Řízení připojených aplikací

Zásady správného řízení umožňují řídit, co uživatelé dělají napříč aplikacemi. U připojených aplikací můžete na soubory nebo aktivity uplatnit akce zásad správného řízení. Akce zásad správného řízení jsou integrované akce, které můžete spouštět u souborů nebo aktivit přímo v programu Microsoft Defender for Cloud Apps. Akce zásad správného řízení určují, co dělají vaši uživatelé napříč připojenými aplikacemi. Informace o tom, kde můžete používat akce zásad správného řízení, najdete v tématu Řízení připojených aplikací.

Poznámka:

Když se Microsoft Defender for Cloud Apps pokusí spustit akci zásad správného řízení na souboru, ale selže, protože je soubor uzamčený, automaticky zopakuje akci zásad správného řízení.

Akce zásad správného řízení souborů

U připojených aplikací je možné provést následující akce zásad správného řízení, a to buď s konkrétním souborem, uživatelem nebo na základě určité zásady.

  • Oznámení:

    • Výstrahy – Výstrahy se dají aktivovat v systému a rozšířit prostřednictvím e-mailu na základě úrovně závažnosti.

    • E-mailové oznámení uživatele – E-mailové zprávy lze přizpůsobit a budou odeslány všem vlastníkům souborů.

    • Upozorněte konkrétní uživatele – konkrétní seznam e-mailových adres, které budou tato oznámení dostávat.

    • Oznámit poslednímu editoru souborů – Pošlete oznámení poslední osobě, která soubor upravila.

  • Akce zásad správného řízení v aplikacích – Podrobné akce se dají vynutit pro každou aplikaci, konkrétní akce se liší v závislosti na terminologii aplikace.

    • Označování

      • Použití popisku – možnost přidat popisek citlivosti Microsoft Purview Information Protection
      • Odebrat popisek – Možnost odebrat popisek citlivosti Microsoft Purview Information Protection
    • Změna sdílení

      • Odebrat veřejné sdílení – Povolí přístup pouze pojmenovaných spolupracovníkům, například: Odebrání veřejného přístupu pro Google Workspace a odebrání přímého sdíleného odkazu pro Box a Dropbox.

      • Odebrat externí uživatele – Povolí přístup jenom uživatelům společnosti.

      • Nastavit jako soukromé – k souboru mají přístup jenom Správa webu, odeberou se všechny sdílené složky.

      • Odebrání spolupracovníka – Odeberte ze souboru konkrétního spolupracovníka.

      • Omezení veřejného přístupu – Nastavte veřejně dostupné soubory tak, aby byly dostupné jenom se sdíleným odkazem. (Google)

      • Vypršení platnosti sdíleného odkazu – Možnost nastavit datum vypršení platnosti sdíleného odkazu, po kterém už nebude aktivní. (Box)

      • Změna úrovně přístupu ke sdílení odkazu – Možnost změnit úroveň přístupu sdíleného propojení mezi jenom společností, jenom spolupracovníky a veřejnými. (Box)

    • Karanténa

      • Umístit do karantény uživatele – Povolit samoobslužnou službu přesunutím souboru do složky karantény řízené uživatelem

      • Umístit do karantény správce – Soubor se přesune do karantény na jednotce správce a správce ho musí schválit.

    • Dědit oprávnění z nadřazeného objektu – Tato akce zásad správného řízení umožňuje odebrat konkrétní oprávnění nastavená pro soubor nebo složku v Microsoftu 365. Pak se vraťte k jakýmkoli oprávněním nastaveným pro nadřazenou složku.

    • Koš – Přesuňte soubor do složky koše. (Box, Dropbox, Disk Google, OneDrive, SharePoint, Cisco Webex)

    policy_create alerts.

Akce zásad správného řízení malwaru (Preview)

U připojených aplikací je možné provést následující akce zásad správného řízení, a to buď s konkrétním souborem, uživatelem nebo na základě určité zásady. Z bezpečnostních důvodů je tento seznam omezen pouze na akce související s malwarem, které neznamenají riziko pro uživatele nebo tenanta.

  • Oznámení:

    • Výstrahy – Výstrahy se dají aktivovat v systému a rozšířit prostřednictvím e-mailu a textové zprávy na základě úrovně závažnosti.
  • Akce zásad správného řízení v aplikacích – Podrobné akce se dají vynutit pro každou aplikaci, konkrétní akce se liší v závislosti na terminologii aplikace.

    • Změna sdílení

      • Odebrat externí uživatele – Povolí přístup jenom uživatelům společnosti. (Box, Disk Google, OneDrive, SharePoint)
      • Odebrání přímého sdíleného odkazu – Odebrání oprávnění předchozích sdílených odkazů (Box, Dropbox)
    • Karanténa

      • Umístit do karantény uživatele – Povolit samoobslužnou službu přesunutím souboru do složky karantény řízené uživatelem (Box, OneDrive, SharePoint)
      • Umístit do karantény správce – Soubor se přesune do karantény na jednotce správce a správce ho musí schválit. (Box)
    • Koš – Přesuňte soubor do složky koše. (Box, Dropbox, Disk Google, OneDrive, SharePoint)

Malware governance actions.

Poznámka:

V SharePointu a OneDrivu podporuje Defender for Cloud Apps umístění uživatelů do karantény jenom pro soubory v knihovnách sdílených dokumentů (SharePoint Online) a soubory v knihovně Dokumentů (OneDrive pro firmy).

Zákazníci Microsoft Defenderu pro Microsoft 365 můžou kontrolovat zjištěné soubory malwaru na SharePointu a OneDrivu prostřednictvím stránky karantény v programu Microsoft Defender XDR. Mezi podporované aktivity patří například obnovení souborů, odstranění souborů a stahování souborů v souborech ZIP chráněných heslem. Tyto aktivity jsou omezené na soubory, které ještě nebyly v karanténě v programu Microsoft Defender for Cloud Apps. V SharePointu podporuje Defender for Cloud Apps úkoly karantény jenom pro soubory se sdílenými dokumenty v cestě v angličtině.

Akce se zobrazí jenom pro připojené aplikace.

Použití akcí zásad správného řízení aktivit

  • Oznámení

    • Výstrahy – Výstrahy se dají aktivovat v systému a rozšířit prostřednictvím e-mailu na základě úrovně závažnosti.

    • E-mailové oznámení uživatele – E-mailové zprávy lze přizpůsobit a budou odeslány všem vlastníkům souborů.

    • Upozorněte další uživatele – konkrétní seznam e-mailových adres, které budou tato oznámení dostávat.

  • Akce zásad správného řízení v aplikacích – Podrobné akce se dají vynutit pro každou aplikaci, konkrétní akce se liší v závislosti na terminologii aplikace.

    • Pozastavit uživatele – pozastaví uživatele z aplikace.

      Poznámka:

      Pokud je vaše ID Microsoft Entra nastavené tak, aby se automaticky synchronizovalo s uživateli v místním prostředí služby Active Directory, nastavení v místním prostředí přepíše nastavení Microsoft Entra a tato akce zásad správného řízení se vrátí zpět.

    • Vyžadovat, aby se uživatel znovu přihlásil – Odhlásí uživatele a vyžaduje, aby se znovu přihlásil.

    • Potvrďte ohrožení zabezpečení uživatele – nastavte úroveň rizika uživatele na vysokou. To způsobí vynucení příslušných akcí zásad definovaných v ID Microsoft Entra. Další informace o tom, jak Microsoft Entra ID funguje s úrovněmi rizik, naleznete v tématu Jak Microsoft Entra ID používá mou zpětnou vazbu k riziku.

    Defender for Cloud Apps activity policy governance actions.

Odvolání aplikace OAuth a upozornění uživatele

Pro Google Workspace a Salesforce je možné odvolat oprávnění k aplikaci OAuth nebo upozornit uživatele, že by měl oprávnění změnit. Když odvoláte oprávnění, odebere všechna oprávnění udělená aplikaci v části Podnikové aplikace v Microsoft Entra ID.

  1. Na kartách Google nebo Salesforce na stránce zásad správného řízení aplikací vyberte tři tečky na konci řádku aplikace a vyberte Upozornit uživatele. Ve výchozím nastavení bude uživatel upozorněn takto: Aplikaci jste autorizovali pro přístup k vašemu účtu Google Workspace. Tato aplikace je v konfliktu se zásadami zabezpečení vaší organizace. Znovu zvažte udělení nebo odvolání oprávnění, která jste této aplikaci udělili ve svém účtu Google Workspace. Pokud chcete odvolat přístup k aplikaci, přejděte na: https://security.google.com/settings/security/permissions?hl=en& pli=1 Vyberte aplikaci a v pravém řádku nabídek vyberte Odvolat přístup. Odeslanou zprávu můžete přizpůsobit.

  2. Můžete také odvolat oprávnění k používání aplikace pro uživatele. Vyberte ikonu na konci řádku aplikace v tabulce a vyberte Odvolat aplikaci. Příklad:

    Screenshot of an example of the Revoke app option.

Konflikty zásad správného řízení

Po vytvoření více zásad může nastat situace, při které se akce zásad správného řízení v různých zásadách překrývají. V tomto případě bude Defender for Cloud Apps zpracovávat akce zásad správného řízení následujícím způsobem:

Konflikty mezi zásadami

  • Pokud dvě zásady obsahují akce, které jsou mezi sebou obsažené (například Odebrání externích sdílených složek je součástí Nastavení soukromí), Defender for Cloud Apps konflikt vyřeší a vynutí se silnější akce.
  • Pokud akce nesouvisejí (například Oznámit vlastníka a Nastavit jako soukromé). provedou se obě akce.
  • Pokud dojde ke konfliktu akcí (například Změnit vlastníka na uživatele A a Změnit vlastníka na uživatele B), můžou mít různé výsledky za následek každou shodu. Je důležité změnit zásady, aby se zabránilo konfliktům, protože můžou vést k nežádoucím změnám na jednotce, které budou obtížné rozpoznat.

Konflikty v synchronizaci uživatelů

  • Pokud je vaše ID Microsoft Entra nastavené tak, aby se automaticky synchronizovalo s uživateli v místním prostředí Služby Active Directory, nastavení v místním prostředí přepíše nastavení Microsoft Entra a tato akce zásad správného řízení se vrátí zpět.

Protokol zásad správného řízení

Protokol zásad správného řízení poskytuje záznam stavu jednotlivých úloh, které nastavíte pro spuštění Defenderu pro Cloud Apps, včetně ručních i automatických úloh. Mezi tyto úlohy patří ty, které jste nastavili v zásadách, akcích zásad správného řízení, které nastavíte pro soubory a uživatele, a všechny další akce, které nastavíte na Defender for Cloud Apps. Protokol zásad správného řízení také poskytuje informace o úspěchu nebo neúspěchu těchto akcí. Některé akce zásad správného řízení můžete z protokolu opakovat nebo vrátit zpět.

Pokud chcete zobrazit protokol zásad správného řízení, na portálu Microsoft Defender v části Cloud Apps vyberte protokol zásad správného řízení.

Následující tabulka obsahuje úplný seznam akcí, které portál Defender for Cloud Apps umožňuje provádět. Tyto akce jsou povoleny na různých místech v celé konzole, jak je popsáno ve sloupci Umístění . Každá provedená akce zásad správného řízení je uvedená v protokolu zásad správného řízení. Informace o tom, jak se s akcemi zásad správného řízení zachází v případě konfliktu zásad, najdete v tématu Konflikty zásad.

Umístění Cílový typ objektu Akce zásad správného řízení Popis Související konektory
Účty Soubor Odebrat spolupráce uživatele Pro konkrétního uživatele odebere všechny spolupráce pro všechny soubory – vhodné, pokud pracovník opouští společnost. Box, Google Workspace
Účty Obchodní vztah Zrušit pozastavení účtu uživatele Zruší pozastavení účtu uživatele. Google Workspace, Box, Office, Salesforce
Účty Obchodní vztah Nastavení účtu Přejdete na stránku nastavení účtu v konkrétní aplikaci (například uvnitř Salesforce). Všechny aplikace (nastavení OneDrivu a SharePointu se konfigurují v systému Office)
Účty Soubor Převést vlastnictví všech souborů V rámci účtu se všechny soubory jednoho uživatele převedou do vlastnictví nově zvolené osoby. Předchozí vlastník se stane editorem a už nemůže změnit nastavení sdílení. Nový vlastník obdrží e-mailové oznámení o změně vlastnictví. Google Workspace
Účty, Zásady aktivity Obchodní vztah Pozastavit účet uživateli Nastaví uživatele tak, aby neměl přístup a neměl možnost se přihlásit. Pokud se při nastavování této akce přihlásí, okamžitě se zamkne. Google Workspace, Box, Office, Salesforce
Zásady aktivity, Účty Obchodní vztah Vyžadovat, aby se uživatel znovu přihlásil Odvolá všechny problémy s obnovovacími tokeny a soubory cookie relace pro aplikace uživatelem. Tato akce zabrání přístupu k datům organizace a vynutí uživatele, aby se znovu přihlásil ke všem aplikacím. Google Workspace, Office
Zásady aktivity, Účty Obchodní vztah Potvrzení ohrožení zabezpečení uživatele Nastavte úroveň rizika uživatele na vysokou. To způsobí vynucení příslušných akcí zásad definovaných v ID Microsoft Entra. Office
Zásady aktivity, Účty Obchodní vztah Odvolat oprávnění správce Odvolá oprávnění pro účet správce. Například nastavení zásad aktivity, která odvolá oprávnění správce po 10 neúspěšných pokusech o přihlášení. Google Workspace
Oprávnění aplikace řídicího panelu > Oprávnění Unban app V Google a Salesforce: Odeberte zákaz aplikace a povolte uživatelům udělit oprávnění k aplikaci třetí strany pomocí Google nebo Salesforce. V Microsoftu 365: obnoví oprávnění aplikace třetí strany k Office. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > Oprávnění Zakázání oprávnění aplikací Odvolání oprávnění aplikace třetí strany pro Google, Salesforce nebo Office Jedná se o jednorázovou akci, která se provede u všech existujících oprávnění, ale nezabrání budoucím připojením. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > Oprávnění Povolení oprávnění aplikací Udělte aplikaci třetí strany oprávnění Google, Salesforce nebo Office. Jedná se o jednorázovou akci, která se provede u všech existujících oprávnění, ale nezabrání budoucím připojením. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > Oprávnění Zakázat aplikaci V Googlu a Salesforce: Odvolá oprávnění aplikace třetí strany pro Google nebo Salesforce a zakáže příjem oprávnění v budoucnu. V Microsoftu 365: nepovoluje oprávnění aplikací třetích stran pro přístup k Office, ale neodvolá je. Google Workspace, Salesforce, Office
Oprávnění aplikace řídicího panelu > Oprávnění Odvolat oprávnění k aplikaci Odvolá oprávnění aplikace třetí strany pro Google nebo Salesforce. Jedná se o jednorázovou akci, která se provede u všech existujících oprávnění, ale nezabrání budoucím připojením. Google Workspace, Salesforce
Oprávnění aplikace řídicího panelu > Obchodní vztah Odvolat oprávnění uživatele k aplikaci Když kliknete na číslo v části Uživatelé, můžete odvolat oprávnění konkrétních uživatelů. Na obrazovce se zobrazí konkrétní uživatelé a pomocí X můžete odstranit oprávnění pro libovolného uživatele. Google Workspace, Salesforce
Zjišťování > zjištěných aplikací, IP adres nebo uživatelů Cloud Discovery Exportovat data zjišťování Na základě dat zjišťování vytvoří soubor CSV. Zjišťování
Zásady souborů Soubor Koš Přesune soubor do koše uživatele. Box, Dropbox, Disk Google, OneDrive, SharePoint, Cisco Webex (trvalé odstranění)
Zásady souborů Soubor Oznámit poslednímu editorovi souboru Poslednímu editorovi souboru odešle e-mail s oznámením, že tento soubor narušuje zásady. Google Workspace, Box
Zásady souborů Soubor Oznámit vlastníkovi souboru Odešle e-mail vlastníkovi souboru, když soubor porušuje zásady. Pokud v Dropboxu není k souboru přiřazený vlastník, oznámení se zašle konkrétnímu uživateli, kterého nastavíte. Všechny aplikace
Zásady souborů, Zásady aktivit Soubor, Aktivita Oznámit konkrétním uživatelům Konkrétním uživatelům odešle e-mail s oznámením o souboru, který narušuje zásady. Všechny aplikace
Zásady souborů a Zásady aktivit Soubor, Aktivita Upozornit uživatele Odešle uživatelům e-mail s upozorněním, že něco, co udělali, nebo soubory, který vlastní, narušuje zásady. Můžete přidat vlastní oznámení a dát jim vědět, o jaké narušení šlo. Všechny
Zásady souborů a Soubory Soubor Zakázat sdílení editorům Výchozí editorské oprávnění k souboru v Google Drive umožňuje také sdílení. Tato akce zásad správného řízení omezuje tuto možnost a omezuje sdílení souboru na vlastníka. Google Workspace
Zásady souborů a Soubory Soubor Umístit do karantény správce Odebere ze souboru všechna oprávnění a přesune soubor do složky karantény v umístění pro správce. Tato akce umožňuje správci soubor zkontrolovat a odebrat. Microsoft 365 SharePoint, OneDrive pro firmy, Box
Zásady souborů a Soubory Soubor Použití popisku citlivosti Použije popisek citlivosti microsoft Purview Information Protection na soubory automaticky na základě podmínek nastavených v zásadách. Box, One Drive, Google Workspace, SharePoint
Zásady souborů a Soubory Soubor Odebrání popisku citlivosti Odebere popisek citlivosti microsoft Purview Information Protection ze souborů automaticky na základě podmínek nastavených v zásadách. Popisky můžete odebrat jenom v případě, že neobsahují ochranu a použili se z programu Defender for Cloud Apps, a ne popisky použité přímo ve službě Information Protection. Box, One Drive, Google Workspace, SharePoint
Zásady souborů, zásady aktivit, upozornění Aplikace Vyžadovat, aby se uživatelé znovu přihlásili Můžete vyžadovat, aby se uživatelé znovu přihlásili ke všem aplikacím Microsoft 365 a Microsoft Entra jako rychlá a účinná náprava pro podezřelé výstrahy aktivit uživatelů a ohrožené účty. Nové zásady správného řízení najdete v nastavení zásad a na stránkách upozornění vedle možnosti Pozastavit uživatele. Microsoft 365, Microsoft Entra ID
Files Soubor Obnovit z karantény uživatele Zruší karanténu uživatele. Box
Files Soubor Udělit oprávnění pro čtení sobě Udělí oprávnění pro čtení souboru vám, takže k němu budete mít přístup a budete moct zjistit, jestli u něho došlo k narušení. Google Workspace
Files Soubor Povolit sdílení editorům Výchozí oprávnění editoru souboru v Disku Google umožňuje také sdílení. Tato akce zásad správného řízení je opakem možnosti Odebrat editor sdílení a umožňuje editoru sdílet soubor. Google Workspace
Files Soubor Ochrana Chraňte soubor pomocí služby Azure Information Protection použitím šablony organizace. Microsoft 365 (SharePoint a OneDrive)
Files Soubor Odvolat oprávnění ke čtení ode mne Odvolá oprávnění ke čtení souboru pro vás. To je užitečné, pokud jste si sami udělili oprávnění, abyste zjistili, jestli u souboru došlo k narušení. Google Workspace
Soubory, Zásady souborů Soubor Převést vlastnictví souboru Změní vlastníka – v zásadách zvolíte konkrétního vlastníka. Google Workspace
Soubory, Zásady souborů Soubor Omezení veřejného přístupu Tato akce umožňuje nastavit veřejně dostupné soubory tak, aby byly dostupné jenom se sdíleným odkazem. Google Workspace
Soubory, Zásady souborů Soubor Odebrat spolupracovníka Odebere ze souboru konkrétního spolupracovníka. Google Workspace, Box, One Drive, SharePoint
Soubory, Zásady souborů Soubor Nastavit jako soukromý K souboru mají přístup jenom Správa webu, odeberou se všechny sdílené složky. Google Workspace, One Drive, SharePoint
Soubory, Zásady souborů Soubor Odebrat externí uživatele Odebere všechny externí spolupracovníky (mimo domény, které jsou v Nastavení nakonfigurované jako interní). Google Workspace, Box, One Drive, SharePoint
Soubory, Zásady souborů Soubor Udělit doméně oprávnění pro čtení Udělí souboru oprávnění pro čtení k zadané doméně (celé doméně nebo konkrétní doméně). Tato akce je užitečná, pokud chcete odebrat veřejný přístup po udělení přístupu k doméně lidí, kteří na ní potřebují pracovat. Google Workspace
Soubory, Zásady souborů Soubor Umístit do uživatelské karantény Odebere ze souboru všechna oprávnění a přesune soubor do složky karantény v kořenové jednotce uživatele. Tato akce umožňuje uživateli zkontrolovat soubor a přesunout ho. Pokud se soubor ručně přesune zpět, sdílení souborů se neobnoví. Box, OneDrive, SharePoint
Files Soubor Vypršení platnosti sdíleného odkazu Nastavte datum vypršení platnosti sdíleného odkazu, po kterém už nebude aktivní. Box
Files Soubor Změna úrovně přístupu odkazu ke sdílení Změní úroveň přístupu sdíleného propojení mezi jenom společností, jenom spolupracovníky a veřejností. Box
Soubory, Zásady souborů Soubor Odebrat veřejný přístup Pokud byl soubor váš a vy jste ho umístili do veřejného přístupu, bude přístupný komukoli jinému, kdo má nakonfigurovaný přístup k souboru (v závislosti na tom, jaký typ přístupu k souboru měl). Google Workspace
Soubory, Zásady souborů Soubor Odebrat přímý sdílený odkaz Odebere odkaz vytvořený pro soubor, který je veřejný, ale sdílí jenom s konkrétními lidmi. Box, Dropbox
> nastavení Nastavení Cloud Discovery Cloud Discovery Přepočítat skóre Cloud Discovery Po změně metriky skóre přepočítá skóre v katalogu cloudových aplikací. Zjišťování
> Nastavení nastavení > Cloud Discovery Správa zobrazení dat Cloud Discovery Vytvořit vlastní zobrazení dat filtru Cloud Discovery Vytvoří nové zobrazení dat s podrobnějším zobrazením výsledků zjišťování, například konkrétními rozsahy IP adres. Zjišťování
> odstranění dat Nastavení nastavení > Cloud Discovery Cloud Discovery Odstranit data Cloud Discovery Odstraní všechna data shromážděná ze zdrojů zjišťování. Zjišťování
> Nastavení nastavení > Cloud Discovery – Nahrání protokolů ručně / Nahrávání protokolů automaticky Cloud Discovery Analyzovat data Cloud Discovery Odešle oznámení, že všechna data protokolu byla analyzována. Zjišťování

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.