Styra anslutna appar
Med styrning kan du styra vad användarna gör i olika appar. Du kan tillämpa styrningsåtgärder på filer eller aktiviteter för anslutna appar. Styrningsåtgärder är integrerade åtgärder som du kan köra på filer eller aktiviteter direkt från Microsoft Defender för Cloud Apps. Styrningsåtgärder styr vad användarna gör i anslutna appar.
Kommentar
När Microsoft Defender för Cloud Apps försöker köra en styrningsåtgärd på en fil, men misslyckas eftersom filen är låst, försöker den automatiskt utföra styrningsåtgärden igen.
Filstyrningsåtgärder
Följande styrningsåtgärder kan utföras på anslutna appar, antingen för en specifik fil eller användare, eller från en specifik princip.
Meddelanden:
Aviseringar – Aviseringar kan utlösas i systemet och spridas via e-post baserat på allvarlighetsgrad.
Användarens e-postavisering – E-postmeddelanden kan anpassas och skickas till alla som bryter mot filägare.
Meddela specifika användare – Specifik lista över e-postadresser som ska ta emot dessa meddelanden.
Meddela den senaste filredigeraren – Skicka meddelanden till den senaste personen som ändrade filen.
Styrningsåtgärder i appar – Detaljerade åtgärder kan tillämpas per app, specifika åtgärder varierar beroende på appterminologi.
Märkning
- Använd etikett – Möjlighet att lägga till en känslighetsetikett för Microsoft Purview Information Protection.
- Ta bort etikett – Möjlighet att ta bort en känslighetsetikett för Microsoft Purview Information Protection.
Ändra delning
Ta bort offentlig delning – Tillåt endast åtkomst till namngivna medarbetare, till exempel: Ta bort offentlig åtkomst för Google Workspace och Ta bort direkt delad länk för Box och Dropbox.
Ta bort externa användare – Tillåt endast åtkomst till företagsanvändare.
Gör privat – Endast webbplatsadministratörer kan komma åt filen, alla resurser tas bort.
Ta bort en medarbetare – Ta bort en specifik medarbetare från filen.
Minska den offentliga åtkomsten – Ange att offentligt tillgängliga filer endast ska vara tillgängliga med en delad länk. (Google)
Förfalla delad länk – Möjlighet att ange ett förfallodatum för en delad länk varefter den inte längre är aktiv. (Box)
Ändra åtkomstnivå för delningslänkar – Möjlighet att ändra åtkomstnivån för den delade länken endast mellan företag, endast medarbetare och offentliga. (Box)
Karantän
Placera i användarkarantän – Tillåt självbetjäning genom att flytta filen till en användarkontrollerad karantänmapp
Placera i administratörskarantän – Filen flyttas till karantän på administratörsenheten och administratören måste godkänna den.
Ärv behörigheter från överordnad – Med den här styrningsåtgärden kan du ta bort specifika behörigheter som angetts för en fil eller mapp i Microsoft 365. Återgå sedan till de behörigheter som har angetts för den överordnade mappen.
Papperskorg – Flytta filen till papperskorgen. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)
Styrningsåtgärder för skadlig kod (förhandsversion)
Följande styrningsåtgärder kan utföras på anslutna appar, antingen för en specifik fil eller användare, eller från en specifik princip. Av säkerhetsskäl är den här listan endast begränsad till åtgärder relaterade till skadlig kod som inte innebär risk för användaren eller klientorganisationen.
Meddelanden:
- Aviseringar – Aviseringar kan utlösas i systemet och spridas via e-post och sms baserat på allvarlighetsgrad.
Styrningsåtgärder i appar – Detaljerade åtgärder kan tillämpas per app, specifika åtgärder varierar beroende på appterminologi.
Ändra delning
- Ta bort externa användare – Tillåt endast åtkomst till företagsanvändare. (Box, Google Drive, OneDrive, SharePoint)
- Ta bort direkt delad länk – Ta bort behörigheter för tidigare delade länkar (Box, Dropbox)
Karantän
- Placera i användarkarantän – Tillåt självbetjäning genom att flytta filen till en användarkontrollerad karantänmapp (Box, OneDrive, SharePoint)
- Placera i administratörskarantän – Filen flyttas till karantän på administratörsenheten och administratören måste godkänna den. (Box)
Papperskorg – Flytta filen till papperskorgen. (Box, Dropbox, Google Drive, OneDrive, SharePoint)
Kommentar
I SharePoint och OneDrive stöder Defender for Cloud Apps endast användarkarantän för filer i bibliotek med delade dokument (SharePoint Online) och filer i dokumentbiblioteket (OneDrive för företag).
Microsoft Defender för Microsoft 365-kunder kan styra identifierade filer med skadlig kod i SharePoint och OneDrive via microsoft Defender XDR-karantänsidan. Aktiviteter som stöds omfattar till exempel återställning av filer, borttagning av filer och nedladdning av filer i lösenordsskyddade ZIP-filer. Dessa aktiviteter är begränsade till filer som inte redan har satts i karantän av Microsoft Defender för Cloud Apps. I SharePoint stöder Defender för Cloud Apps endast karantänuppgifter för filer med delade dokument i sökvägen på engelska.
Åtgärder visas endast för anslutna appar.
Styrningsåtgärder för aktiviteter
Aviseringar
Aviseringar – Aviseringar kan utlösas i systemet och spridas via e-post baserat på allvarlighetsgrad.
Användarens e-postavisering – E-postmeddelanden kan anpassas och skickas till alla som bryter mot filägare.
Meddela ytterligare användare – specifik lista över e-postadresser som ska ta emot dessa meddelanden.
Styrningsåtgärder i appar – Detaljerade åtgärder kan tillämpas per app, specifika åtgärder varierar beroende på appterminologi.
Pausa användare – Inaktivera användaren från programmet.
Kommentar
Om ditt Microsoft Entra-ID är inställt på att automatiskt synkronisera med användarna i din lokala Active Directory-miljö åsidosätter inställningarna i den lokala miljön Microsoft Entra-inställningarna och den här styrningsåtgärden återställs.
Kräv att användaren loggar in igen – Loggar ut användaren och kräver att de loggar in igen.
Bekräfta att användaren har komprometterats – Ställ in användarens risknivå på hög. Detta gör att relevanta principåtgärder som definierats i Microsoft Entra-ID framtvingas. Mer information om hur Microsoft Entra-ID fungerar med risknivåer finns i Hur använder Microsoft Entra ID min riskfeedback.
Återkalla en OAuth-app och meddela användaren
För Google Workspace och Salesforce går det att återkalla behörigheten till en OAuth-app eller meddela användaren att de ska ändra behörigheten. När du återkallar behörigheten tar den bort alla behörigheter som beviljats till programmet under "Företagsprogram" i Microsoft Entra-ID.
På flikarna Google eller Salesforce på sidan Appstyrning väljer du de tre punkterna i slutet av appraden och väljer Meddela användare. Som standard meddelas användaren på följande sätt: Du har gett appen behörighet att komma åt ditt Google Workspace-konto. Den här appen står i konflikt med organisationens säkerhetsprincip. Överpröva att ge eller återkalla de behörigheter som du gav den här appen i ditt Google Workspace-konto. Om du vill återkalla appåtkomst går du till: https://security.google.com/settings/security/permissions?hl=en& pli=1 Välj appen och välj "Återkalla åtkomst" på den högra menyraden. Du kan anpassa meddelandet som skickas.
Du kan också återkalla behörigheter för att använda appen för användaren. Välj ikonen i slutet av appraden i tabellen och välj Återkalla app. Till exempel:
Styrningskonflikter
När du har skapat flera principer kan en situation uppstå där styrningsåtgärderna i flera principer överlappar. I det här fallet bearbetar Defender för Cloud Apps styrningsåtgärderna på följande sätt:
Konflikter mellan principer
- Om två principer innehåller åtgärder som finns i varandra (till exempel Ta bort externa resurser ingår i Gör privata) löser Defender för Cloud Apps konflikten och den starkare åtgärden framtvingas.
- Om åtgärderna inte är relaterade (till exempel Meddela ägare och Gör privat). Genomförs båda åtgärderna.
- Om åtgärderna är i konflikt (till exempel Ändra ägare till användare A och Ändra ägare till användare B) kan olika resultat uppstå från varje matchning. Det är viktigt att ändra dina principer för att förhindra konflikter eftersom de kan leda till oönskade ändringar på enheten som är svåra att identifiera.
Konflikter i användarsynkronisering
- Om ditt Microsoft Entra-ID är inställt på att automatiskt synkronisera med användarna i din lokala Active Directory-miljö åsidosätter inställningarna i den lokala miljön Microsoft Entra-inställningarna och den här styrningsåtgärden återställs.
Styrningslogg
Styrningsloggen innehåller en statuspost för varje uppgift som du anger att Defender för Cloud Apps ska köra, inklusive både manuella och automatiska uppgifter. Dessa uppgifter omfattar de som du anger i principer, styrningsåtgärder som du ställer in på filer och användare och andra åtgärder som du ställer in Defender för Cloud Apps att vidta. Styrningsloggen tillhandahåller även information om dessa åtgärder lyckas eller misslyckas. Du kan välja att försöka igen eller återställa några styrningsåtgärder från styrningsloggen.
Om du vill visa styrningsloggen går du till Microsoft Defender-portalen och väljer Styrningslogg under Molnappar.
Följande tabell är den fullständiga listan över åtgärder som du kan utföra i Defender för Cloud Apps-portalen. Dessa åtgärder aktiveras på olika platser i konsolen enligt beskrivningen i kolumnen Plats . Varje styrningsåtgärd som vidtagits anges i styrningsloggen. Information om hur styrningsåtgärder behandlas när det finns principkonflikter finns i Principkonflikter.
| Plats | Målobjekttyp | Styrningsåtgärd | beskrivning | Relaterade kopplingar |
|---|---|---|---|---|
| Accounts | Fil | Ta bort användarens samarbeten | Ta bort alla samarbeten för en viss användare för alla filer – bra för personer som lämnar företaget. | Box, Google Workspace |
| Accounts | Konto | Avbryt inaktivering av användare | Avbryter inaktivering av användare | Google Workspace, Box, Office, Salesforce |
| Accounts | Konto | Kontoinställningar | Tar dig till kontoinställningssidan i den specifika appen (till exempel i Salesforce). | Alla appar - One Drive- och SharePoint-inställningar konfigureras från Office. |
| Accounts | Fil | Överför ägarskapet för alla filer | Överför en användares filer så att de ägs av alla av en ny person som du väljer för ett konto. Den tidigare ägaren blir redigerare och kan inte längre ändra delningsinställningarna. Den nya ägaren får ett e-postmeddelande om ändringen av ägarskap. | Google-arbetsyta |
| Konton, Aktivitetsprincip | Konto | Inaktivera användare | Anger att användaren inte har någon åtkomst och ingen möjlighet att logga in. Om de loggas in när du anger den här åtgärden blir de omedelbart utelåst. | Google Workspace, Box, Office, Salesforce |
| Aktivitetsprincip, Konton | Konto | Kräv att användaren loggar in igen | Återkallar alla problem med uppdateringstoken och sessionscookies till program av användaren. Den här åtgärden förhindrar åtkomst till någon av organisationens data och tvingar användaren att logga in på alla program igen. | Google Workspace, Office |
| Aktivitetsprincip, Konton | Konto | Bekräfta att användaren har komprometterats | Ange användarens risknivå till hög. Detta gör att relevanta principåtgärder som definierats i Microsoft Entra-ID framtvingas. | Office |
| Aktivitetsprincip, Konton | Konto | Återkalla administratörsbehörigheter | Återkallar behörigheter för ett administratörskonto. Du kan till exempel ange en aktivitetsprincip som återkallar administratörsbehörigheter efter 10 misslyckade inloggningsförsök. | Google-arbetsyta |
| Appinstrumentpanel > Appbehörigheter | Behörigheter | Avbanna app | I Google och Salesforce: ta bort förbudet från appen och tillåt användare att ge behörighet till appen från tredje part med sin Google eller Salesforce. I Microsoft 365: återställer behörigheterna för appen från tredje part till Office. | Google Workspace, Salesforce, Office |
| Appinstrumentpanel > Appbehörigheter | Behörigheter | Inaktivera appbehörigheter | Återkalla en tredjepartsapps behörigheter till Google, Salesforce eller Office. Det här är en engångsåtgärd som inträffar för alla befintliga behörigheter, men som inte förhindrar framtida anslutningar. | Google Workspace, Salesforce, Office |
| Appinstrumentpanel > Appbehörigheter | Behörigheter | Aktivera appbehörigheter | Bevilja en tredjepartsapp behörighet till Google, Salesforce eller Office. Det här är en engångsåtgärd som inträffar för alla befintliga behörigheter, men som inte förhindrar framtida anslutningar. | Google Workspace, Salesforce, Office |
| Appinstrumentpanel > Appbehörigheter | Behörigheter | Förbjud app | I Google och Salesforce: Återkalla behörigheter till Google eller Salesforce för en app från tredje part och förbjud den från att få behörigheter i framtiden. I Microsoft 365: tillåter inte behörighet för appar från tredje part att komma åt Office, men återkallar dem inte. | Google Workspace, Salesforce, Office |
| Appinstrumentpanel > Appbehörigheter | Behörigheter | Återkalla app | Återkalla en tredjepartsapps behörigheter till Google eller Salesforce. Det här är en engångsåtgärd som inträffar för alla befintliga behörigheter, men som inte förhindrar framtida anslutningar. | Google Workspace, Salesforce |
| Appinstrumentpanel > Appbehörigheter | Konto | Återkalla användare från app | Du kan återkalla specifika användare genom att klicka på antalet under Användare. Skärmen visar specifika användare och du kan använda X för att ta bort behörigheter för alla användare. | Google Workspace, Salesforce |
| Identifiera > identifierade appar/IP-adresser/användare | Molnidentifiering | Exportera identifieringsdata | Skapar en CSV-fil från identifieringsdata. | Identifiering |
| Filprincip | Fil | Papperskorgen | Flyttar filen i användarens papperskorg. | Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (permanent borttagning) |
| Filprincip | Fil | Meddela senaste filredigerare | Skickar ett e-postmeddelande för att meddela den senaste personen som redigerade filen att den strider mot en princip. | Google Workspace, Box |
| Filprincip | Fil | Meddela filägaren | Skickar ett e-postmeddelande till filägaren när en fil bryter mot en princip. Om ingen ägare är associerad med en fil i Dropbox skickas meddelandet till den specifika användare som du angett. | Alla appar |
| Filprincip, aktivitetsprincip | Fil, aktivitet | Meddela specifika användare | Skickar ett e-postmeddelande till specifika användare om en fil som bryter mot en princip. | Alla appar |
| Filprincip och aktivitetsprincip | Fil, aktivitet | Meddela användare | Skickar ett e-postmeddelande till användare för att meddela dem att något de gjorde eller en fil de äger strider mot en princip. Du kan lägga till ett anpassat meddelande för att meddela dem om vilken överträdelse det gäller. | Alla |
| Filprincip och filer | Fil | Ta bort redigerarens möjlighet att dela | I Google Drive tillåter standardbehörigheterna för redigerare av en fil att filen även delas. Denna styrningsåtgärd begränsar det här alternativet och begränsar fildelning till ägaren. | Google-arbetsyta |
| Filprincip och filer | Fil | Placera i administratörskarantän | Tar bort alla behörigheter från filen och flyttar filen till en karantänmapp på en plats för administratören. Med den här åtgärden kan administratören granska filen och ta bort den. | Microsoft 365 SharePoint, OneDrive för företag, Box |
| Filprincip och filer | Fil | Använd känslighetsetikett | Tillämpar en Microsoft Purview Information Protection-känslighetsetikett på filer automatiskt baserat på de villkor som anges i principen. | Box, One Drive, Google Workspace, SharePoint |
| Filprincip och filer | Fil | Ta bort känslighetsetikett | Tar bort en Känslighetsetikett för Microsoft Purview Information Protection från filer automatiskt baserat på de villkor som anges i principen. Du kan bara ta bort etiketter om de inte innehåller skydd, och de har tillämpats inifrån Defender för Molnappar, inte etiketter som tillämpas direkt i Information Protection. | Box, One Drive, Google Workspace, SharePoint |
| Filprincip, aktivitetsprincip, aviseringar | App | Kräv att användare loggar in igen | Du kan kräva att användarna loggar in igen till alla Microsoft 365- och Microsoft Entra-appar som en snabb och effektiv reparation för misstänkta användaraktivitetsaviseringar och komprometterade konton. Du hittar den nya styrningen i principinställningarna och aviseringssidorna bredvid alternativet Pausa användare. | Microsoft 365, Microsoft Entra ID |
| Filer | Fil | Återställ från användarens karantän | Återställer en användare från karantän. | Box |
| Filer | Fil | Bevilja läsbehörighet till mig | Bevilja läsbehörighet för filen till dig själv så att du kan få åtkomst till filen och förstå om den innehåller en överträdelse eller inte. | Google-arbetsyta |
| Filer | Fil | Tillåt redigerare att dela | I Google Drive tillåter standardredigerarens behörighet för en fil även delning. Den här styrningsåtgärden är motsatsen till Att ta bort redigerarens möjlighet att dela och gör det möjligt för redigeraren att dela filen. | Google-arbetsyta |
| Filer | Fil | Skydda | Skydda en fil med Microsoft Purview genom att använda en organisationsmall. | Microsoft 365 (SharePoint och OneDrive) |
| Filer | Fil | Återkalla läsbehörighet från mig själv | Återkallar läsbehörighet för filen för dig själv, användbart när du beviljat dig själv behörighet att förstå om en fil har en överträdelse eller inte. | Google-arbetsyta |
| Filer, Filprincip | Fil | Överför filägarskap | Ändrar ägaren – i principen väljer du en specifik ägare. | Google-arbetsyta |
| Filer, Filprincip | Fil | Minska offentlig åtkomst | Med den här åtgärden kan du ange att offentligt tillgängliga filer endast ska vara tillgängliga med en delad länk. | Google-arbetsyta |
| Filer, Filprincip | Fil | Ta bort en samarbetspartner | Tar bort en specifik samarbetspartner från en fil. | Google Workspace, Box, One Drive, SharePoint |
| Filer, Filprincip | Fil | Gör privat | Endast webbplatsadministratörer kan komma åt filen, alla resurser tas bort. | Google Workspace, One Drive, SharePoint |
| Filer, Filprincip | Fil | Ta bort externa användare | Tar bort alla externa samarbetspartners – utanför de domäner som är konfigurerade som interna i Inställningar. | Google Workspace, Box, One Drive, SharePoint |
| Filer, Filprincip | Fil | Bevilja läsbehörighet till domän | Bevilja läsbehörighet för filen till den angivna domänen för hela domänen eller en specifik domän. Den här åtgärden är användbar om du vill ta bort offentlig åtkomst när du har beviljat åtkomst till domänen för personer som behöver arbeta med den. | Google-arbetsyta |
| Filer, Filprincip | Fil | Placera i användarkarantän | Tar bort alla behörigheter från filen och flyttar filen till en mapp för karantän under användarens rotenhet. Med den här åtgärden kan användaren granska filen och flytta den. Om fildelningen flyttas tillbaka manuellt återställs inte fildelningen. | Box, One Drive, SharePoint |
| Filer | Fil | Förfalla delad länk | Ange ett förfallodatum för en delad länk varefter den inte längre är aktiv. | Box |
| Filer | Fil | Ändra åtkomstnivå för delningslänkar | Ändrar åtkomstnivån för den delade länken endast mellan företaget, endast medarbetare och offentlig. | Box |
| Filer, Filprincip | Fil | Ta bort allmän åtkomst | Om en fil var din och du placerar den i offentlig åtkomst blir den tillgänglig för alla andra som har konfigurerats med åtkomst till filen (beroende på vilken typ av åtkomst filen hade). | Google-arbetsyta |
| Filer, Filprincip | Fil | Ta bort direkt delad länk | Tar bort en länk som skapas för filen som är offentlig men bara delas med specifika personer. | Box, Dropbox |
| Inställningar Cloud> Discovery-inställningar | Molnidentifiering | Beräkna om molnidentifieringspoäng | Beräknar om resultatet i molnappkatalogen när ett poängmåttvärde ändras. | Identifiering |
| Inställningar> Cloud Discovery-inställningar > Hantera datavyer | Molnidentifiering | Skapa datavy för anpassat molnidentifieringsfilter | Skapar en ny datavy för en mer detaljerad vy av identifieringsresultatet. Till exempel specifika IP-intervall. | Identifiering |
| Inställningar> Cloud Discovery-inställningar > Ta bort data | Molnidentifiering | Ta bort molnidentifieringsdata | Tar bort alla data som samlats in från identifieringskällor. | Identifiering |
| Inställningar> Cloud Discovery-inställningar > Ladda upp loggar manuellt/Ladda upp loggar automatiskt | Molnidentifiering | Parsa molnidentifieringsdata | Meddelande om att alla loggdata har tolkats. | Identifiering |
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.