Управление подключенными приложениями
Управление позволяет управлять тем, что ваши пользователи делают в приложениях. В подключенных приложениях можно применять возможности управления к файлам или действиям. Действия управления — это интегрированные действия, которые можно выполнять в файлах или действиях непосредственно из приложений Microsoft Defender для облака. Действия управления управляют тем, что ваши пользователи делают в подключенных приложениях. Сведения о том, где можно использовать действия управления, см. в разделе "Управление подключенными приложениями".
Примечание.
Когда Microsoft Defender для облака Приложения пытаются выполнить действие управления в файле, но завершается ошибкой, так как файл заблокирован, он автоматически повторяет действие управления.
Действия системы управления файлами
Следующие действия управления могут применяться в подключенных приложениях к определенным файлам, пользователям или из конкретной политики.
Уведомления:
Оповещения — оповещения можно активировать в системе и распространять по электронной почте на основе уровня серьезности.
Уведомление пользователя по электронной почте — сообщения электронной почты можно настроить для отправки всем владельцам файлов с нарушениями.
Уведомить определенных пользователей — определенный список адресов электронной почты, на которые будут отправляться эти уведомления.
Уведомить автора последних изменений в файле — отправка уведомлений последнему пользователю, изменявшему файл.
Действия системы управления в приложениях — для каждого приложения могут применяться детализированные действия, которые зависят от терминологии приложения.
Добавление меток
- Применить метку. Возможность добавления метки конфиденциальности Защита информации Microsoft Purview.
- Удаление метки — возможность удаления метки конфиденциальности Защита информации Microsoft Purview.
Изменение общего доступа
Удаление общего доступа — разрешить доступ только именованным участникам совместной работы, например удалить общедоступный доступ для Google Workspace, а также удалить прямую общую ссылку для Box и Dropbox.
Удалить доступ для внешних пользователей — разрешить доступ только пользователям организации.
Сделайте закрытым— доступ к файлу может получить только Администратор сайта, все общие папки удаляются.
Удалить участника совместной работы — удалить конкретного участника из файла.
Сокращение открытого доступа — сделать общедоступные файлы доступными только по предоставленной ссылке. (Google)
Срок действия общей ссылки — возможность задать дату окончания срока действия для общей ссылки, после которой она больше не будет активной. (Box)
Изменить уровень доступа по предоставленной ссылке — изменение уровня доступа по предоставленной ссылке (только в пределах компании, только для участников совместной работы и общий доступ). (Box)
Карантин
Помещение в карантин пользователя — обеспечить самообслуживание путем перемещения файла в папку карантина, контролируемую пользователем.
Поместить в карантин администратора — файл помещается на карантин на устройстве администратора, и администратору требуется утвердить его.
Наследование разрешений от родительского элемента — это действие управления позволяет удалить определенные разрешения, заданные для файла или папки в Microsoft 365. Вместо них задаются разрешения родительской папки.
Удалить — переместить файл в папку корзины. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)
Действия по управлению вредоносными программами (предварительная версия)
Следующие действия управления могут применяться в подключенных приложениях к определенным файлам, пользователям или из конкретной политики. По соображениям безопасности этот список ограничен только действиями, связанными с вредоносными программами, которые не подразумевают риск для пользователя или клиента.
Уведомления:
- Оповещения — в системе могут возникать оповещения, которые в зависимости от уровня серьезности распространяются в виде электронной почты и текстовых сообщений.
Действия системы управления в приложениях — для каждого приложения могут применяться детализированные действия, которые зависят от терминологии приложения.
Изменение общего доступа
- Удалить доступ для внешних пользователей — разрешить доступ только пользователям организации. (Box, Google Drive, OneDrive, SharePoint)
- Удаление прямой общей ссылки — удаление разрешений ранее общих ссылок (Box, Dropbox)
Карантин
- Поместите в карантин пользователя— разрешить самостоятельную работу, переместив файл в папку карантина , управляемой пользователем (Box, OneDrive, SharePoint)
- Поместить в карантин администратора — файл помещается на карантин на устройстве администратора, и администратору требуется утвердить его. (Box)
Удалить — переместить файл в папку корзины. (Box, Dropbox, Google Drive, OneDrive, SharePoint)
Примечание.
В SharePoint и OneDrive приложения Defender для облака поддерживают карантин пользователей только для файлов в библиотеках общих документов (SharePoint Online) и файлах в библиотеке документов (OneDrive для бизнеса).
Клиенты Microsoft Defender для Microsoft 365 могут управлять обнаруженными вредоносными файлами в SharePoint и OneDrive с помощью страницы карантина XDR в Microsoft Defender. Например, поддерживаемые действия включают восстановление файлов, удаление файлов и скачивание файлов в ZIP-файлах, защищенных паролем. Эти действия ограничены файлами, которые еще не были помещены в карантин приложениями Microsoft Defender для облака. В SharePoint приложения Defender для облака поддерживают задачи карантина только для файлов с общими документами на английском языке.
Действия будут отображаться только для подключенных приложений.
Действия по управлению
Уведомления
Оповещения — оповещения можно активировать в системе и распространять по электронной почте на основе уровня серьезности.
Уведомление пользователя по электронной почте — сообщения электронной почты можно настроить для отправки всем владельцам файлов с нарушениями.
Уведомить дополнительных пользователей — определенный список адресов электронной почты, на которые будут отправляться эти уведомления.
Действия системы управления в приложениях — для каждого приложения могут применяться детализированные действия, которые зависят от терминологии приложения.
Приостановить доступ пользователя — приостановка доступа пользователя к приложению.
Примечание.
Если идентификатор Microsoft Entra установлен для автоматической синхронизации с пользователями в локальной среде Active Directory, параметры в локальной среде будут переопределять параметры Microsoft Entra, и это действие управления будет отменить изменения.
Пользователь должен снова войти в систему — пользователь выходит из системы и должен выполнить вход снова.
Убедитесь, что пользователь скомпрометирован . Задайте для пользователя высокий уровень риска. Это приводит к применению соответствующих действий политики, определенных в идентификаторе Microsoft Entra ID. Дополнительные сведения о том, как идентификатор Microsoft Entra работает с уровнями риска, см. в статье "Как идентификатор Microsoft Entra ID использует мой отзыв о рисках".
Отмена приложения OAuth и уведомление пользователя
Для Google Workspace и Salesforce можно отозвать разрешение на приложение OAuth или уведомить пользователя о том, что он должен изменить разрешение. При отмене разрешения удаляются все разрешения, предоставленные приложению в разделе "Корпоративные приложения" в идентификаторе Microsoft Entra.
На вкладках Google или Salesforce на странице управления приложениями выберите три точки в конце строки приложения и нажмите кнопку "Уведомить пользователя". По умолчанию пользователь получит уведомление следующим образом: вы авторизованы приложением для доступа к учетной записи Google Workspace. Это приложение конфликтует с политикой безопасности вашей организации. Пересмотреть предоставление или отзыв разрешений, которые вы предоставили этому приложению в учетной записи Google Workspace. Чтобы отменить доступ к приложению, перейдите к: https://security.google.com/settings/security/permissions?hl=en& pli=1 Выберите приложение и выберите "Отозвать доступ" в правой строке меню. Вы можете настроить отправленное сообщение.
Кроме того, можно отозвать выданные пользователю разрешения на использование приложения. Щелкните значок в конце строки приложения в таблице и нажмите кнопку "Отозвать приложение". Например:
Конфликты управления
При создании нескольких политик действия управления в нескольких политиках могут перекрываться. В этом случае приложения Defender для облака будут обрабатывать действия управления следующим образом:
Конфликты между политиками
- Если две политики содержат действия, содержащиеся друг в другом (например, удаление внешних общих папок включено в Make private), Defender для облака Apps устранит конфликт и будет применяться более строгое действие.
- Если действия не связаны друг с другом (например, Уведомить владельца и Сделать частными), применяться будут оба действия.
- Если действия конфликтуют друг с другом (например, Изменить владельца на пользователя А и Изменить владельца на пользователя Б), каждое совпадение может иметь разные результаты. Важно изменить политики так, чтобы предотвратить возникновение конфликтов, так как они могут приводить к нежелательным изменениям на диске, которые будет трудно обнаружить.
Конфликты при синхронизации пользователей
- Если идентификатор Microsoft Entra установлен для автоматической синхронизации с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra, и это действие управления будет отменить изменения.
Журнал управления
Журнал управления предоставляет запись состояния каждой задачи, которую вы устанавливаете для запуска Defender для облака Приложения, включая как вручную, так и автоматические задачи. Эти задачи включают те, которые вы устанавливаете в политиках, действиях управления, заданных для файлов и пользователей, а также любые другие действия, которые вы задали Defender для облака приложениям. Кроме того, журнал управления предоставляет информацию об успешности выполнения этих действий. Вы можете выполнить некоторые действия системы управления повторно или отменить их из журнала управления.
Чтобы просмотреть журнал управления, на портале Microsoft Defender в разделе "Облачные приложения" выберите журнал управления.
В следующей таблице приведен полный список действий, которые позволяет выполнять Defender для облака портал приложений. Они находятся в разных местах консоли, указанных в столбце Расположение. Каждое предпринятое действие управления указывается в журнале управления. Информацию о том, как обрабатываются действия системы управления в случае конфликтов политик, см. в разделе Конфликты политик.
| Местонахождение | Тип целевого объекта | Действие системы управления | Description | Связанные соединители |
|---|---|---|---|---|
| Организация | Файл | Удалить совместную работу пользователя | Удаление всех результатов совместной работы над файлами, автором которой является конкретный пользователь; этот вариант отлично подойдет для пользователей, увольняющихся из организации. | Box, Google Workspace |
| Организация | Счет | Возобновить доступ пользователя | Возобновляет доступ пользователя. | Рабочая область Google, Box, Office, Salesforce |
| Организация | Счет | Параметры учетной записи | Переход на страницу параметров учетной записи в конкретном приложении (например, в Salesforce). | Все приложения One Drive и SharePoint настраиваются в Office. |
| Организация | Файл | Передать владение всеми файлами | В учетной записи все файлы одного пользователя передаются во владение выбранному пользователю. Предыдущий владелец становится автором изменений и больше не может изменять параметры общего доступа. Новый владелец получит по электронной почте уведомление об изменении права владения. | Google Workspace |
| Учетные записи, политика действий | Счет | Приостановить доступ пользователя | Приостанавливает доступ пользователя и возможность его входа. Если при настройке этого действия они вошли в систему, они немедленно заблокированы. | Рабочая область Google, Box, Office, Salesforce |
| Политика действий, учетные записи | Счет | Пользователь должен снова войти в систему | Отзыв всех маркеров обновления и файлов cookie сеанса, выданных приложениям этим пользователем. Это действие предотвратит доступ к корпоративным данным и вынудит пользователя повторно войти во все приложения. | Google Workspace, Office |
| Политика действий, учетные записи | Счет | подтвердить компрометацию пользователя; | Задайте для пользователя высокий уровень риска. Это приводит к применению соответствующих действий политики, определенных в идентификаторе Microsoft Entra ID. | Office |
| Политика действий, учетные записи | Счет | Отозвать права администратора | Отзывает права учетной записи администратора. Например, можно задать политику действий, которая отзывает права администратора после десяти неудачных попыток входа. | Google Workspace |
| Разрешения приложения панели мониторинга > приложений | Разрешения | Разрешить приложение | В Google и Salesforce: отменяет запрет, наложенный на приложение, и позволяет пользователям предоставлять стороннему приложению разрешения на доступ к Google или Salesforce. В Microsoft 365: восстанавливает разрешения стороннего приложения в Office. | Google Workspace, Salesforce, Office |
| Разрешения приложения панели мониторинга > приложений | Разрешения | Выключение разрешений приложения | Отзывает разрешения стороннего приложения на доступ к Google, Salesforce или Office. Это однократное действие, которое применяется ко всем существующим разрешениям, но не блокирует подключения в будущем. | Google Workspace, Salesforce, Office |
| Разрешения приложения панели мониторинга > приложений | Разрешения | Включение разрешений приложения | Предоставляет стороннему приложению разрешения на доступ к Google, Salesforce или Office. Это однократное действие, которое применяется ко всем существующим разрешениям, но не блокирует подключения в будущем. | Google Workspace, Salesforce, Office |
| Разрешения приложения панели мониторинга > приложений | Разрешения | Запретить приложение | В Google и Salesforce: отменяет разрешения стороннего приложения в Google или Salesforce и запрещает ему получать разрешения в будущем. В Microsoft 365: не разрешает доступ к Office сторонним приложениям, но не отменяет их. | Google Workspace, Salesforce, Office |
| Разрешения приложения панели мониторинга > приложений | Разрешения | Отозвать приложение | Отзывает разрешения стороннего приложения на доступ к Google или Salesforce. Это однократное действие, которое применяется ко всем существующим разрешениям, но не блокирует подключения в будущем. | Google Workspace, Salesforce |
| Разрешения приложения панели мониторинга > приложений | Счет | Отозвать доступ пользователя к приложению | Вы можете отозвать доступ у конкретных пользователей, щелкнув число в разделе "Пользователи". На экране появится перечень отдельных пользователей, и вы сможете использовать кнопку X, чтобы удалить разрешения для любого из них. | Google Workspace, Salesforce |
| Обнаружение > обнаруженных приложений, IP-адресов/пользователей | Cloud Discovery | Экспорт данных обнаружения | Создает CSV-файл на основе данных обнаружения. | Обнаружение |
| Политика файлов | Файл | Корзина | Перемещает файл в корзину пользователя. | Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (окончательное удаление) |
| Политика файлов | Файл | Уведомить последнего автора изменений в файле | Отправляет по электронной почте последнему пользователю, изменявшему файл, уведомление о том, что этот файл нарушает политику. | Рабочая область Google, Box |
| Политика файлов | Файл | Уведомить владельца файла | Отправляет владельцу файла электронное письмо, если файл нарушает политику. Если в Dropbox с файлом не связан владелец, уведомление будет отправлено указанному вами пользователю. | Все приложения |
| Политика файлов, политика действий | "Файл", "Действие" | Уведомить определенных пользователей | Отправляет по электронной почте определенным пользователям уведомление о файле, который нарушает политику. | Все приложения |
| Политика файлов и политика действий | "Файл", "Действие" | Уведомить пользователя | Отправляет пользователям уведомление по электронной почте о том, что их действие или файл, которым они владеют, нарушает политику. Вы можете добавить пользовательское уведомление, чтобы сообщить о том, что послужило нарушением. | Все |
| Политика файлов и файлы | Файл | Удалить для автора изменений возможность предоставления общего доступа | В Google Диске автор изменений по умолчанию может также открыть общий доступ к файлу. Это действие управления запрещает так делать и оставляет возможность предоставлять общий доступ к файлам только владельцу. | Google Workspace |
| Политика файлов и файлы | Файл | Поместить в карантин администратора | Удаляет все разрешения из файла и перемещает файл в папку карантина в расположении администратора. Это действие позволяет администратору просматривать файл и удалять его. | Microsoft 365 SharePoint, OneDrive для бизнеса, Box |
| Политика файлов и файлы | Файл | Применение метки конфиденциальности | Применяет метку конфиденциальности Защита информации Microsoft Purview к файлам автоматически на основе условий, заданных в политике. | Box, One Drive, Google Workspace, SharePoint |
| Политика файлов и файлы | Файл | Удаление метки конфиденциальности | Удаляет метку конфиденциальности Защита информации Microsoft Purview из файлов автоматически на основе условий, заданных в политике. Вы можете удалить метки только в том случае, если они не включают защиту, и они были применены из Defender для облака Приложения, а не метки, применяемые непосредственно в Information Protection. | Box, One Drive, Google Workspace, SharePoint |
| Политика файлов, политика действий, оповещения | Приложение | Require users to sign in again (Требовать от пользователей повторить вход) | Вы можете требовать повторного входа пользователей ко всем приложениям Microsoft 365 и Microsoft Entra в качестве быстрого и эффективного исправления для оповещений о подозрительных действиях пользователей и скомпрометированных учетных записей. Новое действие управления находится в параметрах политики и на страницах оповещений рядом с параметром "Приостановить пользователя". | Microsoft 365, идентификатор Microsoft Entra |
| Files | Файл | Восстановить из карантина пользователя | Восстанавливает пользователя из карантина. | Box |
| Files | Файл | Предоставить себе разрешения на чтение | Предоставляет вам разрешения на чтение для файла, чтобы вы могли получить доступ к файлу и узнать, есть ли нарушение. | Google Workspace |
| Files | Файл | Разрешить авторам изменений предоставлять общий доступ | В Google Диске разрешение автора изменений для файла по умолчанию также позволяет открывать общий доступ. Это действие управления является противоположностью возможности редактора удалить общий доступ к файлу и позволяет редактору предоставлять общий доступ к файлу. | Google Workspace |
| Files | Файл | Защита | Защищает файл с помощью Azure Information Protection, применяя шаблон организации. | Microsoft 365 (SharePoint и OneDrive) |
| Files | Файл | Отозвать мои разрешения на чтение | Отзывает ваши разрешения на чтение. Это полезно после предоставления разрешения, чтобы узнать, есть ли в файле нарушение. | Google Workspace |
| Файлы, политика файлов | Файл | Передать владение файлом | Изменение владельца: выберите конкретного владельца в политике. | Google Workspace |
| Файлы, политика файлов | Файл | Сокращение открытого доступа | Это действие позволяет сделать общедоступные файлы доступными только по предоставленной ссылке. | Google Workspace |
| Файлы, политика файлов | Файл | Удалить участника совместной работы | Удаляет конкретного участника совместной работы над файлом. | Рабочая область Google, Box, One Drive, SharePoint |
| Файлы, политика файлов | Файл | Сделать частным | Доступ к файлу может получить только Администратор сайта, все общие папки удаляются. | Google Workspace, One Drive, SharePoint |
| Файлы, политика файлов | Файл | Удалить доступ для внешних пользователей | Отменяет доступ всех внешних участников совместной работы, которые находятся за пределами доменов, указанных в параметрах как внутренние. | Рабочая область Google, Box, One Drive, SharePoint |
| Файлы, политика файлов | Файл | Предоставить разрешение на чтение домену | Предоставляет разрешения на чтение файла из указанного домена для всего вашего домена или конкретного домена. Это действие полезно, если вы хотите отменить общий доступ после предоставления доступа к домену пользователям, которым он нужен. | Google Workspace |
| Файлы, политика файлов | Файл | Помещение в карантин пользователя | Удаляет все разрешения файла и перемещает файл в папку карантина в корневом диске пользователя. Это действие позволяет пользователю проверить файл и переместить его. Если файл перемещается обратно вручную, общий доступ к нему не восстанавливается. | Box, One Drive, SharePoint |
| Files | Файл | Срок действия предоставленной ссылки | Определение срока действия предоставленной ссылки, после окончания которого она станет неактивной. | Box |
| Files | Файл | Изменить уровень доступа по предоставленной ссылке | Изменение уровня доступа по предоставленной ссылке (только в пределах компании, только для участников совместной работы и общий доступ). | Box |
| Файлы, политика файлов | Файл | Удалить открытый доступ | Если файл принадлежал вам и вы ранее открыли к нему общий доступ, теперь он остается доступен только тем, для кого настроен соответствующий доступ к нему. | Google Workspace |
| Файлы, политика файлов | Файл | Удалить прямую предоставленную ссылку | Удаляет ссылку на общедоступный файл, доступ к которому предоставлялся только отдельным людям. | Box, Dropbox |
| > Параметры параметры Cloud Discovery | Cloud Discovery | Повторно вычислить баллы Cloud Discovery | Повторное вычисление баллов в каталоге облачных приложений после изменения метрик баллов. | Обнаружение |
| > Параметры параметры > Cloud Discovery для управления представлениями данных | Cloud Discovery | Создать пользовательское представление данных с фильтрацией в Cloud Discovery | Создает представление данных для более детального представления результатов обнаружения. Например, это могут быть конкретные диапазоны IP-адресов. | Обнаружение |
| > Параметры параметры > Cloud Discovery удаляют данные | Cloud Discovery | Удалить данные Cloud Discovery | Удаление всех данных, собранных из источников обнаружения. | Обнаружение |
| > Параметры параметры > Cloud Discovery автоматически отправляют журналы или отправляют журналы вручную или отправляют журналы. | Cloud Discovery | Проанализировать данные Cloud Discovery | Уведомление о том, что все данные журналов проанализированы. | Обнаружение |
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.