Mengelola akses admin
Catatan
Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.
Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.
Microsoft Defender for Cloud Apps mendukung kontrol akses berbasis peran. Artikel ini menyediakan instruksi untuk mengatur akses ke portal aplikasi Defender untuk Cloud untuk admin Anda. Untuk informasi selengkapnya tentang menetapkan peran administrator, lihat artikel untuk Azure Active Directory (Azure AD) dan Office 365.
peran Office 365 dan Azure AD dengan akses ke Defender untuk Cloud Apps
Catatan
- Office 365 dan peran Azure AD tidak tercantum di halaman Defender untuk Cloud Apps Kelola akses admin. Untuk menetapkan peran dalam Office 365 atau Azure Active Directory, buka pengaturan RBAC yang relevan untuk layanan tersebut.
- Defender untuk Cloud Apps menggunakan Azure Active Directory untuk menentukan pengaturan batas waktu tidak aktif tingkat direktori pengguna. Jika pengguna dikonfigurasi di Azure Active Directory untuk tidak pernah keluar saat tidak aktif, pengaturan yang sama juga akan berlaku di Defender untuk Cloud Apps.
Secara default, peran admin Office 365 dan Azure AD berikut memiliki akses ke Defender untuk Cloud Apps:
Administrator Global dan Administrator keamanan: Administrator dengan akses Penuh memiliki izin penuh di Defender untuk Cloud Apps. Mereka dapat menambahkan admin, menambahkan kebijakan dan pengaturan, mengunggah log, dan melakukan tindakan tata kelola, mengakses, dan mengelola agen SIEM.
Cloud App Security administrator: Memungkinkan akses dan izin penuh di Defender untuk Cloud Apps. Peran ini memberikan izin penuh untuk Defender untuk Cloud Apps, seperti peran Administrator Global Azure AD. Namun, peran ini dicakup ke Defender untuk Cloud Apps dan tidak akan memberikan izin penuh di seluruh produk keamanan Microsoft lainnya.
Administrator kepatuhan: Memiliki izin baca-saja dan dapat mengelola pemberitahuan. Tidak dapat mengakses rekomendasi Keamanan untuk platform cloud. Dapat membuat dan memodifikasi kebijakan file, mengizinkan tindakan tata kelola file, dan melihat semua laporan bawaan di bawah Manajemen Data.
Administrator data kepatuhan: Memiliki izin baca-saja, dapat membuat dan memodifikasi kebijakan file, mengizinkan tindakan tata kelola file, dan melihat semua laporan penemuan. Tidak dapat mengakses rekomendasi Keamanan untuk platform cloud.
Operator keamanan dan Pembaca keamanan: Memiliki izin baca-saja dan dapat mengelola pemberitahuan. Admin ini dibatasi untuk melakukan tindakan berikut:
- Membuat kebijakan atau mengedit dan mengubah yang sudah ada
- Melakukan tindakan tata kelola apa pun
- Mengunggah log penemuan
- Melarang atau menyetujui aplikasi pihak ketiga
- Mengakses dan melihat halaman pengaturan rentang alamat IP
- Mengakses dan melihat halaman pengaturan sistem apa pun
- Mengakses dan melihat pengaturan Discovery
- Mengakses dan melihat halaman Konektor aplikasi
- Mengakses dan melihat log Tata Kelola
- Mengakses dan melihat halaman Kelola laporan snapshot
- Mengakses dan melihat agen SIEM
Pembaca global: Memiliki akses baca-saja penuh ke semua aspek Defender untuk Cloud Apps. Tidak dapat mengubah pengaturan apa pun atau mengambil tindakan apa pun.
Peran dan izin
| Izin | Admin Global | Admin Keamanan | Admin Kepatuhan | Admin Data Kepatuhan | Operator Keamanan | Pembaca Keamanan | Pembaca Global | Admin PBI | admin Cloud App Security |
|---|---|---|---|---|---|---|---|---|---|
| Membaca pemberitahuan | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Mengelola pemberitahuan | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Membaca aplikasi OAuth | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Melakukan tindakan aplikasi OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Mengakses aplikasi yang ditemukan, katalog aplikasi cloud, dan data penemuan cloud lainnya | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Melakukan tindakan penemuan cloud | ✔ | ✔ | ✔ | ||||||
| Mengakses data file dan kebijakan file | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Melakukan tindakan file | ✔ | ✔ | ✔ | ✔ | |||||
| Log tata kelola akses | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Melakukan tindakan log tata kelola | ✔ | ✔ | ✔ | ✔ | |||||
| Mengakses log tata kelola penemuan terlingkup | ✔ | ✔ | ✔ | ||||||
| Membaca kebijakan | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Melakukan semua tindakan kebijakan | ✔ | ✔ | ✔ | ✔ | |||||
| Melakukan tindakan kebijakan file | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| Melakukan tindakan kebijakan OAuth | ✔ | ✔ | ✔ | ✔ | |||||
| Lihat mengelola akses admin | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Mengelola admin dan privasi aktivitas | ✔ | ✔ | ✔ |
Peran admin bawaan di Defender untuk Cloud Apps
Peran admin tertentu berikut dapat dikonfigurasi di portal aplikasi Defender untuk Cloud:
Administrator Global: Memiliki akses Penuh yang mirip dengan peran Azure AD Administrator Global tetapi hanya untuk Defender untuk Cloud Apps.
Administrator kepatuhan: Memberikan izin yang sama dengan peran administrator Kepatuhan Azure AD tetapi hanya untuk Defender untuk Cloud Apps.
Pembaca keamanan: Memberikan izin yang sama dengan peran pembaca keamanan Azure AD tetapi hanya untuk Defender untuk Cloud Apps.
Admin aplikasi/instans: Memiliki izin penuh atau baca-saja ke semua data di Defender untuk Cloud Apps yang berurusan secara eksklusif dengan aplikasi atau instans tertentu dari aplikasi yang dipilih. Misalnya, Anda memberikan izin admin pengguna ke instans Box Eropa Anda. Admin hanya akan melihat data yang berkaitan dengan instans Box Eropa, baik file, aktivitas, kebijakan, atau pemberitahuan:
- Halaman aktivitas - Hanya aktivitas tentang aplikasi tertentu
- Pemberitahuan - Hanya pemberitahuan yang berkaitan dengan aplikasi tertentu
- Kebijakan - Dapat melihat semua kebijakan dan jika izin penuh yang ditetapkan dapat mengedit atau hanya membuat kebijakan yang berurusan secara eksklusif dengan aplikasi/instans
- Halaman akun - Hanya akun untuk aplikasi/instans tertentu
- Izin aplikasi - Hanya izin untuk aplikasi/instans tertentu
- Halaman file - Hanya file dari aplikasi/instans tertentu
- Kontrol Aplikasi Akses Bersyarah - Tidak ada izin
- Aktivitas Cloud Discovery - Tidak ada izin
- Ekstensi keamanan - Hanya izin untuk token API dengan izin pengguna
- Tindakan tata kelola - Hanya untuk aplikasi/instans tertentu
- Rekomendasi keamanan untuk platform cloud - Tidak ada izin
Admin grup pengguna: Memiliki izin penuh atau baca-saja untuk semua data di Defender untuk Cloud Apps yang berurusan secara eksklusif dengan grup tertentu yang ditetapkan untuk mereka. Misalnya, jika Anda menetapkan izin admin pengguna ke grup "Jerman - semua pengguna", admin dapat melihat dan mengedit informasi di aplikasi Defender untuk Cloud hanya untuk grup pengguna tersebut. Admin grup Pengguna memiliki akses berikut:
Halaman aktivitas - Hanya aktivitas tentang pengguna dalam grup
Pemberitahuan - Hanya pemberitahuan yang berkaitan dengan pengguna dalam grup
Kebijakan - Dapat melihat semua kebijakan dan jika izin penuh yang ditetapkan dapat mengedit atau hanya membuat kebijakan yang berurusan secara eksklusif dengan pengguna dalam grup
Halaman akun - Hanya akun untuk pengguna tertentu dalam grup
Izin aplikasi – Tidak ada izin
Halaman file – Tidak ada izin
Kontrol Aplikasi Akses Bersyarah - Tidak ada izin
Aktivitas Cloud Discovery - Tidak ada izin
Ekstensi keamanan - Hanya izin untuk token API dengan pengguna dalam grup
Tindakan tata kelola - Hanya untuk pengguna tertentu dalam grup
Rekomendasi keamanan untuk platform cloud - Tidak ada izin
Catatan
- Untuk menetapkan grup ke admin grup pengguna, Anda harus terlebih dahulu mengimpor grup pengguna dari aplikasi yang tersambung.
- Anda hanya dapat menetapkan izin admin grup pengguna ke grup Azure AD yang diimpor.
Admin global Cloud Discovery: Memiliki izin untuk melihat dan mengedit semua pengaturan dan data Cloud Discovery. Admin Penemuan Global memiliki akses berikut:
- Pengaturan
- Pengaturan sistem - Hanya tampilan
- Pengaturan Cloud Discovery - Menampilkan dan mengedit semua (izin anonimisasi bergantung pada apakah diizinkan selama penetapan peran)
- Aktivitas Cloud Discovery - izin penuh
- Pemberitahuan - hanya pemberitahuan yang terkait dengan data Cloud Discovery
- Kebijakan - Dapat melihat semua kebijakan dan hanya dapat mengedit atau membuat kebijakan Cloud Discovery
- Halaman aktivitas - Tidak ada izin
- Halaman akun - Tidak ada izin
- Izin aplikasi – Tidak ada izin
- Halaman file – Tidak ada izin
- Kontrol Aplikasi Akses Bersyarah - Tidak ada izin
- Ekstensi keamanan - Membuat dan menghapus token API mereka sendiri
- Tindakan tata kelola - Hanya tindakan terkait Cloud Discovery
- Rekomendasi keamanan untuk platform cloud - Tidak ada izin
- Pengaturan
Admin laporan Cloud Discovery: Memiliki izin untuk melihat semua data di Defender untuk Cloud Apps yang berurusan secara eksklusif dengan laporan Cloud Discovery tertentu yang dipilih. Misalnya, Anda dapat memberi seseorang izin admin ke laporan berkelanjutan dari Pertahanan Microsoft untuk Titik Akhir. Admin Penemuan hanya akan melihat data Cloud Discovery yang berkaitan dengan sumber data tersebut dan katalog aplikasi. Admin ini tidak akan memiliki akses ke halaman rekomendasi Aktivitas, File, atau Keamanan dan akses terbatas ke kebijakan.
Catatan
Peran admin Defender untuk Cloud Apps bawaan hanya menyediakan izin akses ke Defender untuk Cloud Apps.
Mengesampingkan izin admin
Jika Anda ingin mengambil alih izin administrator dari Azure AD atau Office 365, Anda dapat melakukannya dengan menambahkan pengguna secara manual ke Defender untuk Cloud Apps dan menetapkan izin pengguna. Misalnya, jika Anda ingin menetapkan Stephanie, yang merupakan pembaca Keamanan di Azure AD memiliki akses Penuh di Defender untuk Cloud Apps, Anda dapat menambahkannya secara manual ke Defender untuk Cloud Apps dan menetapkan akses Penuh untuk mengambil alih perannya dan memungkinkannya izin yang diperlukan di Defender untuk Cloud Apps. Perhatikan bahwa tidak mungkin untuk mengambil alih peran Azure AD yang memberikan akses Penuh (Administrator Global, Administrator keamanan, dan administrator Cloud App Security).
Menambahkan admin tambahan
Anda dapat menambahkan admin tambahan ke Defender untuk Cloud Apps tanpa menambahkan pengguna ke peran administratif Azure AD. Untuk menambahkan admin tambahan, lakukan langkah-langkah berikut:
Penting
- Akses ke halaman Kelola akses admin tersedia untuk anggota Administrator Global, Administrator Keamanan, Administrator Kepatuhan, Administrator Data Kepatuhan, Operator Keamanan, Pembaca Keamanan, dan grup Pembaca Global.
- Hanya Azure AD Administrator Global atau Administrator Keamanan yang dapat mengedit halaman Kelola akses admin dan memberi pengguna lain akses ke Defender untuk Cloud Apps.
Pilih cog
pengaturan lalu Kelola akses admin.Pilih ikon plus untuk menambahkan admin yang harus memiliki akses ke Defender untuk Cloud Apps. Berikan alamat email pengguna dari dalam organisasi Anda.
Catatan
Jika Anda ingin menambahkan Penyedia Layanan Keamanan Terkelola (MSP) eksternal sebagai administrator portal aplikasi Defender untuk Cloud Anda, pastikan Anda terlebih dahulu mengundang mereka sebagai tamu ke organisasi Anda.
Selanjutnya, pilih menu drop-down untuk mengatur jenis peran apa yang dimiliki admin, Admin global, Pembaca keamanan, Admin kepatuhan, admin Aplikasi/Instans, Admin grup pengguna, admin global Cloud Discovery, atau admin laporan Cloud Discovery. Jika Anda memilih admin Aplikasi/Instans, pilih aplikasi dan instans untuk admin yang memiliki izin.
Catatan
Setiap admin, yang aksesnya terbatas, yang mencoba mengakses halaman terbatas atau melakukan tindakan terbatas akan menerima kesalahan bahwa mereka tidak memiliki izin untuk mengakses halaman atau melakukan tindakan.
Pilih Tambahkan admin.
Mengundang admin eksternal
Defender untuk Cloud Apps memungkinkan Anda mengundang admin eksternal (MSP) sebagai administrator organisasi Anda (pelanggan MSSP) Defender untuk Cloud portal Aplikasi. Untuk menambahkan MSP, pastikan Defender untuk Cloud Apps diaktifkan pada penyewa MSP lalu tambahkan sebagai pengguna kolaborasi B2B Azure AD di pelanggan MSP portal Azure. Setelah ditambahkan, MSP dapat dikonfigurasi sebagai administrator dan menetapkan salah satu peran yang tersedia di Defender untuk Cloud Apps.
Untuk menambahkan MSP ke portal Aplikasi Defender untuk Cloud pelanggan MSSP
- Tambahkan MSP sebagai tamu di direktori pelanggan MSSP menggunakan langkah-langkah di bawah Tambahkan pengguna tamu ke direktori.
- Tambahkan MSP dan tetapkan peran administrator di portal MSSP customer Defender untuk Cloud Apps menggunakan langkah-langkah di bawah Tambahkan admin tambahan. Berikan alamat email eksternal yang sama dengan yang digunakan saat menambahkannya sebagai tamu di direktori pelanggan MSSP.
Akses untuk MSP ke portal Aplikasi Defender untuk Cloud pelanggan MSSP
Secara default, MSP mengakses penyewa Defender untuk Cloud Apps mereka melalui URL berikut: https://portal.cloudappsecurity.com.
Namun, MSP harus mengakses portal MSSP customer Defender untuk Cloud Apps menggunakan URL khusus penyewa dalam format berikut: https://portal.cloudappsecurity.com?tid=customer_tenant_id.
MSP dapat menggunakan langkah-langkah berikut untuk mendapatkan ID penyewa portal pelanggan MSSP lalu menggunakan ID untuk mengakses URL khusus penyewa:
Sebagai MSSP, masuk ke Azure AD dengan kredensial Anda.
Alihkan direktori ke penyewa pelanggan MSSP.
Pilih Azure Active Directory>Properti. Anda akan menemukan ID penyewa pelanggan MSSP di bidang ID Penyewa .
Akses portal pelanggan MSSP dengan mengganti
customer_tenant_idnilai di URL berikut:https://portal.cloudappsecurity.com?tid=customer_tenant_id.
audit aktivitas Admin
Defender untuk Cloud Apps memungkinkan Anda mengekspor log aktivitas masuk admin dan audit tampilan pengguna atau pemberitahuan tertentu yang dilakukan sebagai bagian dari penyelidikan.
Untuk mengekspor log, lakukan langkah-langkah berikut:
Di halaman Kelola akses admin , pilih Ekspor aktivitas admin.
Tentukan rentang waktu yang diperlukan.
Pilih Ekspor.