Gérer l’accès administrateurManage admin access

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security prend en charge le contrôle d’accès basé sur les rôles.Microsoft Cloud App Security supports role-based access control. Cet article explique comment définir l’accès au portail Cloud App Security pour vos administrateurs.This article provides instructions for setting access to the Cloud App Security portal for your admins. Pour plus d’informations sur l’attribution de rôles d’administrateur, consultez les articles pour Azure Active Directory (Azure AD) et Office 365.For more information about assigning administrator roles, see the articles for Azure Active Directory (Azure AD) and Office 365.

Important

Nous avons modifié le Flow pour l’ajout d’administrateurs externes à Cloud App Security.We have changed the flow for adding external admins to Cloud App Security. Pour plus d’informations, consultez inviter des administrateurs externes.For more information, see Invite external admins.

Rôles Office 365 et Azure AD avec accès à Cloud App SecurityOffice 365 and Azure AD roles with access to Cloud App Security

Notes

Les rôles Office 365 et Azure AD ne sont pas listés dans la page Cloud App Security gérer l’accès administrateur .Office 365 and Azure AD roles aren't listed in the Cloud App Security Manage admin access page. Pour affecter des rôles dans Office 365 ou Azure Active Directory, accédez aux paramètres RBAC appropriés pour ce service.To assign roles in Office 365 or Azure Active Directory, go to the relevant RBAC settings for that service.

Par défaut, les rôles d’administrateur Office 365 et Azure ad suivants ont accès à Cloud App Security :By default, the following Office 365 and Azure AD admin roles have access to Cloud App Security:

  • Administrateur général et administrateur de sécurité: les administrateurs disposant d’un accès complet disposent d’autorisations complètes dans Cloud App Security.Global administrator and Security administrator: Administrators with Full access have full permissions in Cloud App Security. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres, charger des journaux et effectuer des actions de gouvernance, accéder aux agents SIEM et les gérer.They can add admins, add policies and settings, upload logs and perform governance actions, access and manage SIEM agents.

  • Administrateur de conformité: dispose d’autorisations en lecture seule et peut gérer les alertes.Compliance administrator: Has read-only permissions and can manage alerts. Impossible d’accéder aux recommandations de sécurité pour les plateformes Cloud.Can't access Security recommendations for cloud platforms. Peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichier et afficher tous les rapports intégrés sous Gestion des données.Can create and modify file policies, allow file governance actions, and view all the built-in reports under Data Management.

  • Administrateur des données de conformité: dispose d’autorisations en lecture seule, peut créer et modifier des stratégies de fichier, autoriser des actions de gouvernance de fichiers et afficher tous les rapports de découverte.Compliance data administrator: Has read-only permissions, can create and modify file policies, allow file governance actions, and view all discovery reports. Impossible d’accéder aux recommandations de sécurité pour les plateformes Cloud.Can't access Security recommendations for cloud platforms.

  • Opérateur de sécurité et lecteur de sécurité: disposent d’autorisations en lecture seule et peuvent gérer les alertes.Security operator and Security reader: Have read-only permissions and can manage alerts. Ces administrateurs ne sont pas autorisés à exécuter les actions suivantes :These admins are restricted from doing the following actions:

    • Créer des stratégies ou modifier et changer des stratégies existantesCreate policies or edit and change existing ones
    • Effectuer des actions de gouvernancePerforming any governance actions
    • Charger des journaux de découverteUploading discovery logs
    • Interdire ou approuver des applications tiercesBanning or approving third-party apps
    • Accéder à la page de paramètres de la plage d’adresses IPAccessing and viewing the IP address range settings page
    • Accès et affichage des pages de paramètres systèmeAccessing and viewing any system settings pages
    • Accéder aux paramètres de découverteAccessing and viewing the Discovery settings
    • Accéder à la page de connecteurs d’applicationAccessing and viewing the App connectors page
    • Accéder au journal de gouvernanceAccessing and viewing the Governance log
    • Accéder à la page Gérer des rapports d’instantanésAccessing and viewing the Manage snapshot reports page
    • Accès et affichage des agents SIEMAccessing and viewing SIEM agents
  • Lecteur global: dispose d’un accès complet en lecture seule à tous les aspects de Cloud App Security.Global reader: Has full read-only access to all aspects of Cloud App Security. Impossible de modifier des paramètres ou d’effectuer des actions.Can't change any settings or take any actions.

Rôles d’administrateur Cloud App Security intégrésBuilt-in Cloud App Security admin roles

Les Cloud App Security rôles d’administrateur spécifiques suivants peuvent être configurés dans le portail Cloud App Security :The following Cloud App Security specific admin roles can be configured in the Cloud App Security portal:

  • Administrateur d’application/d’instance: dispose d’autorisations complètes ou en lecture seule pour toutes les données de Cloud App Security qui traitent exclusivement de l’application ou de l’instance spécifique d’une application sélectionnée.App/instance admin: Has full or read-only permissions to all of the data in Cloud App Security that deals exclusively with the specific app or instance of an app selected. Par exemple, vous accordez à un utilisateur l’autorisation d’administrateur sur votre instance de Box European.For example, you give a user admin permission to your Box European instance. L’administrateur verra uniquement les données qui sont liées à l’instance de Box European, qu’il s’agisse de fichiers, d’activités, de stratégies ou d’alertes :The admin will see only data that relates to the Box European instance, whether it's files, activities, policies, or alerts:

    • Page des activités : seules les activités concernant l’application spécifiqueActivities page - Only activities about the specific app
    • Alertes : seules les alertes relatives à l’application spécifiqueAlerts - Only alerts relating to the specific app
    • Stratégies : peut afficher toutes les stratégies et, si des autorisations complètes sont attribuées, modifier ou créer uniquement les stratégies qui traitent exclusivement avec l’application/l’instancePolicies - Can view all policies and if assigned full permissions can edit or create only policies that deal exclusively with the app/instance
    • Page Comptes : seuls les comptes de l’application/instance spécifiqueAccounts page - Only accounts for the specific app/instance
    • Autorisations d’application : seules les autorisations pour l’application/instance spécifiqueApp permissions - Only permissions for the specific app/instance
    • Page des fichiers : seuls les fichiers de l’application/instance spécifiqueFiles page - Only files from the specific app/instance
    • Contrôle d’accès conditionnel aux applications : aucune autorisationConditional Access App Control - No permissions
    • Activité Cloud Discovery : aucune autorisationCloud Discovery activity - No permissions
    • Extensions de sécurité : autorisations uniquement pour le jeton d’API avec des autorisations utilisateurSecurity extensions - Only permissions for API token with user permissions
    • Actions de gouvernance : uniquement pour l’application/instance spécifiqueGovernance actions - Only for the specific app/instance
    • Recommandations de sécurité pour les plateformes Cloud-aucune autorisationSecurity recommendations for cloud platforms - No permissions
  • Administrateur du groupe d’utilisateurs: dispose d’autorisations complètes ou en lecture seule pour toutes les données de Cloud App Security qui traitent exclusivement des groupes spécifiques qui leur sont affectés.User group admin: Has full or read-only permissions to all of the data in Cloud App Security that deals exclusively with the specific groups assigned to them. Par exemple, si vous attribuez des autorisations d’administrateur d’utilisateur au groupe « Germany-tous les utilisateurs », l’administrateur peut afficher et modifier les informations dans Cloud App Security uniquement pour ce groupe d’utilisateurs.For example, if you assign a user admin permissions to the group "Germany - all users", the admin can view and edit information in Cloud App Security only for that user group. L’administrateur du groupe d’utilisateurs a l’accès suivant :The User group admin has the following access:

    • Page des activités : seules les activités concernant les utilisateurs dans le groupeActivities page - Only activities about the users in the group

    • Alertes : seules les alertes relatives aux utilisateurs dans le groupeAlerts - Only alerts relating to the users in the group

    • Stratégies : peut afficher toutes les stratégies et, si des autorisations complètes sont attribuées, modifier ou créer uniquement les stratégies qui concernent exclusivement les utilisateurs du groupe.Policies - Can view all policies and if assigned full permissions can edit or create only policies that deal exclusively with users in the group

    • Page Comptes : seuls les comptes pour les utilisateurs spécifiques dans le groupeAccounts page - Only accounts for the specific users in the group

    • Autorisations d’application : aucune autorisationApp permissions – No permissions

    • Page Fichiers : aucune autorisationFiles page – No permissions

    • Contrôle d’accès conditionnel aux applications : aucune autorisationConditional Access App Control - No permissions

    • Activité Cloud Discovery : aucune autorisationCloud Discovery activity - No permissions

    • Extensions de sécurité : autorisations uniquement pour le jeton d’API avec les utilisateurs du groupeSecurity extensions - Only permissions for API token with users in the group

    • Actions de gouvernance : uniquement pour les utilisateurs spécifiques dans le groupeGovernance actions - Only for the specific users in the group

    • Recommandations de sécurité pour les plateformes Cloud-aucune autorisationSecurity recommendations for cloud platforms - No permissions

      Notes

      • Pour affecter des groupes aux administrateurs de groupe d’utilisateurs, vous devez d’abord importer des groupes d’utilisateurs à partir d’applications connectées.To assign groups to user group admins, you must first import user groups from connected apps.
      • Vous pouvez uniquement affecter des autorisations Admins du groupe d’utilisateurs aux groupes de Azure AD importés.You can only assign user group admins permissions to imported Azure AD groups.
  • Cloud Discovery administrateur général: a l’autorisation d’afficher et de modifier tous les paramètres et données Cloud Discovery.Cloud Discovery global admin: Has permission to view and edit all Cloud Discovery settings and data. L’administrateur de la découverte globale a l’accès suivant :The Global Discovery admin has the following access:

    • ParamètresSettings
      • Paramètres du système - Affichage uniquementSystem settings - View only
      • Paramètres Cloud Discovery - Tout afficher et modifier (les autorisations d’anonymisation dépendent de l’autorisation de celle-ci lors de l’attribution de rôle)Cloud Discovery settings - View and edit all (anonymization permissions depend on whether it was allowed during role assignment)
    • Activité Cloud Discovery - Autorisations complètesCloud Discovery activity - full permissions
    • Alertes - Seules les alertes liées aux données Cloud DiscoveryAlerts - only alerts related to Cloud Discovery data
    • Stratégies - Peut afficher toutes les stratégies et peut modifier ou créer uniquement des stratégies Cloud DiscoveryPolicies - Can view all policies and can edit or create only Cloud Discovery policies
    • Page Activités - Aucune autorisationActivities page - No permissions
    • Page Comptes - Aucune autorisationAccounts page - No permissions
    • Autorisations d’application : aucune autorisationApp permissions – No permissions
    • Page Fichiers : aucune autorisationFiles page – No permissions
    • Contrôle d’accès conditionnel aux applications : aucune autorisationConditional Access App Control - No permissions
    • Extensions de sécurité-création et suppression de leurs propres jetons d’APISecurity extensions - Creating and deleting their own API tokens
    • Actions liées à la gouvernance - Cloud Discovery uniquementGovernance actions - Only Cloud Discovery related actions
    • Recommandations de sécurité pour les plateformes Cloud-aucune autorisationSecurity recommendations for cloud platforms - No permissions
  • Cloud Discovery administrateur de rapports: dispose des autorisations pour afficher toutes les données dans Cloud App Security qui traitent exclusivement des rapports d’Cloud Discovery spécifiques sélectionnés.Cloud Discovery report admin: Has permissions to view all the data in Cloud App Security that deals exclusively with the specific Cloud Discovery reports selected. Par exemple, vous pouvez accorder à quelqu’un d’administrateur le rapport continu à partir de Microsoft Defender pour point de terminaison.For example, you can give someone admin permission to the continuous report from Microsoft Defender for Endpoint. L’administrateur de la découverte verra uniquement les données de Cloud Discovery relatives à cette source de données et au catalogue d’applications.The Discovery admin will see only the Cloud Discovery data that relates to that data source and to the app catalog. Cet administrateur n’aura pas accès aux pages des activités, des fichiers ou des recommandations de sécurité et à un accès limité aux stratégies.This admin won't have access to the Activities, Files, or Security recommendations pages and limited access to policies.

Notes

Les rôles d’administrateur de Cloud App Security intégrés fournissent uniquement des autorisations d’accès à Cloud App Security.The built-in Cloud App Security admin roles only provide access permissions to Cloud App Security.

Remplacer les autorisations d’administrateurOverride admin permissions

Si vous souhaitez remplacer l’autorisation d’un administrateur de Azure AD ou Office 365, vous pouvez le faire en ajoutant manuellement l’utilisateur à Cloud App Security et en affectant les autorisations de l’utilisateur.If you want to override an administrator's permission from Azure AD or Office 365, you can do so by manually adding the user to Cloud App Security and assigning the user permissions. Par exemple, si vous souhaitez affecter à Stéphanie, qui est un lecteur de sécurité dans Azure AD pour avoir un accès total dans Cloud App Security, vous pouvez l’ajouter manuellement à Cloud App Security et lui affecter un accès complet pour remplacer son rôle et lui accorder les autorisations nécessaires dans Cloud App Security.For example, if you want to assign Stephanie, who is a Security reader in Azure AD to have Full access in Cloud App Security, you can add her manually to Cloud App Security and assign her Full access to override her role and allow her the necessary permissions in Cloud App Security.

Ajouter des administrateurs supplémentairesAdd additional admins

Vous pouvez ajouter des administrateurs supplémentaires à Cloud App Security sans ajouter d’utilisateurs aux rôles d’administration Azure AD.You can add additional admins to Cloud App Security without adding users to Azure AD administrative roles. Pour ajouter des administrateurs, procédez comme suit :To add additional admins, perform the following steps:

Important

Seuls les administrateurs généraux ou de sécurité peuvent accorder l’accès à Cloud App Security à d’autres utilisateurs.Only Global administrators or Security administrators can grant access to other users to Cloud App Security.

  1. Sélectionnez l’icône Paramètres roue dentée paramètres , puis gérer l’accès administrateur.Select the settings cog settings icon and then Manage admin access.

  2. Sélectionnez l’icône plus pour ajouter les administrateurs qui doivent avoir accès à Cloud App Security.Select the plus icon to add the admins who should have access to Cloud App Security. Fournissez l’adresse de messagerie d’un utilisateur au sein de votre organisation.Provide an email address of a user from inside your organization.

    Notes

    Si vous souhaitez ajouter des fournisseurs de services de sécurité managés externes (MSSPs) en tant qu’administrateurs de votre portail Cloud App Security, veillez à les inviter d’abord en tant qu’invité de votre organisation.If you want to add external Managed Security Service Providers (MSSPs) as administrators of your Cloud App Security portal, make sure you first invite them as a guest to your organization.

    ajouter des administrateurs

  3. Ensuite, sélectionnez la liste déroulante pour définir le type de rôle de l’administrateur, l' administrateur général, le lecteur de sécurité, l' administrateur de la conformité, l’administrateur de l' application/ de l’instance, l' administrateur du groupe d’utilisateurs, l’administrateur général Cloud Discovery ou Cloud Discovery administrateur de rapports. Si vous sélectionnez administrateur d’application/d’instance, sélectionnez l’application et l’instance de pour l’administrateur pour lesquelles des autorisations doivent être définies.Next, select the drop-down to set what type of role the admin has, Global admin, Security reader, Compliance admin, App/Instance admin, User group admin, Cloud Discovery global admin, or Cloud Discovery report admin. If you select App/Instance admin, select the app and instance for the admin to have permissions for.

    Notes

    Tout administrateur dont l’accès est limité et qui tente d’accéder à une page restreinte ou d’effectuer une action restreinte reçoit une erreur indiquant qu’il ne dispose pas des autorisations nécessaires pour accéder à la page ou effectuer l’action.Any admin, whose access is limited, that attempts to access a restricted page or perform a restricted action will receive an error that they don't have permission to access the page or perform the action.

  4. Sélectionnez Ajouter un administrateur.Select Add admin.

Inviter des administrateurs externesInvite external admins

Cloud App Security vous permet d’inviter des administrateurs externes (MSSPs) en tant qu’administrateurs du portail de Cloud App Security du client (client MSSP) de votre organisation.Cloud App Security enables you to invite external admins (MSSPs) as administrators of your organization's (MSSP customer) Cloud App Security portal. Pour ajouter MSSPs, assurez-vous que Cloud App Security est activé sur le locataire MSSPs, puis ajoutez-les en tant qu' utilisateurs Azure ad B2B collaboration dans le portail Azure clients MSSPs.To add MSSPs, make sure Cloud App Security is enabled on MSSPs tenant and then add them as Azure AD B2B collaboration users in the MSSPs customers Azure portal. Une fois ajouté, MSSPs peut être configuré en tant qu’administrateurs et être affecté à l’un des rôles disponibles dans Cloud App Security.Once added, MSSPs can be configured as administrators and assigned any of the roles available in Cloud App Security.

Pour ajouter MSSPs au portail client MSSP Cloud App SecurityTo add MSSPs to the MSSP customer Cloud App Security portal

  1. Ajoutez MSSPs en tant qu’invité dans le répertoire du client MSSP à l’aide des étapes de la section Ajouter des utilisateurs invités au répertoire.Add MSSPs as a guest in the MSSP customer directory using the steps under Add guest users to the directory.
  2. Ajoutez MSSPs et affectez un rôle d’administrateur dans le portail de Cloud App Security client MSSP en suivant les étapes de la section Ajouter des administrateurs supplémentaires.Add MSSPs and assign an administrator role in the MSSP customer Cloud App Security portal using the steps under Add additional admins. Indiquez la même adresse e-mail externe que celle utilisée pour les ajouter en tant qu’invités dans le répertoire du client MSSP.Provide the same external email address used when adding them as guests in the MSSP customer directory.

Accès à MSSPs sur le portail client MSSP Cloud App SecurityAccess for MSSPs to the MSSP customer Cloud App Security portal

Par défaut, MSSPs accède à leur Cloud App Security locataire via l’URL suivante : https://portal.cloudappsecurity.com .By default, MSSPs access their Cloud App Security tenant through the following URL: https://portal.cloudappsecurity.com.

MSSPs Toutefois, vous devez accéder au portail du Cloud App Security client MSSP à l’aide d’une URL spécifique au locataire au format suivant : https://portal.cloudappsecurity.com?tid=customer_tenant_id .MSSPs however, will need to access the MSSP customer Cloud App Security portal using a tenant-specific URL in the following format: https://portal.cloudappsecurity.com?tid=customer_tenant_id.

MSSPs peut utiliser les étapes suivantes pour obtenir l’ID de locataire du portail client MSSP, puis utiliser l’ID pour accéder à l’URL spécifique du locataire :MSSPs can use the following steps to obtain the MSSP customer portal tenant ID and then use the ID to access the tenant-specific URL:

  1. En tant que MSSP, connectez-vous à Azure AD à l’aide de vos informations d’identification.As an MSSP, sign in to Azure AD with your credentials.

  2. Basculez le répertoire vers le locataire du client MSSP.Switch directory to the MSSP customer's tenant.

  3. Sélectionnez Azure Active Directory > Propriétés.Select Azure Active Directory > Properties. Vous trouverez l’ID de locataire client MSSP dans le champ ID de locataire .You'll find the MSSP customer tenant ID in the Tenant ID field.

  4. Accédez au portail client MSSP en remplaçant la customer_tenant_id valeur dans l’URL suivante : https://portal.cloudappsecurity.com?tid=customer_tenant_id .Access the MSSP customer portal by replacing the customer_tenant_id value in the following URL: https://portal.cloudappsecurity.com?tid=customer_tenant_id.

Audit des activités d’administrationAdmin activity auditing

Cloud App Security vous permet d’exporter un journal des activités de connexion administrateur et un audit des affichages d’un utilisateur spécifique ou des alertes effectuées dans le cadre d’une investigation.Cloud App Security lets you export a log of admin sign-in activities and an audit of views of a specific user or alerts carried out as part of an investigation.

Pour exporter un journal, procédez comme suit :To export a log, perform the following steps:

  1. Dans la page gérer l’accès aux administrateurs , sélectionnez Exporter les activités d’administration.In the Manage admins access page, select Export admin activities.

  2. Spécifiez l’intervalle de temps requis.Specify the required time range.

  3. Sélectionnez Exporter.Select Export.

Étapes suivantesNext steps