Gérer l’accès administrateur

Notes

  • Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender. Le portail Microsoft 365 Defender permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité dans un emplacement unique. Cela simplifie les flux de travail et ajoute les fonctionnalités des autres services Microsoft 365 Defender. Microsoft 365 Defender sera l’accueil de la surveillance et de la gestion de la sécurité sur vos identités, données, appareils, applications et infrastructure Microsoft. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

Microsoft Defender for Cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Cet article fournit des instructions pour définir l’accès au portail Defender pour le cloud Apps pour vos administrateurs. Pour plus d’informations sur l’attribution de rôles d’administrateur, consultez les articles pour Azure Active Directory (Azure AD) et Office 365.

rôles Office 365 et Azure AD avec accès à Defender pour le cloud Apps

Notes

  • Office 365 et les rôles Azure AD ne sont pas répertoriés dans la page d’accès administrateur Defender pour le cloud Apps Manage. Pour attribuer des rôles dans Office 365 ou Azure Active Directory, accédez aux paramètres RBAC appropriés pour ce service.
  • Defender pour le cloud Apps utilise Azure Active Directory pour déterminer le paramètre de délai d’inactivité au niveau du répertoire de l’utilisateur. Si un utilisateur est configuré dans Azure Active Directory pour ne jamais se déconnecter lorsqu’il est inactif, le même paramètre s’applique également dans Defender pour le cloud Apps.

Par défaut, les rôles d’administrateur Office 365 et Azure AD suivants ont accès à Defender pour le cloud Apps :

  • Administrateur général et administrateur de sécurité : les administrateurs disposant d’un accès complet disposent d’autorisations complètes dans Defender pour le cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres, charger des journaux et effectuer des actions de gouvernance, accéder et gérer des agents SIEM.

  • Sécurité des applications infonuagiques administrateur : autorise l’accès complet et les autorisations dans Defender pour le cloud Apps. Ce rôle accorde des autorisations complètes à Defender pour le cloud Apps, comme le rôle Azure AD Administrateur général. Toutefois, ce rôle est limité à Defender pour le cloud Apps et n’accorde pas d’autorisations complètes sur d’autres produits de sécurité Microsoft.

  • Administrateur de conformité : dispose d’autorisations en lecture seule et peut gérer les alertes. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud. Peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichier et afficher tous les rapports intégrés sous Gestion des données.

  • Administrateur des données de conformité : dispose d’autorisations en lecture seule, peut créer et modifier des stratégies de fichiers, autoriser les actions de gouvernance des fichiers et afficher tous les rapports de découverte. Impossible d’accéder aux recommandations de sécurité pour les plateformes cloud.

  • Opérateur de sécurité et lecteur de sécurité : disposez d’autorisations en lecture seule et pouvez gérer les alertes. Ces administrateurs ne peuvent pas effectuer les actions suivantes :

    • Créer des stratégies ou modifier et changer des stratégies existantes
    • Effectuer des actions de gouvernance
    • Charger des journaux de découverte
    • Interdire ou approuver des applications tierces
    • Accéder à la page de paramètres de la plage d’adresses IP
    • Accès et affichage des pages de paramètres système
    • Accéder aux paramètres de découverte
    • Accéder à la page de connecteurs d’application
    • Accéder au journal de gouvernance
    • Accéder à la page Gérer des rapports d’instantanés
    • Accès et affichage des agents SIEM
  • Lecteur global : dispose d’un accès en lecture seule à tous les aspects de Defender pour le cloud Apps. Impossible de modifier les paramètres ou d’effectuer des actions.

Rôles et autorisations

Autorisations Administrateur général Administrateur de la sécurité Administration de conformité Données de conformité Administration Opérateur de sécurité Lecteur Sécurité Lecteur général Administration PBI administrateur Sécurité des applications infonuagiques
Lire des alertes
Gérer les alertes
Lire des applications OAuth
Effectuer des actions d’application OAuth
Accéder aux applications découvertes, au catalogue d’applications cloud et à d’autres données cloud discovery
Effectuer des actions de découverte cloud
Accéder aux données et stratégies de fichiers
Effectuer des actions de fichier
Journal de gouvernance d’accès
Effectuer des actions de journal de gouvernance
Journal de gouvernance de la découverte étendue d’accès
Lire les stratégies
Effectuer toutes les actions de stratégie
Effectuer des actions de stratégie de fichier
Effectuer des actions de stratégie OAuth
Afficher la gestion de l’accès administrateur
Gérer la confidentialité des administrateurs et des activités

Rôles d’administrateur intégrés dans Defender pour le cloud Apps

Les rôles d’administrateur spécifiques suivants peuvent être configurés dans le portail applications Defender pour le cloud :

  • Administrateur général : dispose d’un accès complet similaire au rôle Administrateur général Azure AD, mais uniquement aux applications Defender pour le cloud.

  • Administrateur de conformité : accorde les mêmes autorisations que le rôle d’administrateur de conformité Azure AD, mais uniquement aux applications Defender pour le cloud.

  • Lecteur de sécurité : accorde les mêmes autorisations que le rôle lecteur de sécurité Azure AD, mais uniquement aux applications Defender pour le cloud.

  • Administrateur d’application/instance : dispose d’autorisations complètes ou en lecture seule pour toutes les données dans Defender pour le cloud Applications qui traitent exclusivement de l’application ou de l’instance spécifique d’une application sélectionnée. Par exemple, vous accordez à un utilisateur l’autorisation d’administrateur sur votre instance de Box European. L’administrateur verra uniquement les données qui sont liées à l’instance de Box European, qu’il s’agisse de fichiers, d’activités, de stratégies ou d’alertes :

    • Page des activités : seules les activités concernant l’application spécifique
    • Alertes : seules les alertes relatives à l’application spécifique
    • Stratégies : peut afficher toutes les stratégies et si les autorisations complètes affectées peuvent modifier ou créer uniquement des stratégies qui traitent exclusivement avec l’application/instance
    • Page Comptes : seuls les comptes de l’application/instance spécifique
    • Autorisations d’application : seules les autorisations pour l’application/instance spécifique
    • Page des fichiers : seuls les fichiers de l’application/instance spécifique
    • Contrôle d’accès conditionnel aux applications : aucune autorisation
    • Activité Cloud Discovery : aucune autorisation
    • Extensions de sécurité - Autorisations uniquement pour le jeton d’API avec des autorisations utilisateur
    • Actions de gouvernance : uniquement pour l’application/instance spécifique
    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Administrateur de groupe d’utilisateurs : dispose d’autorisations complètes ou en lecture seule pour toutes les données dans Defender pour le cloud Applications qui traitent exclusivement avec les groupes spécifiques auxquels ils sont affectés. Par exemple, si vous attribuez des autorisations d’administrateur utilisateur au groupe « Allemagne - tous les utilisateurs », l’administrateur peut afficher et modifier des informations dans Defender pour le cloud Applications uniquement pour ce groupe d’utilisateurs. L’administrateur du groupe d’utilisateurs dispose de l’accès suivant :

    • Page des activités : seules les activités concernant les utilisateurs dans le groupe

    • Alertes : seules les alertes relatives aux utilisateurs dans le groupe

    • Stratégies : peut afficher toutes les stratégies et si les autorisations complètes affectées peuvent modifier ou créer uniquement des stratégies qui traitent exclusivement avec les utilisateurs du groupe

    • Page Comptes : seuls les comptes pour les utilisateurs spécifiques dans le groupe

    • Autorisations d’application : aucune autorisation

    • Page Fichiers : aucune autorisation

    • Contrôle d’accès conditionnel aux applications : aucune autorisation

    • Activité Cloud Discovery : aucune autorisation

    • Extensions de sécurité : autorisations uniquement pour le jeton d’API avec les utilisateurs du groupe

    • Actions de gouvernance : uniquement pour les utilisateurs spécifiques dans le groupe

    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation

      Notes

      • Pour affecter des groupes aux administrateurs de groupes d’utilisateurs, vous devez d’abord importer des groupes d’utilisateurs à partir d’applications connectées.
      • Vous pouvez uniquement affecter des autorisations d’administrateur de groupe d’utilisateurs aux groupes Azure AD importés.
  • Administrateur général cloud Discovery : dispose de l’autorisation d’afficher et de modifier tous les paramètres et données Cloud Discovery. L’administrateur de découverte globale a l’accès suivant :

    • Paramètres
      • Paramètres du système - Affichage uniquement
      • Paramètres Cloud Discovery - Tout afficher et modifier (les autorisations d’anonymisation dépendent de l’autorisation de celle-ci lors de l’attribution de rôle)
    • Activité Cloud Discovery - Autorisations complètes
    • Alertes - Seules les alertes liées aux données Cloud Discovery
    • Stratégies - Peut afficher toutes les stratégies et peut modifier ou créer uniquement des stratégies Cloud Discovery
    • Page Activités - Aucune autorisation
    • Page Comptes - Aucune autorisation
    • Autorisations d’application : aucune autorisation
    • Page Fichiers : aucune autorisation
    • Contrôle d’accès conditionnel aux applications : aucune autorisation
    • Extensions de sécurité - Création et suppression de leurs propres jetons d’API
    • Actions liées à la gouvernance - Cloud Discovery uniquement
    • Recommandations de sécurité pour les plateformes cloud - Aucune autorisation
  • Administrateur de rapports Cloud Discovery : dispose des autorisations nécessaires pour afficher toutes les données dans Defender pour le cloud Apps qui traitent exclusivement des rapports Cloud Discovery spécifiques sélectionnés. Par exemple, vous pouvez accorder à quelqu’un l’autorisation d’administrateur au rapport continu de Microsoft Defender pour point de terminaison. L’administrateur discovery voit uniquement les données Cloud Discovery qui sont liées à cette source de données et au catalogue d’applications. Cet administrateur n’a pas accès aux pages Activités, Fichiers ou Recommandations de sécurité et accès limité aux stratégies.

Notes

Les rôles d’administrateur Defender pour le cloud Applications intégrés fournissent uniquement des autorisations d’accès aux applications Defender pour le cloud.

Remplacer les autorisations d’administrateur

Si vous souhaitez remplacer l’autorisation d’un administrateur à partir d’Azure AD ou de Office 365, vous pouvez le faire manuellement en ajoutant l’utilisateur à Defender pour le cloud Apps et en affectant les autorisations de l’utilisateur. Par exemple, si vous souhaitez affecter Stephanie, qui est un lecteur de sécurité dans Azure AD pour avoir un accès total dans Defender pour le cloud Apps, vous pouvez l’ajouter manuellement à Defender pour le cloud Apps et lui attribuer un accès complet pour remplacer son rôle et lui permettre les autorisations nécessaires dans Defender pour le cloud Apps. Notez qu’il n’est pas possible de remplacer les rôles Azure AD qui accordent un accès complet (Administrateur général, administrateur de sécurité et administrateur Sécurité des applications infonuagiques).

Ajouter des administrateurs supplémentaires

Vous pouvez ajouter des administrateurs supplémentaires à Defender pour le cloud Apps sans ajouter d’utilisateurs aux rôles d’administration Azure AD. Pour ajouter des administrateurs, procédez comme suit :

Important

  • L’accès à la page Gérer l’accès administrateur est disponible pour les membres des administrateurs généraux, administrateurs de sécurité, administrateurs de conformité, administrateurs de données de conformité, opérateurs de sécurité, lecteurs de sécurité et groupes lecteurs généraux.
  • Seuls les administrateurs généraux Azure AD ou les administrateurs de sécurité peuvent modifier la page Gérer l’accès administrateur et accorder à d’autres utilisateurs l’accès à Defender pour le cloud Apps.
  1. Sélectionnez l’engrenage settings icon. des paramètres, puis gérez l’accès administrateur.

  2. Sélectionnez l’icône plus pour ajouter les administrateurs qui doivent avoir accès à Defender pour le cloud Apps. Fournissez une adresse e-mail d’un utilisateur à partir de votre organisation.

    Notes

    Si vous souhaitez ajouter des fournisseurs de services de sécurité managés externes (MSSPs) en tant qu’administrateurs du portail Defender pour le cloud Applications, veillez à les inviter d’abord en tant qu’invité à votre organisation.

    add admins.

  3. Ensuite, sélectionnez la liste déroulante pour définir le type de rôle que l’administrateur a, l’administrateur général, le lecteur de sécurité, l’administrateur de conformité, l’administrateur d’application/instance, l’administrateur du groupe d’utilisateurs, l’administrateur général Cloud Discovery ou l’administrateur de rapport Cloud Discovery. Si vous sélectionnez l’administrateur d’application/instance, sélectionnez l’application et l’instance pour que l’administrateur dispose des autorisations nécessaires.

    Notes

    Tout administrateur dont l’accès est limité et qui tente d’accéder à une page restreinte ou d’effectuer une action restreinte reçoit une erreur indiquant qu’il ne dispose pas des autorisations nécessaires pour accéder à la page ou effectuer l’action.

  4. Sélectionnez Ajouter un administrateur.

Inviter des administrateurs externes

Defender pour le cloud Apps vous permet d’inviter des administrateurs externes (MSSPs) en tant qu’administrateurs du Defender pour le cloud portail Applications de votre organisation. Pour ajouter msSPs, assurez-vous que Defender pour le cloud Apps est activé sur le locataire MSSPs, puis ajoutez-les en tant qu’utilisateurs Azure AD B2B Collaboration dans les clients MSSPs Portail Azure. Une fois ajoutés, les MSSPs peuvent être configurés en tant qu’administrateurs et affectés à l’un des rôles disponibles dans Defender pour le cloud Apps.

Pour ajouter MSSPs au portail des applications Defender pour le cloud du client MSSP

  1. Ajoutez MSSPs en tant qu’invité dans l’annuaire client MSSP à l’aide des étapes décrites sous Ajouter des utilisateurs invités à l’annuaire.
  2. Ajoutez des services MSSP et attribuez un rôle d’administrateur dans le portail msSP Defender pour le cloud Apps à l’aide des étapes décrites dans Ajouter des administrateurs supplémentaires. Fournissez la même adresse e-mail externe utilisée lors de leur ajout en tant qu’invités dans l’annuaire client MSSP.

Accès aux services MSSP au portail des applications Defender pour le cloud du client MSSP

Par défaut, les msSPs accèdent à leur locataire Defender pour le cloud Apps via l’URL suivante : https://portal.cloudappsecurity.com

Toutefois, les services MSSP devront accéder au portail msSP Defender pour le cloud Apps à l’aide d’une URL spécifique au locataire au format suivant : https://portal.cloudappsecurity.com?tid=customer_tenant_id

MsSPs peut utiliser les étapes suivantes pour obtenir l’ID de locataire du portail client MSSP, puis utiliser l’ID pour accéder à l’URL spécifique au locataire :

  1. En tant que MSSP, connectez-vous à Azure AD avec vos informations d’identification.

  2. Basculez le répertoire vers le locataire du client MSSP.

  3. Sélectionnez Azure Active Directory>Propriétés. Vous trouverez l’ID de locataire client MSSP dans le champ ID de locataire .

  4. Accédez au portail client MSSP en remplaçant la customer_tenant_id valeur dans l’URL suivante : https://portal.cloudappsecurity.com?tid=customer_tenant_id

audit d’activité Administration

Defender pour le cloud Apps vous permet d’exporter un journal des activités de connexion administrateur et un audit des vues d’un utilisateur ou d’alertes spécifiques effectués dans le cadre d’une enquête.

Pour exporter un journal, procédez comme suit :

  1. Dans la page Gérer l’accès aux administrateurs , sélectionnez Exporter les activités d’administrateur.

  2. Spécifiez l’intervalle de temps requis.

  3. Sélectionnez Exporter.

Étapes suivantes