Rendszergazdai hozzáférés kezelése

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

  • Microsoft Defender for Cloud Apps most már a Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen végezhetik el a biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a Microsoft-identitások, -adatok, -eszközök, -alkalmazások és -infrastruktúra biztonságának figyelése és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

Microsoft Defender for Cloud Apps támogatja a szerepköralapú hozzáférés-vezérlést. Ez a cikk útmutatást nyújt a Felhőhöz készült Defender Alkalmazások portálhoz való hozzáférés beállításához a rendszergazdák számára. A rendszergazdai szerepkörök hozzárendeléséről további információt a Azure Active Directory (Azure AD) és Office 365 című cikkekben talál.

Felhőhöz készült Defender-alkalmazásokhoz hozzáféréssel rendelkező szerepkörök Office 365 és Azure AD

Megjegyzés

  • Office 365 és Azure AD szerepkörök nem jelennek meg az Felhőhöz készült Defender Alkalmazások kezelése rendszergazdai hozzáférési lapon. A szerepkörök Office 365 vagy Azure Active Directory való hozzárendeléséhez lépjen az adott szolgáltatáshoz tartozó RBAC-beállításokhoz.
  • Felhőhöz készült Defender Alkalmazások Azure Active Directory segítségével határozzák meg a felhasználó címtárszintű inaktivitási időtúllépési beállítását. Ha egy felhasználó úgy van konfigurálva Azure Active Directory, hogy inaktív állapotban soha ne jelentkezzen ki, ugyanez a beállítás Felhőhöz készült Defender Appsben is érvényes lesz.

Alapértelmezés szerint a következő Office 365 és Azure AD rendszergazdai szerepkörök rendelkeznek hozzáféréssel az Felhőhöz készült Defender Apps szolgáltatáshoz:

  • globális rendszergazda és biztonsági rendszergazda: A teljes hozzáféréssel rendelkező rendszergazdák teljes körű engedélyekkel rendelkeznek az Felhőhöz készült Defender Apps szolgáltatásban. Hozzáadhatnak rendszergazdákat, házirendeket és beállításokat adhatnak hozzá, naplókat tölthetnek fel, irányítási műveleteket hajthatnak végre, hozzáférhetnek és kezelhetik a SIEM-ügynököket.

  • Felhőappbiztonság rendszergazda: Engedélyezi a teljes hozzáférést és engedélyeket az Felhőhöz készült Defender Appsben. Ez a szerepkör teljes körű engedélyeket biztosít az Felhőhöz készült Defender-alkalmazásokhoz, például a Azure AD globális rendszergazda szerepkörhöz. Ez a szerepkör azonban Felhőhöz készült Defender-alkalmazásokra terjed ki, és nem ad teljes körű engedélyeket más Microsoft biztonsági termékekhez.

  • Megfelelőségi rendszergazda: Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat. A felhőplatformokra vonatkozó biztonsági javaslatok nem érhetők el. Fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes beépített jelentést a adatkezelés alatt.

  • Megfelelőségi adatok rendszergazdája: Írásvédett engedélyekkel rendelkezik, fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes felderítési jelentést. A felhőplatformokra vonatkozó biztonsági javaslatok nem érhetők el.

  • Biztonsági operátor és biztonsági olvasó: Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat. Ezek a rendszergazdák nem végezhetik el a következő műveleteket:

    • Új szabályzatok létrehozása és létező szabályzatok szerkesztése vagy módosítása
    • Bármilyen irányítási művelet elvégzése
    • Felderítési naplók feltöltése
    • Harmadik féltől származó alkalmazások tiltása vagy jóváhagyása
    • Az IP-címtartományok beállítási oldalának elérése és megtekintése
    • A rendszerbeállítások lapjainak elérése és megtekintése
    • A felderítési beállítások elérése és megtekintése
    • Az Alkalmazás-összekötők lap elérése és megtekintése
    • Az Irányítási napló elérése és megtekintése
    • A Pillanatkép-jelentések kezelése oldal elérése és megtekintése
    • SIEM-ügynökök elérése és megtekintése
  • Globális olvasó: Teljes írásvédett hozzáféréssel rendelkezik a Felhőhöz készült Defender Apps minden aspektusához. A beállítások nem módosíthatók, és nem hajthatók végre műveletek.

Szerepkörök és engedélyek

Engedélyek Globális rendszergazda Biztonsági rendszergazda Megfelelőségi Rendszergazda Megfelelőségi adatok Rendszergazda Biztonsági operátor Biztonsági olvasó Globális olvasó PBI-Rendszergazda Felhőappbiztonság rendszergazda
Riasztások olvasása
Riasztások kezelése
OAuth-alkalmazások olvasása
OAuth-alkalmazásműveletek végrehajtása
Hozzáférés a felderített alkalmazásokhoz, a felhőalkalmazás-katalógushoz és más felhőfelderítési adatokhoz
Felhőfelderítési műveletek végrehajtása
Fájladatok és fájlszabályzatok elérése
Fájlműveletek végrehajtása
Hozzáférés a cégirányítási naplóhoz
Cégirányítási naplóműveletek végrehajtása
Hozzáférés hatókörön belüli felderítési irányítási napló
Házirendek olvasása
Az összes szabályzatművelet végrehajtása
Fájlszabályzat-műveletek végrehajtása
OAuth-szabályzatműveletek végrehajtása
Rendszergazdai hozzáférés kezelése
Rendszergazdák és a tevékenységek adatainak kezelése

Beépített rendszergazdai szerepkörök az Felhőhöz készült Defender Apps szolgáltatásban

Az alábbi rendszergazdai szerepkörök konfigurálhatók az Felhőhöz készült Defender Apps portálon:

  • globális rendszergazda: Teljes hozzáféréssel rendelkezik a Azure AD globális rendszergazda szerepkörhöz, de csak az Felhőhöz készült Defender-alkalmazásokhoz.

  • Megfelelőségi rendszergazda: Ugyanazokat az engedélyeket adja meg, mint a Azure AD megfelelőségi rendszergazdai szerepkör, de csak az alkalmazások Felhőhöz készült Defender.

  • Biztonsági olvasó: Ugyanazokat az engedélyeket adja meg, mint a Azure AD Biztonsági olvasó szerepkör, de csak az alkalmazások Felhőhöz készült Defender.

  • Alkalmazás-/példányadminisztrátor: Teljes vagy csak olvasási engedélyekkel rendelkezik az Felhőhöz készült Defender Apps összes adatához, amely kizárólag a kiválasztott alkalmazással vagy alkalmazáspéldánysal foglalkozik. Például felhasználói rendszergazdai engedélyt ad a Box European-példányhoz. A rendszergazda csak a Box European-példányhoz kapcsolódó adatokat látja, legyen szó fájlokról, tevékenységekről, szabályzatokról vagy riasztásokról:

    • Tevékenységek lap – Csak az adott alkalmazással kapcsolatos tevékenységek
    • Riasztások – Csak az adott alkalmazáshoz kapcsolódó riasztások
    • Szabályzatok – Megtekintheti az összes szabályzatot, és ha a hozzárendelt teljes engedélyek csak az alkalmazással/példánnyal foglalkozó szabályzatokat szerkeszthetik vagy hozhatják létre
    • Fiókok lap – Csak az adott alkalmazáshoz/példányhoz tartozó fiókok
    • Alkalmazásengedélyek – Csak az adott alkalmazásra/példányra vonatkozó engedélyek
    • Fájlok lap – Csak az adott alkalmazásból/példányból származó fájlok
    • Feltételes hozzáférés alkalmazásvezérlése – Nincs engedély
    • Cloud Discovery-tevékenység – Nincs engedély
    • Biztonsági bővítmények – Csak felhasználói engedélyekkel rendelkező API-jogkivonat engedélyei
    • Cégirányítási műveletek – Csak az adott alkalmazáshoz/példányhoz
    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
  • Felhasználói csoport rendszergazdája: Teljes vagy írásvédett engedélyekkel rendelkezik az Felhőhöz készült Defender Apps összes adatához, amely kizárólag a hozzájuk rendelt csoportokkal foglalkozik. Ha például felhasználói rendszergazdai engedélyeket rendel a "Németország – minden felhasználó" csoporthoz, a rendszergazda csak az adott felhasználói csoporthoz tartozó Felhőhöz készült Defender-alkalmazásokban tekintheti meg és szerkesztheti az adatokat. A felhasználói csoport rendszergazdája a következő hozzáféréssel rendelkezik:

    • Tevékenységek lap – Csak a csoport felhasználóival kapcsolatos tevékenységek

    • Riasztások – Csak a csoport felhasználóival kapcsolatos riasztások

    • Szabályzatok – Megtekintheti az összes házirendet, és ha a hozzárendelt teljes engedélyek csak a csoport felhasználóival foglalkozó házirendeket szerkeszthetik vagy hozhatnak létre

    • Fiókok lap – Csak a csoport adott felhasználóinak fiókjai

    • Alkalmazásengedélyek – Nincs engedély

    • Fájlok lap – Nincs engedély

    • Feltételes hozzáférés alkalmazásvezérlése – Nincs engedély

    • Cloud Discovery-tevékenység – Nincs engedély

    • Biztonsági bővítmények – Csak API-jogkivonatra vonatkozó engedélyek a csoport felhasználóival

    • Cégirányítási műveletek – Csak a csoport adott felhasználói számára

    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély

      Megjegyzés

      • Ha csoportokat szeretne hozzárendelni a felhasználói csoport rendszergazdáihoz, először importálnia kell felhasználói csoportokat a csatlakoztatott alkalmazásokból.
      • Csak felhasználói csoport rendszergazdái engedélyeket rendelhet az importált Azure AD csoportokhoz.
  • Cloud Discovery globális rendszergazda: Engedéllyel rendelkezik a Cloud Discovery összes beállításának és adatának megtekintéséhez és szerkesztéséhez. A globális felderítési rendszergazda a következő hozzáféréssel rendelkezik:

    • Beállítások
      • Rendszerbeállítások – Csak megtekintés
      • Cloud Discovery-beállítások – Az összes megtekintése és szerkesztése (az anonimizálási engedélyek attól függenek, hogy engedélyezve volt-e a szerepkör-hozzárendelés során)
    • Cloud Discovery-tevékenység – teljes engedélyek
    • Riasztások – csak a Cloud Discovery adataihoz kapcsolódó riasztások
    • Szabályzatok – Megtekintheti az összes házirendet, és csak a Cloud Discovery-szabályzatokat szerkesztheti vagy hozhatja létre
    • Tevékenységek lap – Nincs engedély
    • Fiókok lap – Nincs engedély
    • Alkalmazásengedélyek – Nincs engedély
    • Fájlok lap – Nincs engedély
    • Feltételes hozzáférés alkalmazásvezérlése – Nincs engedély
    • Biztonsági bővítmények – Saját API-jogkivonatok létrehozása és törlése
    • Irányítási műveletek – Csak a Cloud Discoveryhez kapcsolódó műveletek
    • Biztonsági javaslatok felhőplatformokhoz – Nincs engedély
  • Cloud Discovery-jelentés rendszergazdája: Engedéllyel rendelkezik az Felhőhöz készült Defender Apps összes adatának megtekintéséhez, amely kizárólag a kiválasztott Cloud Discovery-jelentésekkel foglalkozik. Például rendszergazdai engedélyt adhat valakinek a folyamatos jelentéshez Végponthoz készült Microsoft Defender. A felderítési rendszergazda csak az adatforráshoz és az alkalmazáskatalógushoz kapcsolódó Cloud Discovery-adatokat látja. Ez a rendszergazda nem fog hozzáférni a Tevékenységek, Fájlok vagy Biztonsági javaslatok laphoz , és korlátozott hozzáféréssel rendelkezik a szabályzatokhoz.

Megjegyzés

A beépített Felhőhöz készült Defender-alkalmazások rendszergazdai szerepkörei csak Felhőhöz készült Defender-alkalmazásokhoz biztosítanak hozzáférési engedélyeket.

Rendszergazdai engedélyek felülbírálása

Ha felül szeretné bírálni egy rendszergazda engedélyét Azure AD vagy Office 365, ezt úgy teheti meg, hogy manuálisan hozzáadja a felhasználót az Felhőhöz készült Defender Alkalmazásokhoz, és hozzárendeli a felhasználói engedélyeket. Ha például a Azure AD biztonsági olvasóját, Stephanie-t szeretné hozzárendelni, hogy teljes hozzáféréssel rendelkezzen Felhőhöz készült Defender Appsben, manuálisan hozzáadhatja a Felhőhöz készült Defender Alkalmazásokhoz, és teljes hozzáféréssel felülbírálhatja a szerepkörét, és engedélyezheti neki a szükséges engedélyeket a következőben: Felhőhöz készült Defender Alkalmazások. Vegye figyelembe, hogy nem lehet felülbírálni Azure AD teljes hozzáférést biztosító szerepköröket (globális rendszergazda, biztonsági rendszergazda és Felhőappbiztonság rendszergazda).

További rendszergazdák hozzáadása

További rendszergazdákat is hozzáadhat Felhőhöz készült Defender Alkalmazásokhoz anélkül, hogy felhasználókat ad hozzá Azure AD rendszergazdai szerepkörökhöz. További rendszergazdák hozzáadásához hajtsa végre a következő lépéseket:

Fontos

  • A Rendszergazdai hozzáférés kezelése laphoz a globális rendszergazdák, a biztonsági rendszergazdák, a megfelelőségi rendszergazdák, a megfelelőségiadat-rendszergazdák, a biztonsági operátorok, a biztonsági olvasók és a globális olvasók csoport tagjai férhetnek hozzá.
  • Csak Azure AD globális rendszergazdák vagy biztonsági rendszergazdák szerkeszthetik a Rendszergazdai hozzáférés kezelése lapot, és hozzáférést biztosíthatnak más felhasználóknak az Felhőhöz készült Defender-alkalmazásokhoz.
  1. Válassza ki a beállítások fogaskerékét settings icon. , majd a rendszergazdai hozzáférés kezelése lehetőséget.

  2. A plusz ikonra kattintva hozzáadhatja azokat a rendszergazdákat, akiknek hozzáféréssel kell rendelkezniük az Felhőhöz készült Defender-alkalmazásokhoz. Adja meg egy felhasználó e-mail-címét a szervezeten belülről.

    Megjegyzés

    Ha külső felügyelt biztonsági szolgáltatókat (MSSP-ket) szeretne hozzáadni a Felhőhöz készült Defender Apps portál rendszergazdájaként, győződjön meg arról, hogy először meghívja őket vendégként a szervezetbe.

    add admins.

  3. Ezután válassza ki a legördülő menüt annak beállításához, hogy a rendszergazda milyen szerepkörű, globális rendszergazda, biztonsági olvasó, megfelelőségi rendszergazda, alkalmazás-/példány-rendszergazda, felhasználói csoport rendszergazdája, Cloud Discovery globális rendszergazda vagy Cloud Discovery-jelentés rendszergazdája. Ha az Alkalmazás-/Példányadminisztrátor lehetőséget választja, válassza ki azt az alkalmazást és példányt, amely számára a rendszergazda rendelkezik engedélyekkel.

    Megjegyzés

    Minden olyan rendszergazda, akinek a hozzáférése korlátozott, és megpróbál hozzáférni egy korlátozott laphoz, vagy korlátozott műveletet hajt végre, hibaüzenetet kap, hogy nincs engedélye a lap elérésére vagy a művelet végrehajtására.

  4. Válassza a Rendszergazda hozzáadása lehetőséget.

Külső rendszergazdák meghívása

Felhőhöz készült Defender Alkalmazások segítségével külső rendszergazdákat (MSSP-ket) hívhat meg a szervezet (MSSP-ügyfél) Felhőhöz készült Defender Apps portál rendszergazdájaként. MSSP-k hozzáadásához győződjön meg arról, hogy Felhőhöz készült Defender Alkalmazások engedélyezve vannak az MSSP-bérlőn, majd vegye fel őket Azure AD B2B együttműködési felhasználókként az MSSP-ügyfelek Azure Portal. A hozzáadás után az MSSP-k konfigurálhatók rendszergazdákként, és hozzárendelhetők az Felhőhöz készült Defender Appsben elérhető szerepkörök bármelyikéhez.

MSSP-k hozzáadása az MSSP-ügyfél Felhőhöz készült Defender Apps portálhoz

  1. Vegye fel az MSSP-ket vendégként az MSSP ügyfélkönyvtárába a Vendégfelhasználók hozzáadása a címtárhoz című témakörben leírt lépésekkel.
  2. Adjon hozzá MSSP-ket, és rendeljen hozzá egy rendszergazdai szerepkört az MSSP-ügyfél Felhőhöz készült Defender Alkalmazások portálon a További rendszergazdák hozzáadása szakaszban leírt lépésekkel. Adja meg ugyanazt a külső e-mail-címet, amelyet a vendégeknek az MSSP ügyfélkönyvtárában való hozzáadásakor használ.

MSSP-k elérése az MSSP-ügyfél Felhőhöz készült Defender Apps portálhoz

Alapértelmezés szerint az MSSP-k a Felhőhöz készült Defender Apps-bérlőjükhöz a következő URL-címen férnek hozzá: https://portal.cloudappsecurity.com.

Az MSSP-knek azonban a következő formátumban kell hozzáférnie az MSSP-ügyfél Felhőhöz készült Defender Apps portálhoz egy bérlőspecifikus URL-cím használatával: https://portal.cloudappsecurity.com?tid=customer_tenant_id.

Az MSSP-k az alábbi lépésekkel szerezhetik be az MSSP ügyfélportál bérlőazonosítóját, majd az azonosítóval érhetik el a bérlőspecifikus URL-címet:

  1. MSSP-ként jelentkezzen be a Azure AD a hitelesítő adataival.

  2. Váltson a címtárra az MSSP-ügyfél bérlőjére.

  3. Válassza az Azure Active Directory>Tulajdonságok lehetőséget. Az MSSP-ügyfél bérlőazonosítóját a Bérlőazonosító mezőben találja.

  4. Az MSSP-ügyfélportál eléréséhez cserélje le az customer_tenant_id alábbi URL-címet: https://portal.cloudappsecurity.com?tid=customer_tenant_id.

Rendszergazda tevékenységek naplózása

Felhőhöz készült Defender Alkalmazások lehetővé teszi a rendszergazdai bejelentkezési tevékenységek naplójának exportálását, valamint egy adott felhasználó vagy riasztás megtekintésének naplózását egy vizsgálat részeként.

Napló exportálásához hajtsa végre a következő lépéseket:

  1. A Rendszergazdák kezelése hozzáférési lapon válassza a Rendszergazdai tevékenységek exportálása lehetőséget.

  2. Adja meg a szükséges időtartományt.

  3. Válassza az Export (Exportálás) lehetőséget.

Következő lépések