Zarządzanie połączonymi aplikacjami

Uwaga

  • Zmieniono nazwę Microsoft Cloud App Security. Jest on teraz nazywany Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje tutaj i na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej o niedawnej zmianie nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps jest teraz częścią Microsoft 365 Defender. Portal Microsoft 365 Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji. Spowoduje to uproszczenie przepływów pracy i dodanie funkcjonalności innych usług Microsoft 365 Defender. Microsoft 365 Defender będzie domem do monitorowania zabezpieczeń i zarządzania nimi w tożsamościach firmy Microsoft, danych, urządzeniach, aplikacjach i infrastrukturze. Aby uzyskać więcej informacji na temat tych zmian, zobacz Microsoft Defender for Cloud Apps w Microsoft 365 Defender.

Nadzór pozwala kontrolować działania użytkowników w różnych aplikacjach w czasie rzeczywistym. W przypadku aplikacji połączonych można zastosować akcje nadzoru do plików lub działań. Akcje ładu to zintegrowane akcje, które można uruchamiać na plikach lub działaniach bezpośrednio z Microsoft Defender for Cloud Apps. Akcje ładu kontrolują, co robią użytkownicy w czasie rzeczywistym w połączonych aplikacjach. Aby uzyskać informacje o tym, gdzie można używać akcji ładu, zobacz Apply governance actions (Stosowanie akcji ładu).

Uwaga

Gdy Microsoft Defender for Cloud Apps próbuje uruchomić akcję ładu w pliku, ale kończy się niepowodzeniem, ponieważ plik jest zablokowany, automatycznie ponowi próbę wykonania akcji ładu.

Akcje nadzoru plików

Następujące akcje nadzoru mogą być podejmowane w aplikacjach połączonych względem konkretnego pliku lub użytkownika albo z określonych zasad.

  • Powiadomienia:

    • Alerty — alerty można wyzwalać w systemie i propagować za pośrednictwem wiadomości e-mail i wiadomości SMS na podstawie poziomu ważności.

    • Powiadomienie e-mail użytkownika — wiadomości e-mail można dostosować i będą wysyłane do wszystkich naruszających zasady właścicieli plików.

    • Powiadamianie określonych użytkowników — konkretna lista adresów e-mail, które otrzymają te powiadomienia.

    • Powiadom ostatniego edytora plików — wysyłaj powiadomienia do ostatniej osoby, która zmodyfikowała plik.

  • Akcje ładu w aplikacjach — szczegółowe akcje można wymusić na aplikację, określone akcje różnią się w zależności od terminologii aplikacji.

    • Etykietowania

      • Zastosuj etykietę — możliwość dodania etykiety poufności Microsoft Purview Information Protection.
      • Usuń etykietę — możliwość usunięcia etykiety poufności Microsoft Purview Information Protection.
    • Zmiana udostępniania

      • Usuń udostępnianie publiczne — zezwalaj na dostęp tylko do nazwanych współpracowników, na przykład: Usuwanie publicznego dostępu do obszaru roboczego Google i Usuwanie bezpośredniego linku udostępnionego dla usługi Box i Dropbox.

      • Usuwanie użytkowników zewnętrznych — zezwalaj na dostęp tylko do użytkowników firmy.

      • Ustaw jako prywatny — tylko administratorzy witryny mogą uzyskiwać dostęp do pliku, wszystkie udziały są usuwane.

      • Usuń współpracownika — usuń określonego współpracownika z pliku.

      • Zmniejsz dostęp publiczny — ustaw publicznie dostępne pliki, aby być dostępne tylko za pomocą linku udostępnionego. (Google)

      • Wygasanie łącza udostępnionego — możliwość ustawienia daty wygaśnięcia łącza udostępnionego, po którym nie będzie już aktywna. (Pole)

      • Zmień poziom dostępu łącza udostępniania — możliwość zmiany poziomu dostępu łącza udostępnionego tylko między firmą, tylko współpracownikami i publicznymi. (Pole)

    • Kwarantanna

      • Umieszczanie w kwarantannie użytkownika — zezwalaj na samoobsługę przez przeniesienie pliku do folderu kwarantanny kontrolowanego przez użytkownika

      • Umieszczanie w kwarantannie administratora — plik jest przenoszony do kwarantanny na dysku administratora, a administrator musi go zatwierdzić.

    • Dziedzicz uprawnienia z elementu nadrzędnego — ta akcja ładu umożliwia usunięcie określonych uprawnień ustawionych dla pliku lub folderu w Office 365. Następnie przywróć wszystkie uprawnienia ustawione dla folderu nadrzędnego.

    • Kosz — przenieś plik do folderu kosza. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)

    policy_create alerts.

Akcje nadzoru działań

  • Powiadomienia

    • Alerty — alerty można wyzwalać w systemie i propagować za pośrednictwem wiadomości e-mail i wiadomości SMS na podstawie poziomu ważności.

    • Powiadomienie e-mail użytkownika — wiadomości e-mail można dostosować i będą wysyłane do wszystkich naruszających zasady właścicieli plików.

    • Powiadamianie dodatkowych użytkowników — konkretna lista adresów e-mail, które otrzymają te powiadomienia.

  • Akcje ładu w aplikacjach — szczegółowe akcje można wymusić na aplikację, określone akcje różnią się w zależności od terminologii aplikacji.

    • Wstrzymaj użytkownika — wstrzymaj użytkownika z aplikacji.

      Uwaga

      Jeśli usługa Azure Active Directory (Azure AD) zostanie ustawiona na automatyczną synchronizację z użytkownikami w środowisku lokalnym usługi Active Directory, ustawienia w środowisku lokalnym zastąpią ustawienia usługi Azure AD, a ta akcja ładu zostanie przywrócona.

    • Wymagaj ponownego logowania użytkownika — loguje użytkownika i wymaga ponownego zalogowania się.

    • Potwierdź naruszenie zabezpieczeń użytkownika — ustaw poziom ryzyka użytkownika na wysoki. Powoduje to wymuszanie odpowiednich akcji zasad zdefiniowanych w usłudze Azure AD. Aby uzyskać więcej informacji na temat sposobu działania usługi Azure AD z poziomami ryzyka, zobacz How does Azure AD use my risk feedback (Jak usługa Azure AD korzysta z moich opinii dotyczących ryzyka).

    Defender for Cloud Apps activity policy governance actions.

Konflikty nadzoru

Po utworzeniu wielu zasad może zdarzyć się sytuacja, w której akcje nadzoru w wielu zasadach nakładają się na siebie. W takim przypadku usługa Defender for Cloud Apps przetworzy akcje ładu w następujący sposób:

Konflikty między zasadami

  • Jeśli dwie zasady zawierają akcje zawarte w sobie (na przykład Usuwanie udziałów zewnętrznych jest uwzględniane w funkcji Utwórz prywatne), usługa Defender for Cloud Apps rozwiąże konflikt i zostanie wymuszona silniejsza akcja.
  • Jeśli akcje nie są powiązane (na przykład Powiadom właściciela i Ustaw jako prywatne). obie akcje zostaną zrealizowane.
  • Jeśli akcje powodują konflikt (na przykład Zmień właściciela na użytkownika A i Zmień właściciela na użytkownika B), różne wyniki mogą wynikać z każdego dopasowania. Ważne jest, aby zmienić zasady, aby zapobiec konfliktom, ponieważ mogą one spowodować niepożądane zmiany na dysku, które będą trudne do wykrycia.

Konflikty w synchronizacji użytkowników

  • Jeśli usługa Azure AD jest ustawiona na automatyczną synchronizację z użytkownikami w środowisku lokalnym usługi Active Directory, ustawienia w środowisku lokalnym zastąpią ustawienia usługi Azure AD, a ta akcja ładu zostanie przywrócona.

Dziennik nadzoru

Dziennik ładu zawiera rekord stanu każdego zadania ustawionego na uruchamianie usługi Defender for Cloud Apps, w tym zadań ręcznych i automatycznych. Te zadania obejmują te, które zostały ustawione w zasadach, akcje ładu ustawione dla plików i użytkowników oraz wszelkie inne akcje ustawione przez usługę Defender for Cloud Apps do podjęcia. Dziennik nadzoru zawiera również informacje o powodzeniu lub niepowodzeniu tych akcji. Za pomocą dziennika nadzoru można wycofać niektóre akcje ładu lub ponowić próbę ich wykonania.

Aby wyświetlić dziennik ładu, na pasku menu kliknij koła zębatego settings icon. ustawień, a następnie wybierz pozycję Dziennik ładu.

Poniższa tabela zawiera pełną listę akcji, które można wykonać w portalu usługi Defender for Cloud Apps. Te akcje są włączone w różnych miejscach w konsoli zgodnie z opisem w kolumnie Lokalizacja . Każda podjęta akcja ładu jest rejestrowana w dzienniku nadzoru. Aby uzyskać informacje na temat sposobu traktowania akcji ładu w przypadku konfliktów zasad, zobacz Konflikty zasad.

Lokalizacja Typ obiektu docelowego Akcja ładu Opis Powiązane łączniki
Konta Plik Usuń definicje współpracy użytkownika Usuń wszystkie definicje współpracy konkretnego użytkownika dla dowolnych plików — akcja przydatna w przypadku osób opuszczających firmę. Box, Google Workspace
Konta Konto Anuluj zawieszenie użytkownika Anuluje zawieszenie użytkownika Google Workspace, Box, Office, Salesforce
Konta Konto Ustawienia konta Przejście do strony ustawień konta w określonej aplikacji (na przykład w aplikacji Salesforce). Wszystkie aplikacje — ustawienia aplikacji One Drive i SharePoint są konfigurowane z poziomu pakietu Office.
Konta Plik Przenieś własność wszystkich plików Na koncie przenosisz własność plików z jednego użytkownika na nową osobę, którą wybierzesz. Poprzedni właściciel staje się edytorem i nie może już zmieniać ustawień udostępniania. Nowy właściciel otrzyma wiadomość e-mail z powiadomieniem o zmianie własności. Obszar roboczy Google
Konta, zasady dotyczące działań Konto Zawieś użytkownika Ustawia użytkownika, aby nie miał dostępu i nie mógł się zalogować. Jeśli są one rejestrowane po ustawieniu tej akcji, są natychmiast zablokowane. Google Workspace, Box, Office, Salesforce
Zasady dotyczące działań, konta Konto Wymagaj od użytkownika ponownego zalogowania Odwołuje wszystkie tokeny odświeżania i problemy z plikami cookie sesji dla aplikacji przez użytkownika. Ta akcja uniemożliwi dostęp do dowolnego z danych organizacji i wymusi na użytkowniku ponowne zalogowanie się do wszystkich aplikacji. Google Workspace, Office
Zasady dotyczące działań, konta Konto Potwierdzanie naruszenia zabezpieczeń użytkownika Ustaw poziom ryzyka użytkownika na wysoki. Powoduje to wymuszanie odpowiednich akcji zasad zdefiniowanych w usłudze Azure AD. Office
Zasady dotyczące działań, konta Konto Odwołaj uprawnienia administratora Odwołuje uprawnienia dla konta administratora. Na przykład ustawienie zasad działania, które odwołuje uprawnienia administratora po 10 nieudanych próbach logowania. Obszar roboczy Google
Uprawnienia aplikacji pulpitu nawigacyjnego > aplikacji Uprawnienia Odblokowywanie aplikacji W usługach Google i Salesforce: usuń zakaz z aplikacji i zezwól użytkownikom na przyznawanie uprawnień do aplikacji innej firmy za pomocą usługi Google lub Salesforce. W Office 365: przywraca uprawnienia aplikacji innej firmy do pakietu Office. Google Workspace, Salesforce, Office
Uprawnienia aplikacji pulpitu nawigacyjnego > aplikacji Uprawnienia Wyłącz uprawnienia aplikacji Odwoływanie uprawnień aplikacji innych firm do usług Google, Salesforce lub Office. Jest to jednorazowa akcja, która zostanie wykonana na wszystkich istniejących uprawnieniach, ale nie zapobiegnie przyszłym połączeniom. Google Workspace, Salesforce, Office
Uprawnienia aplikacji pulpitu nawigacyjnego > aplikacji Uprawnienia Włącz uprawnienia aplikacji Udzielanie uprawnień aplikacji innej firmy do usług Google, Salesforce lub Office. Jest to jednorazowa akcja, która zostanie wykonana na wszystkich istniejących uprawnieniach, ale nie zapobiegnie przyszłym połączeniom. Google Workspace, Salesforce, Office
Uprawnienia aplikacji pulpitu nawigacyjnego > aplikacji Uprawnienia Blokowanie aplikacji W usługach Google i Salesforce: odwołuje uprawnienia aplikacji innej firmy do usługi Google lub Salesforce i blokuje przyszłe przyznawanie uprawnień tej aplikacji. W Office 365: nie zezwala aplikacjom innych firm na dostęp do pakietu Office, ale nie odwołuje ich. Google Workspace, Salesforce, Office
Uprawnienia aplikacji pulpitu nawigacyjnego > aplikacji Uprawnienia Odwołaj aplikację Odwołuje uprawnienia aplikacji innej firmy do usługi Google lub Salesforce. Jest to jednorazowa akcja, która zostanie wykonana na wszystkich istniejących uprawnieniach, ale nie zapobiegnie przyszłym połączeniom. Obszar roboczy Google, Salesforce
Uprawnienia aplikacji pulpitu nawigacyjnego > aplikacji Konto Odwołaj użytkownika z aplikacji Po kliknięciu numeru w obszarze Użytkownicy można odwołać określonych użytkowników. Na ekranie zostaną wyświetleni konkretni użytkownicy i możesz użyć symbolu X, aby usunąć uprawnienia dla dowolnego użytkownika. Obszar roboczy Google, Salesforce
Odnajdywanie > odnalezionych aplikacji/adresów IP/użytkowników Cloud Discovery Eksportuj dane odnajdywania Tworzy plik CSV na podstawie danych odnajdywania. Odnajdywanie
Zasady plików Plik Przenieś do Kosza Przenosi plik w koszu użytkownika. Box, Dropbox, Dysk Google, OneDrive, SharePoint, Cisco Webex (trwałe usuwanie)
Zasady dotyczące pliku Plik Powiadom ostatniego redaktora pliku Wysyła wiadomość e-mail w celu powiadomienia ostatniej osoby, która edytowała plik, że narusza on zasady. Google Workspace, Box
Zasady dotyczące pliku Plik Powiadom właściciela pliku Wysyła wiadomość e-mail do właściciela pliku, gdy plik narusza zasady. Jeśli plik przechowywany w usłudze Dropbox nie ma właściciela, powiadomienie zostanie wysłane do określonego użytkownika, zgodnie z ustawieniami. Wszystkie aplikacje
Zasady dotyczące plików, zasady dotyczące działań Plik, działanie Powiadom konkretnych użytkowników Wysyła wiadomość e-mail w celu powiadomienia określonych użytkowników o pliku, który narusza zasady. Wszystkie aplikacje
Zasady dotyczące pliku i zasady dotyczące działań Plik, działanie Powiadom użytkownika Wysyła wiadomość e-mail do użytkowników w celu powiadomienia ich, że ich działanie lub plik, który do nich należy, naruszają zasady. Można dodać niestandardowe powiadomienie w celu poinformowania ich, na czym polegało naruszenie. Wszystko
Zasady dotyczące plików oraz pliki Plik Usuń możliwość udostępniania przez redaktorów W usłudze Dysk Google domyślne uprawnienia redaktora pliku pozwalają na udostępnianie pliku. Ta akcja ładu ogranicza tę opcję i pozwala na udostępnianie pliku tylko jego właścicielowi. Obszar roboczy Google
Zasady dotyczące plików oraz pliki Plik Umieść w kwarantannie administratora Usuwa wszystkie uprawnienia z pliku i przenosi plik do folderu kwarantanny w lokalizacji administratora. Ta akcja umożliwia administratorowi przejrzenie pliku i usunięcie go. Office 365 SharePoint, OneDrive dla Firm, Box
Zasady dotyczące plików oraz pliki Plik Stosowanie etykiety poufności Stosuje etykietę poufności Microsoft Purview Information Protection do plików automatycznie na podstawie warunków określonych w zasadach. Box, One Drive, Google Workspace, SharePoint
Zasady dotyczące plików oraz pliki Plik Usuwanie etykiety poufności Usuwa etykietę poufności Microsoft Purview Information Protection z plików automatycznie na podstawie warunków ustawionych w zasadach. Etykiety można usuwać tylko wtedy, gdy nie obejmują ochrony i zostały zastosowane z poziomu usługi Defender for Cloud Apps, a nie etykiety stosowane bezpośrednio w Information Protection. Box, One Drive, Google Workspace, SharePoint
Zasady dotyczące plików, zasady działania, alerty Aplikacja Wymagaj od użytkowników ponownego zalogowania się Możesz wymagać od użytkowników ponownego zalogowania się do wszystkich Office 365 i aplikacji usługi Azure AD jako szybkiego i skutecznego korygowania alertów dotyczących podejrzanych działań użytkowników i kont, których bezpieczeństwo zostanie naruszone. Nowy ład można znaleźć w ustawieniach zasad i na stronach alertów obok opcji Wstrzymaj użytkownika. Office 365, Azure AD
Pliki Plik Przywróć z kwarantanny użytkownika Przywraca użytkownika z kwarantanny. Box
Pliki Plik Udziel uprawnień do odczytu mnie Udziel uprawnień do odczytu pliku sobie, aby móc uzyskać dostęp do pliku i zrozumieć, czy nastąpiło naruszenie, czy nie. Obszar roboczy Google
Pliki Plik Zezwól redaktorom na udostępnianie Na dysku Google domyślne uprawnienie edytora pliku umożliwia również udostępnianie. Ta akcja nadzoru jest przeciwieństwem możliwości usuwania edytora do udostępniania i umożliwia edytorowi udostępnianie pliku. Obszar roboczy Google
Pliki Plik Ochrona Ochrona pliku za pomocą usługi Azure Information Protection przez zastosowanie szablonu organizacji. Office 365 (SharePoint i OneDrive)
Pliki Plik Odwołaj swoje uprawnienia do odczytu Odwołuje Twoje uprawnienia do odczytu pliku — akcja przydana po przyznaniu sobie uprawnień w celu sprawdzenia, czy dla pliku występują naruszenia. Obszar roboczy Google
Pliki, zasady dotyczące plików Plik Przenieś własność pliku Zmienia właściciela — w zasadach należy wybrać konkretnego właściciela. Obszar roboczy Google
Pliki, zasady dotyczące plików Plik Zmniejszenie dostępu publicznego Ta akcja umożliwia ustawienie publicznie dostępnych plików tylko za pomocą udostępnionego linku. Obszar roboczy Google
Pliki, zasady dotyczące plików Plik Usuń współpracownika Usuwa konkretnego współpracownika z pliku. Google Workspace, Box, One Drive, SharePoint
Pliki, zasady dotyczące plików Plik Przekształć w prywatny Tylko administratorzy witryny mogą uzyskiwać dostęp do pliku. Wszystkie udziały są usuwane. Google Workspace, One Drive, SharePoint
Pliki, zasady dotyczące plików Plik Usuń użytkowników zewnętrznych Usuwa wszystkich zewnętrznych współpracowników spoza domen skonfigurowanych jako wewnętrzne w ustawieniach. Google Workspace, Box, One Drive, SharePoint
Pliki, zasady dotyczące plików Plik Przyznaj uprawnienia do odczytu dla domeny Przyznaje uprawnienia do pliku dla określonej domeny dla całej domeny lub konkretnej domeny. Ta akcja jest przydatna, jeśli chcesz usunąć dostęp publiczny po udzieleniu dostępu do domeny osób, które muszą nad nią pracować. Obszar roboczy Google
Pliki, zasady dotyczące plików Plik Umieść w kwarantannie użytkownika Usuwa wszystkie uprawnienia z pliku i przenosi plik do folderu kwarantanny w katalogu głównym dysku użytkownika. Ta akcja umożliwia użytkownikowi przejrzenie pliku i przeniesienie go. Jeśli zostanie on ręcznie przeniesiony z powrotem, udostępnianie plików nie zostanie przywrócone. Box, One Drive, SharePoint
Pliki Plik Wygasanie łącza udostępnionego Ustaw datę wygaśnięcia łącza udostępnionego, po którym nie będzie już aktywny. Box
Pliki Plik Zmienianie poziomu dostępu do linku udostępniania Zmienia poziom dostępu współużytkowanego połączenia tylko między firmą, tylko współpracownikami i publicznymi. Box
Pliki, zasady dotyczące plików Plik Usuń dostęp publiczny Jeśli plik był Twoim plikiem i umieścisz go w dostępie publicznym, staje się dostępny dla każdego innego użytkownika skonfigurowanego z dostępem do pliku (w zależności od rodzaju dostępu do pliku). Obszar roboczy Google
Pliki, zasady dotyczące plików Plik Usuń bezpośredni link udostępniony Usuwa link utworzony dla pliku, który jest publiczny, ale udostępniony tylko określonym osobom. Box, Dropbox
Ustawienia ustawień> rozwiązania Cloud Discovery Cloud Discovery Oblicz ponownie wyniki rozwiązania Cloud Discovery Ponownie oblicza oceny w wykazie aplikacji w chmurze po zmianie metryki oceny. Odnajdywanie
Ustawienia ustawienia>> rozwiązania Cloud Discovery Zarządzanie widokami danych Cloud Discovery Utwórz niestandardowy widok danych filtru funkcji Cloud Discovery Tworzy nowy widok danych na potrzeby bardziej szczegółowego widoku wyników odnajdywania. Na przykład dla konkretnych zakresów adresów IP. Odnajdywanie
Ustawienia ustawienia>> rozwiązania Cloud Discovery Usuwanie danych Cloud Discovery Usuń dane funkcji Cloud Discovery Usuwa wszystkie dane zebrane ze źródeł odnajdywania. Odnajdywanie
Ustawienia Ustawień usługi>> Cloud Discovery Przekazywanie dzienników ręcznie/Automatyczne przekazywanie dzienników Cloud Discovery Przeanalizuj dane funkcji Cloud Discovery Powiadomienie, że wszystkie dane dziennika zostały przeanalizowane. Odnajdywanie

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.