Importera användargrupper från anslutna appar
När du ansluter appar med API-anslutningsappar kan du Microsoft Defender for Cloud Apps importera användargrupper, till exempel från Microsoft 365 och Microsoft Entra ID. Det finns två typer av användargrupper:
Automatiska grupper: Automatiska grupper skapas som standard som Microsoft Defender for Cloud Apps. Det finns till exempel en automatisk användargrupp med namnet Extern som kombinerar alla användare från alla appar som är externa för din organisation och har åtkomst till filer eller var i användaraktiviteter i din klientorganisation. Följande automatiska grupper finns i Defender for Cloud Apps:
- Extern
- Dropbox-administratör
- Microsoft 365-administratör
- Administratör för Google Workspace
- Box-administratör
- Alla Salesforce-standardprofiler och anpassade profiler, till exempel Salesforce System Administrator. Se hela listan här.
Importerade grupper: Du kan importera valfri grupp från dina anslutna appar. Du kan till exempel importera användargrupper från Microsoft 365 (Active Directory) och andra anslutna appar. Med de här grupperna kan du söka efter hot i din organisation, inte genom att titta på hela organisationen eller på en specifik användare, utan genom att titta på en specifik grupp.
Vanliga scenarier som använder importerade användargrupper är:
- Undersöka vilka dokument hr-personer tittar på.
- Kontrollera om det händer något ovanligt i ledningsgruppen.
- Ta reda på om någon från administratörsgruppen utförde en aktivitet utanför USA.
I Microsoft Defender XDR väljer du Inställningar > Cloud Apps > System > Användargrupper > + Importera användargrupp.
I fönstret Importera användargrupp väljer du den app som användargruppen ska importeras från. Vilka appar som visas beror på vilka anslutningsappar du har distribuerat.
Välj den grupp som du vill importera. Listan innehåller de första 50 grupperna från de befintliga användargrupperna i appen. Om du inte ser din grupp anger du söktext i sökfältet ovanför listan.
Om du vill lägga till en ny grupp i listan gör du det i själva appen och går sedan tillbaka till Microsoft Defender-portalen för att visa den nya gruppen i listan.
(Valfritt) Välj att meddelas via e-post när importen är klar.
Välj Importera.
När importen är klar väljer du din grupp på sidan Användargrupper för att visa en lista över alla gruppmedlemmar. Välj en gruppmedlem för att öka detaljnivån ytterligare för mer information, inklusive de appar som används och en sammanfattning av kontoaktiviteterna. Importerade grupper kan också väljas som filter när du undersöker i aktivitetsloggen och när du skapar principer. Gruppmedlemmar synkroniseras automatiskt för importerade grupper, precis som för Active Directory Connect.
Anteckning
- Det maximala antalet importerade användargrupper är 500.
- Endast aktiva användare importeras som en del av den importerade gruppen. Alla inaktiverade, inaktiverade eller inaktiverade användare ignoreras.
- Det kan uppstå en kort fördröjning tills importerade användargrupper är tillgängliga i filter.
- Endast aktiviteter som utförs efter att en användargrupp har importerats taggas så att de har utförts av en medlem i användargruppen.
- Efter den första synkroniseringen uppdateras grupper vanligtvis varje timme. På grund av olika faktorer kan det dock finnas tillfällen då detta kan ta flera timmar.
Mer information om hur du använder filter för användargrupper finns i Aktiviteter.
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.