将部署范围限定为特定用户或用户组
使用 Microsoft Cloud App Security,可以限定部署作用域。 作用域使你可以为应用选择要监视的特定用户组或从监视中排除特定用户组。
注意
作用域部署不会减少扫描的文件、Oauth 应用程序和用户帐户的数量。 它仅根据所选用户组减少用户活动数量。
包括或排除用户组
你可能不想将 Microsoft Defender for Cloud Apps 用于组织中的所有用户。 当由于许可限制而希望限制部署时,作用域尤其有用。 合规性法规要求禁止监视某些国家/地区的用户时,也可能需要限制部署。 例如,使用作用域内部署仅能监视位于美国的员工。 或者,可以避免对位于德国的用户显示任何活动。
要限定部署的作用域,必须先将用户组导入到 Microsoft Defender for Cloud Apps。 默认情况下,将看到以下组:
“应用程序”用户组 - 内置组,使你可以查看由 Microsoft 365 和 Microsoft Entra 应用执行的活动。
外部用户组 - 不属于为组织配置的任何托管域的所有用户。
设置包括规则将自动排除不在已包括组内的所有组。 例如,如果设置包括规则,即包括美国办公室组的所有成员,则不会监视不属于该组的任何组。
排除的用户组替代已包括的用户组。 这意味着如果包括“英国员工”用户组但排除“营销”,那么即使来自英国的营销组成员是“英国员工”组的成员,也不会受到监视。
在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。 在系统下,选择作用域部署和隐私。
为了限定部署作用域以包含或排除特定组,必须先将用户组导入到 Microsoft Defender for Cloud Apps。
要将特定组设置为由 Microsoft Defender for Cloud Apps 监视,请在包含选项卡中选择+添加规则。
在“新建包含规则”对话框中,执行下列操作:
在“键入规则名称”下,为规则指定一个描述性名称。
在选择用户组下,选择要使用 Defender for Cloud Apps 监视的所有组。
选择要将此规则应用于所有连接的应用,还是仅应用于特定应用。 如果选择特定应用,该规则只会监视选择的应用。 例如,如果选择UI 团队用户和Box组,则 Defender for Cloud Apps 将只监视 UI 团队用户组用户的 Box 活动,至于所有其他应用,Defender for Cloud Apps 将监视所有用户的所有活动。
要将特定组设置为从监视中排除,请在排除选项卡中选择+添加规则。
在“新建执行规则”对话框中,设置下列参数:
在“键入规则名称”下,为规则指定一个描述性名称。 在选择用户组下,选择所有无需 Defender for Cloud Apps 监视的组。
选择要将此规则应用于所有连接的应用,还是仅应用于特定应用。 如果选择特定应用,Defender for Cloud Apps 将仅针对所选的应用停止监视所选择的组。 这表示如果选择UI 团队用户和Active Directory组,Defender for Cloud Apps 将监视除 UI 团队用户执行的 Active Directory 活动以外的所有用户活动。
包含和排除规则的示例结果
同时使用创建的包含和排除规则,可以确定由 Microsoft Defender for Cloud Apps 执行的整体监视的作用域。 以下是可以创建的包含和排除规则的示例,以及在这些规则运行后 Microsoft Defender for Cloud Apps 监视的最终结果。
如果创建以下规则:
- 排除用户组“所有德国用户”
- 为用户组“全球销售”仅包含 Microsoft 365 活动
- 为用户组“销售经理”仅包括 Power BI 活动
- Salesforce 连接到 Microsoft Defender for Cloud Apps 并且不设置任何规则
监视以下用户活动:
用户 | 组成员身份 | 受监视的活动 |
---|---|---|
Adriana | 所有德国用户 全球销售 销售经理 |
无 |
Alain | 全球销售 | Microsoft 365 和除 Power BI 之外的所有子应用 |
Cornel | 全球销售 销售经理 |
Microsoft 365 和所有子应用 |
Raymond | 销售经理 | 仅限 power BI |
注意
受这些规则限制的组不会影响其他应用。 在本示例中,对于 Salesforce,所有用户组中的所有活动都将被监视。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。