问题描述
根据以下链接,我们可以将 Azure AD 中的全局管理员或安全管理员角色分配给用户,并提供对 Microsoft Cloud App Security 门户的完全访问权限。 https://docs.microsoft.com/en-us/cloud-app-security/manage-admins#office-365-and-azure-ad-roles-with-access-to-cloud-app-security 但是,通过这些角色,用户还可以获得对 Azure AD 其他功能的特权管理员访问权限。我们希望限制角色仅在 Microsoft Cloud App Security 门户中提供完全访问权限。是否可以创建仅具有 Microsoft Cloud App Security 权限的自定义角色?
解决方法
很遗憾,不支持创建具有 Microsoft Cloud App Security 门户完全访问权限的自定义 AAD 角色。
目前,自定义角色支持应用程序注册和企业应用程序的权限。查看详情here。
Microsoft Cloud App Security 门户的完全访问权限应为 microsoft.directory/cloudAppSecurity/allProperties/allTasks。当我尝试在 Azure 门户中查找它时,您可以看到它未在页面中列出。
您可以在此 page 中查询 microsoft.directory/cloudAppSecurity/allProperties/allTasks 并选择权限最少的那个分配给需要分配 Cloud App Security 门户管理员角色的用户。
最近微软提出了一个名为“云应用安全管理员”的新角色。此角色提供对 MCAS 的完全管理员访问权限,而不提供任何其他 Azure AD 配置的特权访问权限。未找到任何文档,但在 Azure AD 门户中可以看到。