Condividi tramite

Configurare l'accesso amministratore

  • Articolo

Microsoft Defender for Cloud Apps supporta il controllo degli accessi in base al ruolo. Questo articolo fornisce istruzioni per impostare l'accesso a Defender for Cloud Apps per gli amministratori. Per altre informazioni sull'assegnazione dei ruoli di amministratore, vedere gli articoli per Microsoft Entra ID e Microsoft 365.

Ruoli di Microsoft 365 e Microsoft Entra con accesso a Defender for Cloud Apps

Nota

  • I ruoli di Microsoft 365 e Microsoft Entra non sono elencati nella pagina Defender for Cloud Apps Gestisci accesso amministratore. Per assegnare ruoli in Microsoft 365 o Microsoft Entra ID, passare alle impostazioni del controllo degli accessi in base al ruolo pertinenti per il servizio.
  • Defender for Cloud Apps usa Microsoft Entra ID per determinare l'impostazione del timeout di inattività a livello di directory dell'utente. Se un utente è configurato in Microsoft Entra ID per non disconnettersi mai quando è inattivo, la stessa impostazione verrà applicata anche in Defender for Cloud Apps.

Per impostazione predefinita, i ruoli di amministratore di Microsoft 365 e Microsoft Entra ID seguenti hanno accesso a Defender for Cloud Apps:

Nome del ruolo Descrizione
amministratore di amministratore globale e sicurezza Gli amministratori con accesso completo dispongono di autorizzazioni complete in Defender for Cloud Apps. Possono aggiungere amministratori, aggiungere criteri e impostazioni, caricare i log ed eseguire azioni di governance, accedere e gestire gli agenti SIEM.
Cloud App Security amministratore Consente l'accesso completo e le autorizzazioni in Defender for Cloud Apps. Questo ruolo concede autorizzazioni complete a Defender for Cloud Apps, ad esempio il ruolo amministratore globale Microsoft Entra ID. Tuttavia, l'ambito di questo ruolo è Defender for Cloud Apps e non concede autorizzazioni complete per altri prodotti di sicurezza Microsoft.
Amministratore di conformità Disporre di autorizzazioni di sola lettura e gestire gli avvisi. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud. Può creare e modificare i criteri dei file, consentire azioni di governance dei file e visualizzare tutti i report predefiniti in Gestione dati.
Amministratore dati di conformità Dispone di autorizzazioni di sola lettura, può creare e modificare criteri di file, consentire azioni di governance dei file e visualizzare tutti i report di individuazione. Non è possibile accedere alle raccomandazioni sulla sicurezza per le piattaforme cloud.
Operatore della sicurezza Disporre di autorizzazioni di sola lettura e gestire gli avvisi. A questi amministratori viene impedito di eseguire le azioni seguenti:
  • Creare criteri o modificare e modificare quelli esistenti
  • Esecuzione di qualsiasi azione di governance
  • Caricamento dei log di individuazione
  • Divieto o approvazione di app di terze parti
  • Accesso e visualizzazione della pagina delle impostazioni dell'intervallo di indirizzi IP
  • Accesso e visualizzazione di tutte le pagine delle impostazioni di sistema
  • Accesso e visualizzazione delle impostazioni di individuazione
  • Accesso e visualizzazione della pagina Connettori app
  • Accesso e visualizzazione del log di governance
  • Accesso e visualizzazione della pagina Gestisci report snapshot
Ruolo con autorizzazioni di lettura per la sicurezza Dispone di autorizzazioni di sola lettura e può creare token di accesso API. A questi amministratori viene impedito di eseguire le azioni seguenti:
    Creare criteri o modificare e modificare quelli esistenti
  • Esecuzione di qualsiasi azione di governance
  • Caricamento dei log di individuazione
  • Divieto o approvazione di app di terze parti
  • Accesso e visualizzazione della pagina delle impostazioni dell'intervallo di indirizzi IP
  • Accesso e visualizzazione di tutte le pagine delle impostazioni di sistema
  • Accesso e visualizzazione delle impostazioni di individuazione
  • Accesso e visualizzazione della pagina Connettori app
  • Accesso e visualizzazione del log di governance
  • Accesso e visualizzazione della pagina Gestisci report snapshot
Ruolo con autorizzazioni di lettura globali Ha accesso completo in sola lettura a tutti gli aspetti della Defender for Cloud Apps. Non è possibile modificare le impostazioni o eseguire azioni.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Nota

Le funzionalità di governance delle app sono controllate solo dai ruoli Microsoft Entra ID. Per altre informazioni, vedere Ruoli di governance delle app.

Ruoli e autorizzazioni

Autorizzazioni Amministratore globale Amministratore della sicurezza Amministrazione di conformità Amministrazione dei dati di conformità Operatore della sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Ruolo con autorizzazioni di lettura globali Amministrazione PBI amministratore Cloud App Security
Lettura degli avvisi
Gestire gli avvisi
Leggere le applicazioni OAuth
Eseguire azioni dell'applicazione OAuth
Accedere alle app individuate, al catalogo di app cloud e ad altri dati di individuazione cloud
Configurare i connettori API
Eseguire azioni di individuazione cloud
Accedere ai dati dei file e ai criteri dei file
Eseguire azioni file
Accedere al log di governance
Eseguire azioni del log di governance
Accedere al log di governance dell'individuazione con ambito
Lettura dei criteri
Eseguire tutte le azioni dei criteri
Eseguire azioni dei criteri di file
Eseguire azioni dei criteri OAuth
Visualizzare gestire l'accesso amministratore
Gestire la privacy degli amministratori e delle attività

Ruoli di amministratore predefiniti in Defender for Cloud Apps

I ruoli di amministratore specifici seguenti possono essere configurati nel portale di Microsoft Defender nell'area Ruoli delle app > cloud per le autorizzazioni>:

Nome del ruolo Descrizione
Amministratore globale L'accesso completo è simile al ruolo di amministratore globale Microsoft Entra, ma solo a Defender for Cloud Apps.
Amministratore di conformità Concede le stesse autorizzazioni del ruolo di amministratore della conformità Microsoft Entra, ma solo per Defender for Cloud Apps.
Ruolo con autorizzazioni di lettura per la sicurezza Concede le stesse autorizzazioni del ruolo lettore di sicurezza Microsoft Entra, ma solo per Defender for Cloud Apps.
Operatore della sicurezza Concede le stesse autorizzazioni del ruolo dell'operatore Microsoft Entra Security, ma solo per Defender for Cloud Apps.
Amministratore dell'app/istanza Dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender for Cloud Apps che si occupa esclusivamente dell'app o dell'istanza specifica di un'app selezionata.

Ad esempio, si concede a un amministratore utente l'autorizzazione per l'istanza di Box European. L'amministratore visualizzerà solo i dati correlati all'istanza di Box European, che si tratti di file, attività, criteri o avvisi:
  • Pagina Attività - Solo le attività relative all'app specifica
  • Avvisi: solo avvisi relativi all'app specifica. In alcuni casi, i dati di avviso correlati a un'altra app se i dati sono correlati all'app specifica. La visibilità dei dati degli avvisi correlati a un'altra app è limitata e non è disponibile l'accesso al drill-down per altri dettagli
  • Criteri: può visualizzare tutti i criteri e se le autorizzazioni complete assegnate possono modificare o creare solo criteri che gestiscono esclusivamente l'app/istanza
  • Pagina Account : solo account per l'app o l'istanza specifica
  • Autorizzazioni dell'app: solo autorizzazioni per l'app o l'istanza specifica
  • Pagina File - Solo i file dell'app o dell'istanza specifica
  • Controllo dell'app per l'accesso condizionale - Nessuna autorizzazione
  • Attività di individuazione cloud - Nessuna autorizzazione
  • Estensioni di sicurezza: solo le autorizzazioni per il token API con autorizzazioni utente
  • Azioni di governance: solo per l'app o l'istanza specifica
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione
Amministratore del gruppo di utenti Dispone di autorizzazioni complete o di sola lettura per tutti i dati in Defender for Cloud Apps che si occupa esclusivamente dei gruppi specifici assegnati. Ad esempio, se si assegnano autorizzazioni di amministratore utente al gruppo "Germania - tutti gli utenti", l'amministratore può visualizzare e modificare le informazioni in Defender for Cloud Apps solo per tale gruppo di utenti. L'amministratore del gruppo di utenti ha l'accesso seguente:

  • Pagina Attività : solo le attività relative agli utenti del gruppo
  • Avvisi: solo avvisi relativi agli utenti del gruppo. In alcuni casi, i dati di avviso relativi a un altro utente se i dati sono correlati agli utenti del gruppo. La visibilità dei dati degli avvisi relativi a un altro utente è limitata e non è possibile eseguire il drill-down per altri dettagli.
  • Criteri: può visualizzare tutti i criteri e se le autorizzazioni complete assegnate possono modificare o creare solo criteri che gestiscono esclusivamente gli utenti del gruppo
  • Pagina Account: solo gli account per gli utenti specifici del gruppo
  • Autorizzazioni dell'app: nessuna autorizzazione
  • Pagina File: nessuna autorizzazione
  • Controllo dell'app per l'accesso condizionale - Nessuna autorizzazione
  • Attività di individuazione cloud - Nessuna autorizzazione
  • Estensioni di sicurezza: solo le autorizzazioni per il token API con gli utenti nel gruppo
  • Azioni di governance: solo per gli utenti specifici del gruppo
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione


Note:
  • Per assegnare i gruppi agli amministratori del gruppo di utenti, è prima necessario importare i gruppi di utenti dalle app connesse.
  • È possibile assegnare agli amministratori dei gruppi di utenti solo le autorizzazioni per i gruppi di Microsoft Entra importati.
Amministratore globale di Cloud Discovery Dispone dell'autorizzazione per visualizzare e modificare tutte le impostazioni e i dati di individuazione cloud. L'amministratore di Individuazione globale ha l'accesso seguente:

  • Impostazioni: Impostazioni di sistema - Solo visualizzazione; Impostazioni di Cloud Discovery- Visualizzare e modificare tutto (le autorizzazioni di anonimizzazione dipendono dal fatto che sia stato consentito durante l'assegnazione di ruolo)
  • Attività di individuazione cloud - Autorizzazioni complete
  • Avvisi: visualizzare e gestire solo gli avvisi correlati al report di individuazione cloud pertinente
  • Criteri: può visualizzare tutti i criteri e può modificare o creare solo criteri di individuazione cloud
  • Pagina Attività - Nessuna autorizzazione
  • Pagina Account - Nessuna autorizzazione
  • Autorizzazioni dell'app: nessuna autorizzazione
  • Pagina File: nessuna autorizzazione
  • Controllo dell'app per l'accesso condizionale - Nessuna autorizzazione
  • Estensioni di sicurezza: creazione ed eliminazione di token API personalizzati
  • Azioni di governance - Solo azioni correlate a Cloud Discovery
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione
Amministratore del report di Cloud Discovery
  • Impostazioni: Impostazioni di sistema - Solo visualizzazione; Impostazioni di individuazione cloud: visualizzare tutto (le autorizzazioni di anonimizzazione dipendono dal fatto che siano state consentite durante l'assegnazione di ruolo)
  • Attività di individuazione cloud : solo autorizzazioni di lettura
  • Avvisi: visualizzare solo gli avvisi correlati al report di individuazione cloud pertinente
  • Criteri: può visualizzare tutti i criteri e creare solo criteri di individuazione del cloud, senza la possibilità di gestire l'applicazione (applicazione di tag, sanzioni e non approvate)
  • Pagina Attività - Nessuna autorizzazione
  • Pagina Account - Nessuna autorizzazione
  • Autorizzazioni dell'app: nessuna autorizzazione
  • Pagina File: nessuna autorizzazione
  • Controllo dell'app per l'accesso condizionale - Nessuna autorizzazione
  • Estensioni di sicurezza: creazione ed eliminazione di token API personalizzati
  • Azioni di governance: visualizzare solo le azioni correlate al report di individuazione cloud pertinente
  • Consigli sulla sicurezza per le piattaforme cloud - Nessuna autorizzazione
  • Intervalli IP - Nessuna autorizzazione

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

I ruoli di amministratore Defender for Cloud Apps predefiniti forniscono solo le autorizzazioni di accesso per Defender for Cloud Apps.

Scavalcare le autorizzazioni di amministratore

Per eseguire l'override dell'autorizzazione di un amministratore da Microsoft Entra ID o Microsoft 365, è possibile aggiungere manualmente l'utente a Defender for Cloud Apps e assegnare le autorizzazioni utente. Ad esempio, se si desidera assegnare a Stephanie, che è un lettore di sicurezza in Microsoft Entra ID di avere accesso completo in Defender for Cloud Apps, è possibile aggiungerla manualmente a Defender for Cloud Apps e assegnare l'accesso completo per ignorare il ruolo e consentirle le autorizzazioni necessarie in Defender for Cloud Apps. Si noti che non è possibile eseguire l'override dei ruoli Microsoft Entra che concedono l'accesso completo (amministratore globale, amministratore della sicurezza e amministratore Cloud App Security).

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Aggiungere amministratori addizionali

È possibile aggiungere altri amministratori a Defender for Cloud Apps senza aggiungere utenti ai ruoli amministrativi Microsoft Entra. Per aggiungere altri amministratori, seguire questa procedura:

Importante

  • L'accesso alla pagina Gestisci accesso amministratore è disponibile per i membri dei gruppi Global Administrators, Security Administrators, Compliance Administrators, Compliance Data Administrators, Security Operators, Security Reader e Global Readers.
  • Per modificare la pagina Gestisci accesso amministratore e concedere ad altri utenti l'accesso a Defender for Cloud Apps, è necessario disporre almeno di un ruolo di amministratore della sicurezza.

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  1. Nel portale Microsoft Defender selezionare Autorizzazioni nel menu a sinistra.

  2. In App cloud scegliere Ruoli.

Menu Autorizzazioni.

  1. Selezionare +Aggiungi utente per aggiungere gli amministratori che devono avere accesso a Defender for Cloud Apps. Specificare un indirizzo di posta elettronica di un utente dall'interno dell'organizzazione.

    Nota

    Se si desidera aggiungere provider di servizi di sicurezza gestiti esterni come amministratori per Defender for Cloud Apps, assicurarsi di invitarli come guest all'organizzazione.

    aggiungere amministratori.

  2. Selezionare quindi l'elenco a discesa per impostare il tipo di ruolo dell'amministratore. Se si seleziona Amministratore app/istanza, selezionare l'app e l'istanza per cui l'amministratore deve avere le autorizzazioni.

    Nota

    Qualsiasi amministratore, il cui accesso è limitato, che tenta di accedere a una pagina con restrizioni o di eseguire un'azione limitata riceverà un errore che indica che non dispone dell'autorizzazione per accedere alla pagina o eseguire l'azione.

  3. Selezionare Aggiungi amministratore.

Invitare amministratori esterni

Defender for Cloud Apps consente di invitare amministratori esterni (MSSP) come amministratori del servizio Defender for Cloud Apps dell'organizzazione (cliente MSSP). Per aggiungere provider di servizi condivisi, assicurarsi che Defender for Cloud Apps sia abilitato nel tenant mssp e quindi aggiungerli come Microsoft Entra utenti di collaborazione B2B nei clienti mssp portale di Azure. Dopo l'aggiunta, i provider di servizi mssp possono essere configurati come amministratori e assegnati a uno dei ruoli disponibili in Defender for Cloud Apps.

Per aggiungere provider di servizi condivisi al servizio Defender for Cloud Apps cliente MSSP

  1. Aggiungere mssp come guest nella directory del cliente MSSP seguendo la procedura descritta in Aggiungere utenti guest alla directory.
  2. Aggiungere provider di servizi condivisi e assegnare un ruolo di amministratore nel portale di Defender for Cloud Apps del cliente MSSP seguendo la procedura descritta in Aggiungere altri amministratori. Specificare lo stesso indirizzo di posta elettronica esterno usato per aggiungerli come guest nella directory dei clienti MSSP.

Accesso per provider di servizi condivisi al servizio Defender for Cloud Apps del cliente MSSP

Per impostazione predefinita, i provider di servizi cloud accedono al tenant Defender for Cloud Apps tramite l'URL seguente: https://security.microsoft.com.

I provider di servizi condivisi, tuttavia, dovranno accedere al portale Microsoft Defender cliente MSSP usando un URL specifico del tenant nel formato seguente: https://security.microsoft.com/?tid=<tenant_id>.

I provider di servizi condivisi possono usare la procedura seguente per ottenere l'ID tenant del portale del cliente MSSP e quindi usare l'ID per accedere all'URL specifico del tenant:

  1. Come provider di servizi condivisi, accedere a Microsoft Entra ID con le credenziali.

  2. Passare alla directory del tenant del cliente MSSP.

  3. Selezionare Microsoft Entra ID>Proprietà. L'ID tenant del cliente MSSP è disponibile nel campo ID tenant .

  4. Accedere al portale del cliente MSSP sostituendo il customer_tenant_id valore nell'URL seguente: https://security.microsoft.com/?tid=<tenant_id>.

controllo attività Amministrazione

Defender for Cloud Apps consente di esportare un log delle attività di accesso dell'amministratore e un controllo delle visualizzazioni di un utente specifico o degli avvisi eseguiti come parte di un'indagine.

Per esportare un log, seguire questa procedura:

  1. Nel portale Microsoft Defender selezionare Autorizzazioni nel menu a sinistra.

  2. In App cloud scegliere Ruoli.

  3. Nella pagina Amministrazione ruoli selezionare Esporta attività di amministrazione nell'angolo in alto a destra.

  4. Specificare l'intervallo di tempo necessario.

  5. Selezionare Esporta.

Passaggi successivi

Configurare l'individuazione cloud