共用方式為

將您的部署範圍設定為特定用戶或使用者群組

  • 發行項

適用於雲端的 Microsoft Defender Apps 可讓您設定部署範圍。 限定範圍可讓您選取要監視應用程式的特定使用者群組,或從監視中排除特定使用者群組。

注意

範圍部署 不會 減少掃描的檔案、Oauth 應用程式和用戶帳戶數目。 它只會根據選取的使用者群組減少用戶活動的數目

包含或排除使用者群組

您可能不想為組織中的所有使用者使用 適用於雲端的 Microsoft Defender Apps。 當您因為授權限制而想要限制部署時,限定範圍特別有用。 您可能也需要限制,因為合規性法規要求您不監視特定國家/地區的使用者。 例如,使用限定範圍的部署僅監視美國員工。 或者,您可以避免為您的德國使用者顯示任何活動。

  • 若要設定部署範圍,您必須先將使用者群組匯入至 適用於雲端的 Microsoft Defender Apps。 根據預設,您會看到下列群組:

    • 應用程式 使用者群組 - 內建群組,可讓您查看 Microsoft 365 和 Microsoft Entra 應用程式所執行的活動。

    • 外部使用者 群組 - 不是您為組織設定之任何受控網域成員的所有使用者。

  • 設定包含規則將自動排除不在包含群組內的所有群組。 例如,若您將規則設定為包含美國辦公室群組的所有成員,則不會監視不屬於該群組的任何群組。

  • 排除的使用者群組會覆寫包含的使用者群組。 表示如果您包含「英國員工」使用者群組但排除「行銷」,即使英國的行銷成員是英國員工群組的成員,他們也不會受到監視。

  1. 在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [系統] 底下,選取 [限定範圍的部署和隱私權]。

  2. 若要將部署範圍限定為包含或排除特定群組,您必須先將使用者群組匯入至 適用於雲端的 Microsoft Defender Apps。

  3. 若要設定要由 適用於雲端的 Microsoft Defender Apps 監視的特定群組,請在 [包含] 索引卷標中,選取 [+新增規則]。

  4. 在 [建立新的包含規則] 對話方塊中,執行下列步驟:

    1. 在 [類型規則名稱] 下,為該規則指定一個描述性名稱。

    2. 在 [選取使用者群組] 下,選取您想要使用 適用於雲端的 Defender Apps 監視的所有群組。

    3. 選取是否要將此規則套用於已連線的所有應用程式,還是僅套用於特定應用程式。 如果您選取 [特定應用程式],該規則只會影響您所選取應用程式的監視。 例如,如果您選取群組UI小組使用者Box,適用於雲端的 Defender 應用程式只會監視UI小組使用者群組和所有其他應用程式的Box活動,適用於雲端的 Defender 應用程式會監視所有使用者的所有活動。

      包含規則。

  5. 若要設定要從監視中排除的特定群組,請在 [排除] 索引標籤中,選取 [+新增規則]。

  6. 在 [建立新排除規則] 對話方塊中,設定下列參數:

    1. 在 [類型規則名稱] 下,為該規則指定一個描述性名稱。 在 [選取使用者群組] 下,選取您不想 適用於雲端的 Defender [應用程式] 監視的所有群組。

    2. 選取是否要將此規則套用於已連線的所有應用程式,還是僅套用於特定應用程式。 如果您選取 [特定應用程式],適用於雲端的 Defender [應用程式] 將會停止監視您為選取的應用程式選取的群組。 這表示如果您選取群組 UI 小組使用者Active Directory,適用於雲端的 Defender 應用程式會監視除了 UI 小組使用者所執行的 Active Directory 活動以外的所有用戶活動。

      排除規則。

包含與排除規則的範例結果

您建立的 include 和 exclude 規則會共同運作,以限定 適用於雲端的 Microsoft Defender Apps 所執行的整體監視範圍。 以下是您可以建立的包含和排除規則的範例,以及這些規則執行之後,適用於雲端的 Microsoft Defender Apps 監視的最終結果。

如果您建立下列規則:

  • 排除使用者群組「德國所有使用者」
  • 僅包含使用者群組「全球銷售」Microsoft 365 活動
  • 針對使用者群組「銷售經理」僅包含 Power BI 活動
  • Salesforce 已連線至 適用於雲端的 Microsoft Defender Apps,且未為其設定任何規則

下列使用者的活動會受到監視:

User 群組成員資格 監視的活動
Adriana 德國所有使用者
全球銷售
銷售經理
Alain 全球銷售 Microsoft 365 和 Power BI 以外的所有子應用程式
Cornel 全球銷售
銷售經理		 Microsoft 365 和所有子應用程式
Raymond 銷售經理 僅限 Power BI

注意

其他應用程式不會受到這些規則中的群組範圍限定影響。 在範例中,針對 Salesforce,會監視所有使用者群組的所有活動。

下一步

設定雲端探索

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證