceso a los datos de los archivos y a las directivas de archivos
Realizar acciones de archivo
Registro de gobernanza de acceso
Realización de acciones de registro de gobernanza
Acceso al registro de gobernanza de detección con ámbito
Leer directivas
Realizar todas las acciones de directiva
Realización de acciones de directiva de archivo
Realización de acciones de directiva de OAuth
Visualización del acceso de administración
Administración de los administradores y la privacidad de la actividad

Roles de administrador Cloud App Security integrados

Los siguientes Cloud App Security roles de administrador específicos se pueden configurar en Cloud App Security portal:

  • Administrador de aplicación o instancia: tiene permisos completos o de solo lectura para todos los datos de Cloud App Security que se ocupa exclusivamente de la aplicación o instancia específica de una aplicación seleccionada. Por ejemplo, da a un usuario permiso de administrador para la instancia europea de Box. El administrador verá solo los datos que se relacionan con la instancia europea de Box, ya sean archivos, actividades, directivas o alertas:

    • Página de actividades (solo actividades relacionadas con la aplicación específica)
    • Alertas (solo alertas relacionadas con la aplicación específica)
    • Directivas: puede ver todas las directivas y, si se asignan permisos completos, solo puede editar o crear directivas que se desenlazen exclusivamente con la aplicación o instancia.
    • Página Cuentas: solo cuentas de la aplicación o instancia específica
    • Permisos de la aplicación (solo permisos de la aplicación o instancia específica)
    • Página de archivos (solo archivos de la aplicación o instancia específica)
    • Control de aplicaciones de acceso condicional (sin permisos)
    • Actividad de Cloud Discovery (sin permisos)
    • Extensiones de seguridad: solo permisos para el token de API con permisos de usuario
    • Acciones de gobernanza (solo para la aplicación o instancia específica)
    • Recomendaciones de seguridad para plataformas en la nube: sin permisos
  • Administrador de grupos de usuarios: tiene permisos completos o de solo lectura para todos los datos de Cloud App Security que se ocupa exclusivamente de los grupos específicos asignados a ellos. Por ejemplo, si asigna permisos de administrador de usuario al grupo "Alemania - todos los usuarios", el administrador puede ver y editar información en Cloud App Security solo para ese grupo de usuarios. El administrador del grupo de usuarios tiene el acceso siguiente:

    • Página de actividades (solo actividades relacionadas con los usuarios del grupo)

    • Alertas (solo alertas relacionadas con los usuarios del grupo)

    • Directivas: puede ver todas las directivas y, si se asignan permisos completos, solo puede editar o crear directivas que se tratan exclusivamente con los usuarios del grupo.

    • Pagina cuentas: solo cuentas de los usuarios del grupo específicos

    • Permisos de aplicación (sin permisos)

    • Página Archivos (sin permisos)

    • Control de aplicaciones de acceso condicional (sin permisos)

    • Actividad de Cloud Discovery (sin permisos)

    • Extensiones de seguridad: solo permisos para el token de API con usuarios del grupo

    • Acciones de gobernanza (solo para los usuarios del grupo específicos)

    • Recomendaciones de seguridad para plataformas en la nube: sin permisos

      Nota

      • Para asignar grupos a administradores de grupos de usuarios, primero debe importar grupos de usuarios desde aplicaciones conectadas.
      • Solo puede asignar permisos de administradores de grupos de usuarios a grupos Azure AD usuarios importados.
  • Cloud Discovery administrador global: tiene permiso para ver y editar todos los Cloud Discovery configuración y los datos. El administrador de detección global tiene el acceso siguiente:

    • Configuración
      • Configuración del sistema: solo ver
      • Configuración de Cloud Discovery: ver y editar todo (los permisos de anonimización dependen de si se permite durante la asignación de funciones)
    • Actividad de Cloud Discovery: todos los permisos
    • Alertas: solo las alertas relacionadas con datos de Cloud Discovery
    • Directivas: puede ver todas las directivas y puede editar o crear solo las directivas de Cloud Discovery
    • Página Actividades: sin permisos
    • Página Cuentas: sin permisos
    • Permisos de aplicación (sin permisos)
    • Página Archivos (sin permisos)
    • Control de aplicaciones de acceso condicional (sin permisos)
    • Extensiones de seguridad: creación y eliminación de sus propios tokens de API
    • Acciones de gobernanza: solo acciones relacionadas con Cloud Discovery
    • Recomendaciones de seguridad para plataformas en la nube: sin permisos
  • Cloud Discovery administrador de informes: tiene permisos para ver todos los datos de Cloud App Security que se ocupa exclusivamente de los informes de Cloud Discovery específicos seleccionados. Por ejemplo, puede conceder a alguien permiso de administrador para el informe continuo desde Microsoft Defender para endpoint. El administrador de detección solo verá los Cloud Discovery datos relacionados con ese origen de datos y con el catálogo de aplicaciones. Este administrador no tendrá acceso a las páginas De actividades, Archivos o Recomendaciones de seguridad y acceso limitado a las directivas.

Nota

Los roles de administrador de Cloud App Security integrados solo proporcionan permisos de acceso a Cloud App Security.

Invalidación de los permisos de administrador

Si desea invalidar el permiso de un administrador de Azure AD o Office 365, puede hacerlo agregando manualmente el usuario a Cloud App Security y asignando los permisos de usuario. Por ejemplo, si quiere asignar a Ana, que es Lector de seguridad en Azure AD, que tenga acceso total en Cloud App Security, puede agregarla manualmente a Cloud App Security y asignarle acceso total para invalidar su rol y permitirle los permisos necesarios en Cloud App Security.

Agregar administradores adicionales

Puede agregar administradores adicionales a Cloud App Security sin agregar usuarios a Azure AD roles administrativos. Para hacerlo, realice estos pasos:

Importante

  • El acceso a la página Administrar acceso de administrador está disponible para los miembros de los grupos Administradores globales, Administradores de seguridad, Administradores de cumplimiento, Administradores de datos de cumplimiento, Operadores de seguridad, Lectores de seguridad y Lectores globales.
  • Solo Azure AD administradores globales o administradores de seguridad pueden editar la página Administrar acceso de administrador y conceder a otros usuarios acceso a Cloud App Security.
  1. Seleccione el icono de configuración de engranaje de configuración. y, a continuación, administrar el acceso de administrador.

  2. Seleccione el icono más para agregar los administradores que deben tener acceso a Cloud App Security. Proporcione una dirección de correo electrónico de un usuario desde dentro de su organización.

    Nota

    Si desea agregar proveedores de servicios de seguridad administrados (MSSP) externos como administradores del portal de Cloud App Security, asegúrese de invitarlos primero como invitado a su organización.

    agregar administradores.

  3. A continuación, seleccione la lista desplegable para establecer qué tipo de rol tiene el administrador, administrador global, Lector de seguridad, administrador de cumplimiento, administrador de aplicación/instancia, administrador de grupo de usuarios, administrador global de Cloud Discovery o administrador de informes Cloud Discovery . Si selecciona Administrador de aplicación o instancia, seleccione la aplicación y la instancia para la que el administrador debe tener permisos.

    Nota

    Si un administrador cuyo acceso está limitado intenta acceder a una página restringida o realizar una acción restringida, recibirá un error por el que se notifica que no tiene permiso para acceder a la página o realizar la acción.

  4. Seleccione Agregar administrador.

Invitar a administradores externos

Cloud App Security permite invitar a administradores externos (MSSP) como administradores del portal de Cloud App Security de su organización (cliente de MSSP). Para agregar MSSP, asegúrese de que Cloud App Security está habilitado en el inquilino de MSSP y, a continuación, agrégrélos como usuarios de colaboración B2B Azure AD los clientes de MSSP Azure Portal. Una vez agregado, los MSSP se pueden configurar como administradores y asignar cualquiera de los roles disponibles en Cloud App Security.

Para agregar MSSP al portal del cliente Cloud App Security MSSP

  1. Agregue MSSP como invitado en el directorio del cliente de MSSP mediante los pasos descritos en Agregar usuarios invitados al directorio.
  2. Agregue MSSP y asigne un rol de administrador en el portal del cliente Cloud App Security MSSP mediante los pasos descritos en Agregar administradores adicionales. Proporcione la misma dirección de correo electrónico externa que se usa al agregarlos como invitados en el directorio del cliente de MSSP.

Acceso de los MSSP al portal de Cloud App Security MSSP

De forma predeterminada, los MSSP acceden a Cloud App Security inquilino a través de la siguiente dirección URL: https://portal.cloudappsecurity.com .

Sin embargo, los MSSP tendrán que acceder al portal de Cloud App Security cliente de MSSP mediante una dirección URL específica del inquilino con el formato siguiente: https://portal.cloudappsecurity.com?tid=customer_tenant_id .

Los MSSP pueden seguir estos pasos para obtener el identificador de inquilino del portal de cliente de MSSP y, a continuación, usar el identificador para acceder a la dirección URL específica del inquilino:

  1. Como MSSP, inicie sesión en Azure AD con sus credenciales.

  2. Cambie el directorio al inquilino del cliente de MSSP.

  3. Seleccione Azure Active Directory > Propiedades. Encontrará el identificador de inquilino del cliente de MSSP en el campo Id. de inquilino.

  4. Acceda al portal del cliente de MSSP reemplazando el customer_tenant_id valor en la siguiente dirección URL: https://portal.cloudappsecurity.com?tid=customer_tenant_id .

Auditoría de actividad de administración

Cloud App Security permite exportar un registro de actividades de inicio de sesión de administrador y una auditoría de las vistas de un usuario específico o las alertas realizadas como parte de una investigación.

Para exportar un registro, realice los pasos siguientes:

  1. En la página Administrar acceso de administradores, seleccione Exportar actividades de administrador.

  2. Especifique el intervalo de tiempo necesario.

  3. Selecciona Export (Exportar).

Pasos siguientes