Gerir o acesso a administradores

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Microsoft Cloud App Security apoia o controlo de acesso baseado em funções. Este artigo fornece instruções para definir o acesso ao portal Cloud App Security para os seus administradores. Para obter mais informações sobre a atribuição de funções de administrador, consulte os artigos para Azure Ative Directory (Azure AD) e Office 365.

Importante

Mudámos o fluxo para adicionar administradores externos a Cloud App Security. O administrador externo não inscrito no novo processo será eliminado até 31 de outubro. Para mais informações, consulte convidar administradores externos.

Office 365 e Ad Azure com acesso a Cloud App Security

Nota

  • Office 365 e Azure AD não estão listados na página de acesso a administração Cloud App Security. Para atribuir funções em Office 365 ou Azure Ative Directory, vá às definições de RBAC relevantes para esse serviço.
  • Cloud App Security utiliza Azure Ative Directory para determinar a definição de tempo de inatividadedo nível de diretório do utilizador . Se um utilizador estiver configurado em AAD nunca assinar quando está inativo, a mesma definição aplicar-se-á também em Cloud App Security.

Por padrão, os seguintes papéis de administração Office 365 e Azure AD têm acesso a Cloud App Security:

  • Administrador global e administrador de segurança: Os administradores com acesso total têm permissões completas em Cloud App Security. Podem adicionar administradores, adicionar políticas e configurações, carregar registos e executar ações de governação, aceder e gerir agentes do SIEM.

  • administrador Cloud App Security: Permite o acesso total e permissões em Cloud App Security. Esta função concede permissões completas a Cloud App Security, como o papel de administrador da Azure AD Global. No entanto, esta função é Cloud App Security e não concede permissões completas em outros produtos de segurança da Microsoft.

  • Administrador de conformidade: Tem permissões apenas de leitura e pode gerir alertas. Não é possível aceder às recomendações de segurança para plataformas na nuvem. Pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios incorporados na Gestão de Dados.

  • Administrador de dados de conformidade : Tem permissões apenas de leitura, pode criar e modificar políticas de ficheiros, permitir ações de governação de ficheiros e ver todos os relatórios de descoberta. Não é possível aceder às recomendações de segurança para plataformas na nuvem.

  • Operador de segurança e leitor de segurança : Tenha permissões apenas de leitura e possa gerir alertas. Estes administradores estão impedidos de fazer as seguintes ações:

    • Criar políticas ou editar e alterar as políticas existentes
    • Realizar quaisquer ações de governação
    • Carregar registos de deteção
    • Proibir ou aprovar aplicações de terceiros
    • Aceder e ver a página de definições do intervalo de endereços IP
    • Aceder e visualizar quaisquer páginas de definições do sistema
    • Aceder e visualizar as definições do Discovery
    • Aceder e visualizar a página de conectores app
    • Aceder e ver o Registo de governação
    • Aceder e ver a página Gerir relatórios instantâneos
    • Aceder e visualizar agentes do SIEM
  • Leitor global: Tem acesso total apenas à leitura a todos os aspetos da Cloud App Security. Não pode alterar nenhuma definição ou tomar quaisquer ações.

Funções e permissões

Permissões Administrador Global Administrador de Segurança Administrador de Conformidade Administração de Dados de Conformidade Operador de Segurança Leitor de Segurança Leitor Global Administrador PBI administrador Cloud App Security
Alertas de leitura
Gerir alertas
Ler aplicações da OAuth
Executar ações de aplicação OAuth
Acesso a aplicativos descobertos, catálogo de aplicativos na nuvem e outros dados de descoberta em nuvem
Realizar ações de descoberta de nuvem
Aceder a ficheiros de dados e políticas de ficheiros
Realizar ações de arquivo
Aceder ao registo de governação
Executar ações de registo de governação
Acesso ao registo de governação da descoberta de descobertas
Ler políticas
Realizar todas as ações políticas
Realizar ações de política de ficheiros
Executar ações políticas de OAuth
Ver gerir o acesso a administrador
Gerir administradores e privacidade de atividades

Papéis de administração de Cloud App Security incorporados

As seguintes funções de administração Cloud App Security específicas podem ser configuradas no portal Cloud App Security:

  • App/instância admin: Tem permissões completas ou apenas de leitura para todos os dados em Cloud App Security que lida exclusivamente com a aplicação específica ou instância de uma aplicação selecionada. Por exemplo, você dá a um utilizador permissão de administração para a sua caixa europeia exemplo. O administrador verá apenas dados relacionados com a caixa europeia, sejam ficheiros, atividades, políticas ou alertas:

    • Página de atividades - Apenas atividades sobre a app específica
    • Alertas - Apenas alertas relativos à aplicação específica
    • Políticas - Pode ver todas as políticas e se as permissões completas atribuídas podem editar ou criar apenas políticas que lidam exclusivamente com a app/instância
    • Página de contas - Apenas contas para a aplicação/instância específica
    • Permissões de aplicativos - Apenas permissões para a aplicação/instância específica
    • Página de ficheiros - Apenas ficheiros da aplicação/instância específica
    • Controlo de aplicativos de acesso condicional - Sem permissões
    • Atividade cloud Discovery - Sem permissões
    • Extensões de segurança - Apenas permissões para token API com permissões do utilizador
    • Ações de governação - Apenas para a aplicação/instância específica
    • Recomendações de segurança para plataformas na nuvem - Sem permissões
  • Administração do grupo de utilizadores : Tem permissões completas ou apenas de leitura para todos os dados em Cloud App Security que lida exclusivamente com os grupos específicos que lhes são atribuídos. Por exemplo, se atribuir permissões de administração de um utilizador ao grupo "Alemanha - todos os utilizadores", o administrador pode visualizar e editar informações em Cloud App Security apenas para esse grupo de utilizadores. O administrador do grupo utilizador tem o seguinte acesso:

    • Página de atividades - Apenas atividades sobre os utilizadores do grupo

    • Alertas - Apenas alertas relativos aos utilizadores do grupo

    • Políticas - Pode ver todas as políticas e se as permissões completas atribuídas podem editar ou criar apenas políticas que lidam exclusivamente com utilizadores do grupo

    • Página de contas - Apenas contas para os utilizadores específicos do grupo

    • Permissões de aplicativos – Sem permissões

    • Página de ficheiros - Sem permissões

    • Controlo de aplicativos de acesso condicional - Sem permissões

    • Atividade cloud Discovery - Sem permissões

    • Extensões de segurança - Apenas permissões para ficha de API com utilizadores do grupo

    • Ações de governação - Apenas para os utilizadores específicos do grupo

    • Recomendações de segurança para plataformas na nuvem - Sem permissões

      Nota

      • Para atribuir grupos a administradores do grupo de utilizadores, deve primeiro importar grupos de utilizadores de aplicações conectadas.
      • Só é possível atribuir permissões de administradores do grupo de utilizadores a grupos Azure AD importados.
  • Administração global cloud Discovery: Tem permissão para visualizar e editar todas as definições e dados do Cloud Discovery. O administrador da Global Discovery tem o seguinte acesso:

    • Definições
      • Definições do sistema - Ver apenas
      • Configurações cloud Discovery - Ver e editar tudo (permissões de anonimização dependem de ser permitida durante a atribuição de funções)
    • Atividade cloud Discovery - permissões completas
    • Alertas - apenas alertas relacionados com dados da Cloud Discovery
    • Políticas - Pode ver todas as políticas e editar ou criar apenas políticas cloud Discovery
    • Página de atividades - Sem permissões
    • Página de contas - Sem permissões
    • Permissões de aplicativos – Sem permissões
    • Página de ficheiros - Sem permissões
    • Controlo de aplicativos de acesso condicional - Sem permissões
    • Extensões de segurança - Criar e eliminar os seus próprios tokens API
    • Ações de governação - Apenas ações relacionadas com a Cloud Discovery
    • Recomendações de segurança para plataformas na nuvem - Sem permissões
  • Cloud Discovery report admin: Tem permissões para visualizar todos os dados em Cloud App Security que lida exclusivamente com os relatórios específicos da Cloud Discovery selecionados. Por exemplo, pode dar permissão a alguém administrativo para o relatório contínuo do Microsoft Defender para Endpoint. O administrador discovery verá apenas os dados do Cloud Discovery que se relacionam com essa fonte de dados e com o catálogo de aplicações. Este administrador não terá acesso às páginas de Recomendações de Atividades, Ficheiros ou Desíduos e acesso limitado a políticas.

Nota

As funções de administração Cloud App Security incorporadas apenas fornecem permissões de acesso a Cloud App Security.

Anular permissões de administração

Se pretender anular a permissão de um administrador da Azure AD ou Office 365, pode fazê-lo adicionando manualmente o utilizador à Cloud App Security e atribuindo as permissões do utilizador. Por exemplo, se quiser atribuir a Stephanie, que é uma leitora de Segurança em Azure AD, a ter acesso total em Cloud App Security, pode adicioná-la manualmente a Cloud App Security e atribuir-lhe acesso total para anular o seu papel e permitir-lhe as permissões necessárias em Cloud App Security.

Adicionar administradores adicionais

Pode adicionar administradores adicionais a Cloud App Security sem adicionar utilizadores às funções administrativas Azure AD. Para adicionar administradores adicionais, execute os seguintes passos:

Importante

  • O acesso à página de acesso a administração's Manage está disponível para membros dos Administradores Globais, Administradores de Segurança, Administradores de Conformidade, Administradores de Dados de Conformidade, Operadores de Segurança, Leitores de Segurança e Grupos de Leitores Globais.
  • Apenas administradores globais da Ad AD Ad podem editar a página de acesso de administração Manage e conceder a outros utilizadores acesso a Cloud App Security.
  1. Selecione o ícone de definições de engrenagens. e, em seguida, gerir o acesso a administradores.

  2. Selecione o ícone mais para adicionar os administradores que devem ter acesso a Cloud App Security. Forneça um endereço de e-mail de um utilizador de dentro da sua organização.

    Nota

    Se pretender adicionar fornecedores externos de serviços de segurança geridos (MSSPs) como administradores do seu portal Cloud App Security, certifique-se de que os convida pela primeira vez como convidado para a sua organização.

    adicionar administradores.

  3. Em seguida, selecione o drop-down para definir que tipo de função o administrador tem, Global admin, Leitor de Segurança, Compliance admin, App/Instance admin, User group admin, Cloud Discovery global admin, ou Cloud Discovery report admin. Se selecionar a administração App/Instância, selecione a aplicação e, por exemplo, para que o administrador tenha permissões para.

    Nota

    Qualquer administrador, cujo acesso é limitado, que tente aceder a uma página restrita ou realizar uma ação restrita receberá um erro que não tem permissão para aceder à página ou realizar a ação.

  4. Selecione Adicionar administrador.

Convidar administradores externos

Cloud App Security permite-lhe convidar administradores externos (MSSPs) como administradores do portal de Cloud App Security de Cloud App Security da sua organização( cliente MSSP). Para adicionar MSSPs, certifique-se de Cloud App Security está ativado no inquilino dos MSSPs e, em seguida, adicione-os como utilizadores de colaboração Azure AD B2B no portal Azure dos clientes MSSPs. Uma vez adicionados, os MSSPs podem ser configurados como administradores e atribuídos qualquer uma das funções disponíveis em Cloud App Security.

Para adicionar MSSPs ao portal de Cloud App Security do cliente MSSP

  1. Adicione MSSPs como hóspede no diretório de clientes MSSP utilizando os passos sob adicionar os utilizadores convidados ao diretório.
  2. Adicione MSSPs e atribua uma função de administrador no Cloud App Security do cliente MSSP utilizando os passos sob adição de administradores adicionais. Forneça o mesmo endereço de e-mail externo utilizado ao adicioná-los como hóspedes no diretório de clientes MSSP.

Acesso dos MSSPs ao portal de Cloud App Security do cliente MSSP

Por predefinição, os MSSPs acedem ao seu Cloud App Security inquilino através do seguinte URL: https://portal.cloudappsecurity.com .

No entanto, os MSSPs terão de aceder ao portal de Cloud App Security do cliente MSSP utilizando um URL específico do inquilino no seguinte formato: https://portal.cloudappsecurity.com?tid=customer_tenant_id .

Os MSSPs podem usar as seguintes etapas para obter o ID do portal do cliente MSSP e, em seguida, usar o ID para aceder ao URL específico do inquilino:

  1. Como MSSP, inscreva-se no Azure AD com as suas credenciais.

  2. Mude o diretório para o inquilino do cliente MSSP.

  3. Selecione Azure Active Directory > Propriedades. Você vai encontrar a identificação do inquilino do MSSP no campo de identificação do inquilino.

  4. Aceda ao portal do cliente MSSP substituindo o customer_tenant_id valor no seguinte URL: https://portal.cloudappsecurity.com?tid=customer_tenant_id .

Auditoria de atividades admin

Cloud App Security permite exportar um registo de atividades de inscrição de administradores e uma auditoria de pontos de vista de um utilizador específico ou alertas realizados como parte de uma investigação.

Para exportar um tronco, execute os seguintes passos:

  1. Na página de acesso dos administradores de gestão, selecione atividades de administração de exportação.

  2. Especifique o intervalo de tempo necessário.

  3. Selecione Export (Exportar).

Passos seguintes