Określanie zakresu wdrożenia dla określonych użytkowników lub grup użytkowników
Microsoft Defender dla Chmury Apps umożliwia określanie zakresu wdrożenia. Określenie zakresu umożliwia wybranie określonych grup użytkowników, które mają być monitorowane dla aplikacji lub wykluczone z monitorowania.
Uwaga
Wdrożenie w zakresie nie zmniejsza liczby plików, aplikacji Oauth i kont użytkowników, które są skanowane. Zmniejsza tylko liczbę działań użytkowników w oparciu o wybraną grupę użytkowników.
Dołączanie lub wykluczanie grup użytkowników
Możesz nie chcieć używać usługi Microsoft Defender dla Chmury Apps dla wszystkich użytkowników w organizacji. Określanie zakresu jest szczególnie przydatne, gdy chcesz ograniczyć wdrożenie z powodu ograniczeń licencji. Może być również konieczne ograniczenie ze względu na przepisy dotyczące zgodności, które nie wymagają monitorowania użytkowników z niektórych krajów/regionów. Na przykład użyj wdrożenia o określonym zakresie, aby monitorować tylko pracowników z siedzibą w USA. Alternatywnie można uniknąć wyświetlania wszelkich działań dla użytkowników z siedzibą w Niemczech.
Aby ograniczyć zakres wdrożenia, należy najpierw zaimportować grupy użytkowników do usługi Microsoft Defender dla Chmury Apps. Domyślnie zobaczysz następujące grupy:
Grupa użytkowników aplikacji — wbudowana grupa, która umożliwia wyświetlanie działań wykonywanych przez aplikacje microsoft 365 i Microsoft Entra.
Grupa użytkowników zewnętrznych — wszyscy użytkownicy, którzy nie są członkami żadnej domeny zarządzanej skonfigurowanej dla organizacji.
Ustawienie reguły dołączania spowoduje automatyczne wykluczenie wszystkich grup, które nie znajdują się w dołączonej grupie. Jeśli na przykład ustawisz regułę tak, aby zawierała wszystkich członków grup office w Stanach Zjednoczonych, wszystkie grupy, które nie są częścią tej grupy, nie będą monitorowane.
Wykluczone grupy użytkowników zastępują uwzględnione grupy użytkowników. Oznacza to, że jeśli uwzględnisz grupę użytkowników "Uk-employees", ale wykluczysz "Marketing", członkowie marketingu z Wielkiej Brytanii nie będą monitorowani, nawet jeśli są członkami grupy brytyjskich pracowników.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze System wybierz pozycję Wdrożenie w zakresie i prywatność.
Aby ograniczyć zakres wdrożenia w celu uwzględnienia lub wykluczenia określonych grup, należy najpierw zaimportować grupy użytkowników do aplikacji Microsoft Defender dla Chmury.
Aby ustawić określone grupy, które mają być monitorowane przez aplikacje Microsoft Defender dla Chmury, na karcie Dołączanie wybierz pozycję +Dodaj regułę.
W oknie dialogowym Tworzenie nowej reguły dołączania wykonaj następujące czynności:
W obszarze Nazwa reguły typu nadaj regule nazwę opisową.
W obszarze Wybierz grupy użytkowników wybierz wszystkie grupy, które chcesz monitorować za pomocą aplikacji Defender dla Chmury.
Wybierz, czy chcesz zastosować tę regułę do wszystkich połączonych aplikacji, czy tylko do określonych aplikacji. W przypadku wybrania pozycji Określone aplikacje reguła będzie mieć wpływ tylko na monitorowanie wybranych aplikacji. Jeśli na przykład wybierzesz użytkowników zespołu interfejsu użytkownika grupy i usługę Box, aplikacje Defender dla Chmury będą monitorować działania usługi Box tylko dla użytkowników w grupie użytkowników zespołu interfejsu użytkownika i dla wszystkich innych aplikacji, Defender dla Chmury Aplikacje będą monitorować wszystkie działania dla wszystkich użytkowników.
Aby ustawić określone grupy do wykluczenia z monitorowania, na karcie Wykluczanie wybierz pozycję +Dodaj regułę.
W oknie dialogowym Tworzenie nowej reguły wykluczania ustaw następujące parametry:
W obszarze Nazwa reguły typu nadaj regule nazwę opisową. W obszarze Wybierz grupy użytkowników wybierz wszystkie grupy, których nie chcesz monitorować Defender dla Chmury Apps.
Wybierz, czy chcesz zastosować tę regułę do wszystkich połączonych aplikacji, czy tylko do określonych aplikacji. Jeśli wybierzesz pozycję Określone aplikacje, Defender dla Chmury Aplikacje przestaną monitorować grupę wybraną tylko dla wybranych aplikacji. Oznacza to, że w przypadku wybrania użytkowników zespołu interfejsu użytkownika grupy i usługi Active Directory aplikacje Defender dla Chmury będą monitorować wszystkie działania użytkowników z wyjątkiem działań usługi Active Directory wykonywanych przez użytkowników zespołu interfejsu użytkownika.
Przykładowe wyniki dla reguł dołączania i wykluczania
Utworzone reguły dołączania i wykluczania współpracują ze sobą w celu określenia zakresu ogólnego monitorowania wykonywanego przez usługę Microsoft Defender dla Chmury Apps. Oto przykład reguł dołączania i wykluczania, które można utworzyć, oraz końcowy wynik tego, co Microsoft Defender dla Chmury Apps monitoruje po uruchomieniu tych reguł.
Jeśli tworzysz następujące reguły:
- Wykluczanie grupy użytkowników "Niemcy wszyscy użytkownicy"
- Uwzględnij dla grupy użytkowników "Global sales" tylko działania platformy Microsoft 365
- Uwzględnij dla grupy użytkowników "Menedżerowie sprzedaży" tylko działania usługi Power BI
- Usługa Salesforce jest połączona z aplikacjami Microsoft Defender dla Chmury i nie ustawiono dla niej żadnych reguł
Monitorowane są następujące działania użytkownika:
User | Członkostwo w grupie | Monitorowane działania |
---|---|---|
Adriana | Niemcy wszyscy użytkownicy Sprzedaż globalna Menedżerowie sprzedaży |
Brak |
Alain | Sprzedaż globalna | Platforma Microsoft 365 i wszystkie aplikacje podrzędne z wyjątkiem usługi Power BI |
Dereń | Sprzedaż globalna Menedżerowie sprzedaży |
Platforma Microsoft 365 i wszystkie aplikacje podrzędne |
Raymond | Menedżerowie sprzedaży | Tylko usługa Power BI |
Uwaga
Inne aplikacje nie będą miały wpływu na zakres grupy w tych regułach. W tym przykładzie w usłudze Salesforce wszystkie działania są monitorowane dla wszystkich grup użytkowników.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.