Microsoft Defender for Cloud Apps 支援基於角色的存取控制。 本文提供管理員設定 Defender for Cloud Apps 存取權的指引。 欲了解更多關於指派管理員角色的資訊,請參閱 Microsoft Entra ID 與 Microsoft 365 的相關文章。
Microsoft 365 與 Microsoft Entra 角色,可使用 Defender for Cloud Apps
注意事項
- Microsoft 365 和 Microsoft Entra 的角色並未列在 Defender for Cloud Apps 管理管理員存取頁面。 若要在 Microsoft 365 或 Microsoft Entra ID 中指派角色,請前往該服務相關的 RBAC 設定。
- Defender for Cloud Apps 使用 Microsoft Entra ID 來判斷使用者的目錄層級非活動逾時設定。 如果使用者在 Microsoft Entra ID 中設定為在非活躍時永遠不會登出,則 Defender for Cloud Apps 也會有相同的設定。
- Defender for Cloud Apps 資訊保護啟用需要一個Microsoft Entra 管理員 ID,例如:應用程式管理員或雲端應用程式管理員。 更多細節請參閱 Microsoft Entra 內建角色及保護您的 Microsoft 365 環境
預設情況下,以下 Microsoft 365 與 Microsoft Entra ID 管理員角色可存取 Defender for Cloud Apps:
| 角色名稱 | 描述 |
|---|---|
| 全域管理員*與安全管理員 | 擁有完全存取權的管理員在 Defender for Cloud Apps 中擁有完整權限。 他們可以新增管理員、新增政策與設定、上傳日誌及執行治理操作,並存取及管理 SIEM 代理。 |
| 雲端應用程式安全管理員 | 允許在 Defender for Cloud Apps 中取得完整存取與權限。 此角色授予 Defender for Cloud Apps 完整權限,類似 Microsoft Entra ID 全域管理員角色。 然而,此職務僅限於 Defender for Cloud Apps,並未授予其他 Microsoft 安全產品的全部權限。 |
| 合規性系統管理員 | 具有唯讀權限,並可管理警示。 無法存取雲端平台的安全建議。 可以建立與修改檔案政策,允許檔案治理操作,並在資料管理下查看所有內建報告。 |
| 合規性資料管理員 | 擁有唯讀權限,能建立與修改檔案政策,允許檔案治理操作,並查看所有發現報告。 無法存取雲端平台的安全建議。 |
| 安全性操作員 | 具有唯讀權限,並可管理警示。 這些管理員被限制不能執行以下操作:
|
| 安全性讀取者 | 擁有唯讀權限,並能建立 API 存取權杖。 這些管理員被限制不能執行以下操作:
|
| 全域讀取器 | 擁有 Defender for Cloud Apps 所有面向的完整唯讀權限。 無法更改任何設定或採取任何操作。 |
*Microsoft 建議您使用權限最少的角色。 此策略有助於提升組織的安全。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
注意事項
幾乎所有應用程式治理體驗都只由 Microsoft Entra ID 角色控制。 唯一的例外是 進階狩獵中的 OAuthAppInfo 表格。 Defender for Cloud Apps 中的統一 RBAC 權限可授權存取此特定表格中的應用程式治理資料。
在 Defender 全面偵測回應的統一警示與事件體驗中,應用程式治理資料的存取僅由 Microsoft Entra ID 控制。
欲了解更多關於應用程式治理權限的資訊,請參閱 應用程式治理角色。
角色及權限
| 權限 | 全域 系統管理員 |
安全性 系統管理員 |
合規性 系統管理員 |
合規性 資料管理員 |
安全性 運算子 |
安全性 讀者 |
全域 讀者 |
PBI 管理員 | 雲端應用程式 安全性系統管理員 |
|---|---|---|---|---|---|---|---|---|---|
| 讀取警示 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 管理警示 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| 閱讀OAuth申請 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行 OAuth 應用程式操作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取發現的應用程式、雲端應用程式目錄及其他雲端發現資料 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 配置 API 連接器 | ✔ | ✔ | ✔ | ✔ | |||||
| 執行雲端發現動作 | ✔ | ✔ | ✔ | ||||||
| 存取檔案資料與檔案政策 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行檔案動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取治理日誌 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行治理日誌動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 存取範圍檢索治理日誌 | ✔ | ✔ | ✔ | ||||||
| 讀取原則 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 執行所有政策動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 執行檔案政策動作 | ✔ | ✔ | ✔ | ✔ | ✔ | ||||
| 執行 OAuth 政策動作 | ✔ | ✔ | ✔ | ✔ | |||||
| 檢視 管理管理員存取 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 管理管理員與活動隱私 | ✔ | ✔ | ✔ |
Defender for Cloud Apps 內建管理員角色
以下特定的管理員角色可在 Microsoft Defender 入口網站的權限>雲端應用程式>角色區設定:
| 角色名稱 | 描述 |
|---|---|
| 全域管理員 | 擁有類似 Microsoft Entra 全球管理員角色的完整存取權,但僅限於 Defender for Cloud Apps。 |
| 合規性系統管理員 | 授予與 Microsoft Entra 合規管理員角色相同的權限,但僅限於 Defender for Cloud Apps。 |
| 安全性讀取者 | 授予與 Microsoft Entra Security 閱讀器角色相同的權限,但僅限於 Defender for Cloud Apps。 |
| 安全性操作員 | 授予與 Microsoft Entra 安全操作員角色相同的權限,但僅限於 Defender for Cloud Apps。 |
| 應用程式/實例管理員 | 擁有對 Defender for Cloud Apps 中所有專門處理特定應用程式或應用程式實例的資料的全部或唯讀權限。 舉例來說,你給了使用者管理員權限給你的 Box Europe 實例。 管理員只看到與 Box European 實例相關的資料,無論是檔案、活動、政策、行為或警示:
|
| 使用者群組管理員 | 擁有 Defender for Cloud Apps 中所有資料的全部或唯讀權限,該軟體專門處理分配給它們的特定群組。 例如,如果你將使用者管理員權限指派給「Germany - all users」群組,管理員只能在 Defender for Cloud Apps 中查看和編輯該使用者群組的資訊。 使用者群組管理員擁有以下權限:
附註:
|
| Cloud Discovery 全域管理員 | 擁有查看和編輯所有雲端發現設定與資料的權限。 全球發現管理員擁有以下權限:
|
| Cloud Discovery 報告管理員 |
|
重要事項
Microsoft 建議您使用權限最少的角色。 此策略有助於提升組織的安全。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
內建的 Defender for Cloud Apps 管理員角色只提供 Defender for Cloud Apps 的存取權限。
覆寫系統管理員權限
若要覆蓋管理員在 Microsoft Entra ID 或 Microsoft 365 的權限,您可以手動將使用者加入 Defender for Cloud Apps,並指派權限給使用者。 舉例來說,如果你想指派 Microsoft Entra ID 中的 Stephanie(她是安全閱讀器),在 Defender for Cloud Apps 中擁有完全存取權,你可以手動將她加入 Defender for Cloud Apps,並賦予她完全權限以覆蓋她的角色並賦予必要的權限Defender for Cloud Apps。 你無法覆蓋授予完整存取權限 (全域管理員、安全管理員和雲端應用程式安全管理員) 的 Microsoft Entra 角色。
重要事項
Microsoft 建議您使用權限最少的角色。 此策略有助於提升組織的安全。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
新增其他系統管理員
你可以在 Defender for Cloud Apps 新增管理員,而不必將使用者加入 Microsoft Entra 的管理員角色。 要新增管理員,請執行以下步驟:
重要事項
- 管理 管理員存取 頁面開放給全球管理員、安全管理員、合規管理員、合規資料管理員、安全操作員、安全閱讀者及全球閱讀者群組的成員。
- 要編輯管理管理員存取頁面並授權其他使用者使用 Defender for Cloud Apps,您必須至少擁有安全管理員角色。
Microsoft 建議您使用權限最少的角色。 此策略有助於提升組織的安全。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
在 Microsoft Defender 入口網站的左側選單中,選擇權限。
在 雲端應用程式中,選擇 角色。
選擇 +Add 使用者以新增應該有權限使用 Defender for Cloud Apps 的管理員。 提供組織內部使用者的電子郵件地址。
注意事項
如果你想為Defender for Cloud Apps新增外部託管安全服務供應商 (MSSP) 作為管理員,務必先邀請他們作為訪客加入你的組織。
接著,選擇下拉選單來設定管理員的角色類型。 如果你選擇 App/Instance 管理員,請選擇管理員擁有權限的應用程式和實例。
注意事項
限制存取管理員嘗試存取受限制頁面或執行受限制操作時,會收到錯誤訊息表示他們沒有權限存取該頁面或執行該動作。
選擇 新增管理員。
邀請外部管理員
Defender for Cloud Apps讓您能邀請外部管理員 (MSSP) 作為您組織 (MSSP 客戶) Defender for Cloud Apps 服務的管理員。 要新增 MSSP,請確保 MSSP 租戶啟用 Defender for Cloud Apps,然後將他們加入 MSSP 客戶的 Azure 入口網站,成為 Microsoft Entra B2B 協作使用者。 新增後,MSSP 可設定為管理員,並指派 Defender for Cloud Apps 中任一角色。
要將 MSSP 加入 MSSP 客戶的 Defender for Cloud Apps 服務
- 在 MSSP 客戶目錄中,依「 新增訪客使用者」的步驟,將 MSSP 新增為訪客。
- 新增 MSSP,並在 MSSP 客戶的 Defender for Cloud Apps 中指定管理員角色,使用新增管理員的步驟。 提供與 MSSP 客戶目錄中新增訪客時相同的外部電子郵件地址。
MSSP 可存取 MSSP 客戶的 Defender for Cloud Apps 服務
預設情況下,MSSP會透過以下網址存取其Defender for Cloud Apps租戶: https://security.microsoft.com
然而,MSSP 需要使用租戶專屬的 URL 格式存取 MSSP 客戶的 Microsoft Defender 入口網站:https://security.microsoft.com/?tid=<tenant_id>。
MSSP 可透過以下步驟取得 MSSP 客戶入口網站的租戶 ID,然後利用該 ID 存取租戶專屬的 URL:
- 作為 MSSP,請用你的憑證登入 Microsoft Entra ID。
- 將目錄切換到 MSSP 客戶的租戶。
- 選擇 Microsoft Entra ID>Properties。 MSSP 的客戶租戶 ID 在 租戶識別 欄位。
- 請將以下網址中的值替換
customer_tenant_id至 MSSP 客戶入口網站:https://security.microsoft.com/?tid=<tenant_id>。
管理員活動稽核
Defender for Cloud Apps 允許匯出管理員登入活動的日誌,以及對特定使用者檢視或作為調查一部分的警示的審核。
要匯出原木,請執行以下步驟:
在 Microsoft Defender 入口網站的左側選單中,選擇權限。
在 雲端應用程式中,選擇 角色。
在管理員角色頁面右上角,選擇匯出管理員活動。
指定所需的時間範圍。
選取 [匯出]。