Zarządzanie dostępem administratoraManage admin access

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ważne

Nazwy produktów ochrony przed zagrożeniami firmy Microsoft są zmieniane.Threat protection product names from Microsoft are changing. Więcej informacji na temat tego i innych aktualizacji można znaleźć tutaj.Read more about this and other updates here. Będziemy aktualizować nazwy w produktach i w dokumentach w najbliższej przyszłości.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security obsługuje kontrolę dostępu opartą na rolach.Microsoft Cloud App Security supports role-based access control. Ten artykuł zawiera instrukcje dotyczące ustawiania dostępu do portalu Cloud App Security dla administratorów.This article provides instructions for setting access to the Cloud App Security portal for your admins. Aby uzyskać więcej informacji na temat przypisywania ról administratora, zapoznaj się z artykułami dotyczącymi Azure Active Directory i pakietu Office 365.For more information about assigning administrator roles, see the articles for Azure Active Directory and Office 365.

Role pakietu Office 365 i usługi Azure AD z dostępem do Cloud App SecurityOffice 365 and Azure AD roles with access to Cloud App Security

Domyślnie następujące role administratorów pakietu Office 365 i Azure Active Directory (Azure AD) mają dostęp do Cloud App Security:By default, the following Office 365 and Azure Active Directory (Azure AD) admin roles have access to Cloud App Security:

  • Administrator globalny i administrator zabezpieczeń: Administratorzy z pełnym dostępem mają pełne uprawnienia w Cloud App Security.Global administrator and Security administrator: Administrators with Full access have full permissions in Cloud App Security. Mogą dodawać administratorów, dodawać zasady i ustawienia, ładować dzienniki i wykonywać akcje ładu, uzyskiwać dostęp do agentów SIEM i zarządzać nimi.They can add admins, add policies and settings, upload logs and perform governance actions, access and manage SIEM agents.

  • Administrator zgodności: ma uprawnienia tylko do odczytu i może zarządzać alertami.Compliance administrator: Has read-only permissions and can manage alerts. Nie można uzyskać dostępu do zaleceń dotyczących zabezpieczeń dla platform chmurowych.Cannot access Security recommendations for cloud platforms. Może tworzyć i modyfikować zasady dotyczące plików, zezwalać na akcje ładu plików i wyświetlać wszystkie wbudowane raporty w obszarze Zarządzanie danymi.Can create and modify file policies, allow file governance actions, and view all the built-in reports under Data Management.

  • Administrator danych zgodności: ma uprawnienia tylko do odczytu, może tworzyć i modyfikować zasady dotyczące plików, zezwalać na akcje ładu plików i wyświetlać wszystkie raporty odnajdywania.Compliance data administrator: Has read-only permissions, can create and modify file policies, allow file governance actions, and view all discovery reports. Nie można uzyskać dostępu do zaleceń dotyczących zabezpieczeń dla platform chmurowych.Cannot access Security recommendations for cloud platforms.

  • Operator zabezpieczeń i czytelnik zabezpieczeń: mają uprawnienia tylko do odczytu i mogą zarządzać alertami.Security operator and Security reader: Have read-only permissions and can manage alerts. Administratorzy Ci nie mogą wykonać następujących czynności:These admins are restricted from doing the following actions:

    • Tworzenie zasad lub edytowanie i zmiana istniejących zasadCreate policies or edit and change existing ones
    • Wykonywanie akcji ładuPerforming any governance actions
    • Przekazywanie dzienników odnajdywaniaUploading discovery logs
    • Zakazywanie lub zatwierdzanie aplikacji innych firmBanning or approving third-party apps
    • Wyświetlanie strony ustawień zakresu adresów IP i uzyskiwanie do niej dostępuAccessing and viewing the IP address range settings page
    • Uzyskiwanie dostępu do stron ustawień systemu i ich wyświetlanieAccessing and viewing any system settings pages
    • Uzyskiwanie dostępu do ustawień odnajdywania i ich wyświetlanieAccessing and viewing the Discovery settings
    • Uzyskiwanie dostępu do i wyświetlanie strony łączników aplikacjiAccessing and viewing the App connectors page
    • Wyświetlanie dziennika nadzoru i uzyskiwanie do niego dostępuAccessing and viewing the Governance log
    • Wyświetlanie strony zarządzania raportami migawek i uzyskiwanie do niej dostępuAccessing and viewing the Manage snapshot reports page
    • Uzyskiwanie dostępu do i przeglądanie agentów SIEMAccessing and viewing SIEM agents
  • Czytnik globalny: ma pełny dostęp tylko do odczytu do wszystkich aspektów Cloud App Security.Global reader: Has full read-only access to all aspects of Cloud App Security. Nie można zmienić żadnych ustawień ani wykonać żadnych akcji.Cannot change any settings or take any actions.

Uwaga

Role pakietu Office 365 i usługi Azure AD nie są wymienione na stronie Zarządzanie dostępem administratora .Office 365 and Azure AD roles do are not listed in the Manage admin access page.

Wbudowane role administratorów Cloud App SecurityBuilt-in Cloud App Security admin roles

Następujące Cloud App Security określone role administratorów można skonfigurować w portalu Cloud App Security:The following Cloud App Security specific admin roles can be configured in the Cloud App Security portal:

  • Administrator aplikacji/wystąpienia: ma uprawnienia pełne lub tylko do odczytu do wszystkich danych w Cloud App Security, które dotyczą wyłącznie konkretnej aplikacji lub wybranego wystąpienia wybranej aplikacji.App/instance admin: Has full or read-only permissions to all of the data in Cloud App Security that deals exclusively with the specific app or instance of an app selected. Na przykład przyznano użytkownikowi uprawnienia administratora do wystąpienia Europejskiego Twojego pola.For example, you give a user admin permission to your Box European instance. Administrator zobaczy tylko dane, które odnoszą się do Europejskiego wystąpienia pola, niezależnie od tego, czy są to pliki, działania, zasady czy alerty:The admin will see only data that relates to the Box European instance, whether it's files, activities, policies, or alerts:

    • Czynności wykonywane wyłącznie na stronie dotyczące konkretnej aplikacjiActivities page - Only activities about the specific app
    • Alerty — tylko alerty dotyczące konkretnej aplikacjiAlerts - Only alerts relating to the specific app
    • Zasady — można wyświetlić wszystkie zasady i jeśli przypisane pełne uprawnienia mogą edytować lub tworzyć tylko zasady, które zajmują wyłącznie aplikację/wystąpieniePolicies - Can view all policies and if assigned full permissions can edit or create only policies that deal exclusively with the app/instance
    • Konta tylko strony dla konkretnej aplikacji/wystąpieniaAccounts page - Only accounts for the specific app/instance
    • Uprawnienia aplikacji — tylko uprawnienia dla konkretnej aplikacji/wystąpieniaApp permissions - Only permissions for the specific app/instance
    • Pliki tylko na stronie z określoną aplikacją/wystąpieniemFiles page - Only files from the specific app/instance
    • Kontrola dostępu warunkowego aplikacji — brak uprawnieńConditional Access App Control - No permissions
    • Działanie Cloud Discovery — brak uprawnieńCloud Discovery activity - No permissions
    • Rozszerzenia zabezpieczeń — uprawnienia tylko do tokenu interfejsu API z uprawnieniami użytkownikaSecurity extensions - Only permissions for API token with user permissions
    • Akcje ładu — tylko dla konkretnej aplikacji/wystąpieniaGovernance actions - Only for the specific app/instance
    • Zalecenia dotyczące zabezpieczeń dla platform chmurowych — brak uprawnieńSecurity recommendations for cloud platforms - No permissions
  • Administrator grupy użytkowników: ma uprawnienia Pełna lub tylko do odczytu do wszystkich danych w Cloud App Security, które dotyczą wyłącznie określonych grup przypisanych do nich.User group admin: Has full or read-only permissions to all of the data in Cloud App Security that deals exclusively with the specific groups assigned to them. Na przykład, Jeśli przypiszesz uprawnienia administratora użytkownika do grupy "Niemcy-wszyscy użytkownicy", administrator może wyświetlać i edytować informacje w Cloud App Security tylko dla tej grupy użytkowników.For example, if you assign a user admin permissions to the group "Germany - all users", the admin can view and edit information in Cloud App Security only for that user group. Administrator grupy użytkowników ma następujący dostęp:The User group admin has the following access:

    • Działania tylko na stronie dotyczące użytkowników w grupieActivities page - Only activities about the users in the group

    • Alerty — tylko alerty dotyczące użytkowników w grupieAlerts - Only alerts relating to the users in the group

    • Zasady — można wyświetlić wszystkie zasady i jeśli przypisane pełne uprawnienia mogą edytować lub tworzyć tylko zasady przeznaczone wyłącznie dla użytkowników w grupiePolicies - Can view all policies and if assigned full permissions can edit or create only policies that deal exclusively with users in the group

    • Konta tylko strony dla określonych użytkowników w grupieAccounts page - Only accounts for the specific users in the group

    • Uprawnienia aplikacji — brak uprawnieńApp permissions – No permissions

    • Strona plików — brak uprawnieńFiles page – No permissions

    • Kontrola dostępu warunkowego aplikacji — brak uprawnieńConditional Access App Control - No permissions

    • Działanie Cloud Discovery — brak uprawnieńCloud Discovery activity - No permissions

    • Rozszerzenia zabezpieczeń — tylko uprawnienia dla tokenu interfejsu API dla użytkowników w grupieSecurity extensions - Only permissions for API token with users in the group

    • Akcje ładu — tylko dla określonych użytkowników w grupieGovernance actions - Only for the specific users in the group

    • Zalecenia dotyczące zabezpieczeń dla platform chmurowych — brak uprawnieńSecurity recommendations for cloud platforms - No permissions

      Uwaga

      • Aby przypisać grupy do administratorów grup użytkowników, należy najpierw zaimportować grupy użytkowników z połączonych aplikacji.To assign groups to user group admins, you must first import user groups from connected apps.
      • Uprawnienia administratorów grup użytkowników można przypisywać tylko do zaimportowanych grup usługi Azure AD.You can only assign user group admins permissions to imported Azure AD groups.
  • Cloud Discovery Administrator globalny: uprawnienia do wyświetlania i edytowania wszystkich Cloud Discovery ustawień i danych.Cloud Discovery global admin: Has permission to view and edit all Cloud Discovery settings and data. Administrator odnajdywania globalnego ma następujący dostęp:The Global Discovery admin has the following access:

    • UstawieniaSettings
      • Ustawienia systemu — tylko wyświetlanieSystem settings - View only
      • Ustawienia Cloud Discovery — wyświetlanie i edytowanie wszystkich (uprawnienia zachowywanie anonimowości zależą od tego, czy były dozwolone podczas przypisywania ról)Cloud Discovery settings - View and edit all (anonymization permissions depend on whether it was allowed during role assignment)
    • Działanie Cloud Discovery — pełne uprawnieniaCloud Discovery activity - full permissions
    • Alerty — tylko alerty dotyczące danych Cloud DiscoveryAlerts - only alerts related to Cloud Discovery data
    • Zasady — umożliwia wyświetlanie wszystkich zasad i edytowanie lub tworzenie tylko zasad Cloud DiscoveryPolicies - Can view all policies and can edit or create only Cloud Discovery policies
    • Strona działań — brak uprawnieńActivities page - No permissions
    • Strona kont — brak uprawnieńAccounts page - No permissions
    • Uprawnienia aplikacji — brak uprawnieńApp permissions – No permissions
    • Strona plików — brak uprawnieńFiles page – No permissions
    • Kontrola dostępu warunkowego aplikacji — brak uprawnieńConditional Access App Control - No permissions
    • Rozszerzenia zabezpieczeń — tworzenie i usuwanie własnych tokenów interfejsu APISecurity extensions - Creating and deleting their own API tokens
    • Akcje ładu — tylko Cloud Discovery powiązane akcjeGovernance actions - Only Cloud Discovery related actions
    • Zalecenia dotyczące zabezpieczeń dla platform chmurowych — brak uprawnieńSecurity recommendations for cloud platforms - No permissions
  • Cloud Discovery administrator raportów: ma uprawnienia do wyświetlania wszystkich danych w Cloud App Security, które dotyczą wyłącznie określonych raportów Cloud Discovery.Cloud Discovery report admin: Has permissions to view all the data in Cloud App Security that deals exclusively with the specific Cloud Discovery reports selected. Na przykład możesz nadać komuś uprawnienia administratora raportu ciągłego z usługi Microsoft Defender dla punktu końcowego.For example, you can give someone admin permission to the continuous report from Microsoft Defender for Endpoint. Administrator odnajdywania będzie widział tylko dane Cloud Discovery powiązane z tym źródłem danych i wykazem aplikacji.The Discovery admin will see only the Cloud Discovery data that relates to that data source and to the app catalog. Ten administrator nie będzie miał dostępu do stron działań, plików ani zaleceń dotyczących zabezpieczeń oraz ograniczony dostęp do zasad.This admin will not have access to the Activities, Files, or Security recommendations pages and limited access to policies.

Uwaga

Cloud App Security wbudowane role administratora zapewniają tylko uprawnienia dostępu do Cloud App Security.The built-in Cloud App Security admin roles only provide access permissions to Cloud App Security.

Zastąp uprawnienia administratoraOverride admin permissions

Aby zastąpić uprawnienie administratora z usługi Azure Active Directory lub usługi Office 365, ręcznie dodaj użytkownika do usługi Cloud App Security i przypisz uprawnienia użytkownika.If you want to override an administrator's permission from Azure Active Directory or Office 365, you can do so by manually adding the user to Cloud App Security and assigning the user permissions. Na przykład jeśli chcesz przypisać Stephanie, który jest czytnikiem zabezpieczeń w Azure Active Directory, aby miał pełny dostęp w Cloud App Security, możesz ręcznie dodać go, aby Cloud App Security i przypisać pełny dostęp , aby zastąpić jego rolę i umożliwić mu odpowiednie uprawnienia w Cloud App Security.For example, if you want to assign Stephanie, who is a Security reader in Azure Active Directory to have Full access in Cloud App Security, you can add her manually to Cloud App Security and assign her Full access to override her role and allow her the necessary permissions in Cloud App Security.

Dodawanie dodatkowych administratorówAdd additional admins

Możesz dodać dodatkowych administratorów do Cloud App Security bez dodawania użytkowników do Azure Active Directory ról administracyjnych.You can add additional admins to Cloud App Security without adding users to Azure Active Directory administrative roles. Aby dodać dodatkowych administratorów, wykonaj następujące czynności:To add additional admins, perform the following steps:

Ważne

Tylko administratorzy globalni i administratorzy zabezpieczeń mogą przyznawać dostęp innym użytkownikom do usługi Cloud App Security.Only Global administrators or Security administrators can grant access to other users to Cloud App Security.

  1. Kliknij ikonę Ustawienia koło zębate Ustawienia , a następnie Zarządzaj dostępem administratora.Click the settings cog settings icon and then Manage admin access.

  2. Kliknij znak plus, aby dodać administratorów, którzy powinni mieć dostęp do Cloud App Security.Click the plus to add the admins who should have access to Cloud App Security. Możesz wpisać wewnętrzny lub zewnętrzny adres e-mail, aby umożliwić administratorom w organizacji lub zewnętrznym zarządzanym dostawcom usług zabezpieczeń (MSSPs) Zarządzanie alertami zabezpieczeń.You can type an internal or external email address to enable administrators from inside your organization or external Managed Security Service Providers (MSSPs) to administer your security alerts.

    Dodaj administratorów

  3. Następnie kliknij listę rozwijaną, aby ustawić typ roli administrator, administrator globalny, czytelnik zabezpieczeń, administrator zgodności, administrator aplikacji/wystąpienia, administrator grupy użytkowników, Cloud Discovery Administrator globalny lub administrator raportów Cloud Discovery. W przypadku wybrania opcji administrator aplikacji/wystąpienia wybierz aplikację i wystąpienie, dla którego administrator ma mieć uprawnienia.Next, click the drop-down to set what type of role the admin has, Global admin, Security reader, Compliance admin, App/Instance admin, User group admin, Cloud Discovery global admin, or Cloud Discovery report admin. If you select App/Instance admin, select the app and instance for the admin to have permissions for.

    Uwaga

    Każdy administrator, którego dostęp jest ograniczony, który próbuje uzyskać dostęp do strony z ograniczeniami lub wykonać akcję z ograniczeniami, otrzyma błąd, że nie ma uprawnień dostępu do strony lub wykonania akcji.Any admin, whose access is limited, that attempts to access a restricted page or perform a restricted action will receive an error that they don't have permission to access the page or perform the action.

  4. Kliknij pozycję Dodaj administratora.Click Add admin.

Inspekcja aktywności administratoraAdmin activity auditing

Cloud App Security umożliwia wyeksportowanie dziennika działań związanych z logowaniem administratora oraz inspekcję widoków określonego użytkownika lub alertów przeprowadzonych w ramach badania.Cloud App Security lets you export a log of admin sign-in activities and an audit of views of a specific user or alerts carried out as part of an investigation.

Aby wyeksportować dziennik, wykonaj następujące czynności:To export a log, perform the following steps:

  1. Na stronie Zarządzanie dostępem administratorów wybierz pozycję Eksportuj działania administracyjne.In the Manage admins access page, select Export admin activities.

  2. Określ wymagany zakres czasu.Specify the required time range.

  3. Kliknij polecenie Eksportuj.Click Export.

Zapraszanie zewnętrznych administratorówInvite external admins

Cloud App Security umożliwia zapraszanie zewnętrznych zarządzanych dostawców usług zabezpieczeń (MSSPs) jako administratorów portalu Cloud App Security.Cloud App Security enables you to invite external Managed Security Service Providers (MSSPs) as administrators of your Cloud App Security portal. Użytkownicy zewnętrzni mogą być teraz skonfigurowani jako administratorzy i przypisani do dowolnych ról dostępnych w Cloud App Security.External users can now be configured as administrators and assigned any of the roles available in Cloud App Security. Aby dodać użytkowników zewnętrznych, upewnij się, że Cloud App Security jest włączona dla dzierżawy źródłowej, a następnie podaj zewnętrzny adres e-mail w krokach w obszarze Dodawanie dodatkowych administratorów.To add external users, make sure Cloud App Security is enabled on the source tenant, and then provide an external email address in the steps under Add additional admins.

Ponadto, aby umożliwić usłudze MSSPs dostarczanie usług dla wielu dzierżawców klientów, Administratorzy, którzy mają uprawnienia dostępu do więcej niż jednej dzierżawy, mogą teraz łatwo przełączać dzierżawy w portalu.Additionally, to enable MSSPs to provide services across multiple customer tenants, Administrators who have access rights to more than one tenant can now easily switch tenants within the portal. Aby przełączać się między dzierżawcami, po uzyskaniu uprawnień do wielu dzierżawców kliknij ikonę użytkownika.To switch between tenants, after you have permissions to multiple tenants, click the user icon. Zostanie wyświetlona lista dzierżawców, do których masz uprawnienia.You will see a list of the tenants for which you have permissions. Wybierz dzierżawcę, którym chcesz zarządzać.Select the tenant you want to manage.

Wybierz dzierżawcęchoose tenant

Następne krokiNext steps