接続されているアプリからユーザー グループをインポートする
API コネクタを使用してアプリを接続する場合、Microsoft Defender for Cloud Appsでは、Microsoft 365 や Microsoft Entra ID などからユーザー グループをインポートできます。 ユーザー グループには、次の 2 種類があります。
自動グループ:自動グループは、既定でMicrosoft Defender for Cloud Appsによって作成されます。 たとえば、外部と呼ばれる自動ユーザー グループがあり、organizationの外部にあるすべてのアプリのすべてのユーザーを結合し、ファイルにアクセスしたり、テナント内のユーザー アクティビティに参加していたりします。 Defender for Cloud Appsには、次の自動グループが存在します。
- 外部
- Dropbox 管理者
- Microsoft 365 管理者
- Google ワークスペース管理者
- Box 管理者
- Salesforce システム管理者など、すべての Salesforce 標準プロファイルとカスタム プロファイル。 完全な一覧 については、こちらを参照してください。
インポートされたグループ: 接続されているアプリから任意のグループをインポートできます。 たとえば、Microsoft 365 (Active Directory) やその他の接続済みアプリからユーザー グループをインポートできます。 これらのグループを使用すると、組織全体や特定のユーザーを調べることではなく、特定のグループを調べることによって、組織内の脅威を検索できます。
インポートされたユーザー グループを使用する一般的なシナリオは次のとおりです。
- 人事担当者が見るドキュメントの調査。
- エグゼクティブ グループで異常なことが発生しているかどうかを確認します。
- 管理者グループのユーザーが米国外でアクティビティを実行したかどうかを確認します。
Microsoft Defender XDRで、[設定] > [Cloud Apps > システム > ユーザー グループ] > [ ユーザー グループのインポート] を選択します。
[ ユーザー グループのインポート ] ウィンドウで、ユーザー グループをインポートするアプリを選択します。 表示されるアプリは、デプロイしたコネクタによって異なります。
インポートするグループを選択します。 このリストには、アプリ内の既存のユーザー グループの最初の 50 グループが含まれています。 グループが表示されない場合は、リストの上の検索フィールドに検索テキストを入力します。
新しいグループを一覧に追加するには、アプリ自体で追加し、Microsoft Defender ポータルに戻って新しいグループを一覧に表示します。
(省略可能)インポート プロセスが完了したときに電子メールで通知されるように選択します。
[インポート] を選択します。
インポートが完了したら、[ ユーザー グループ ] ページからグループを選択して、すべてのグループ メンバーの一覧を表示します。 使用されているアプリやアカウント アクティビティの概要など、詳細については、グループ メンバーを選択してさらにドリルダウンします。 インポートされたグループは、 アクティビティ ログ で調査するときやポリシーを作成するときにフィルターとして選択することもできます。 グループ メンバーは、Active Directory Connect の場合と同様に、インポートされたグループに対して自動的に同期されます。
注意
- インポートされるユーザー グループの最大数は 500 です。
- アクティブなユーザーのみが、インポートされたグループの一部としてインポートされます。 中断、削除、または無効になっているユーザーは無視されます。
- インポートされたユーザー グループがフィルターで使用できるようになるまで、短い遅延が発生する可能性があります。
- ユーザー グループをインポートした後に実行されたアクティビティのみが、ユーザー グループのメンバーによって実行されたものとしてタグ付けされます。
- 最初の同期後、通常、グループは 1 時間ごとに更新されます。 ただし、さまざまな要因により、数時間かかる場合があります。
ユーザー グループ フィルターの使用方法の詳細については、「 アクティビティ」を参照してください。
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。