治理連線的應用程式
治理可讓您控制使用者跨應用程式執行的動作。 對於連線的應用程式,您可以對檔案或活動套用治理動作。 治理動作是您可以直接從 適用於雲端的 Microsoft Defender Apps 對檔案或活動執行的整合式動作。 治理動作可控制使用者跨連線應用程式執行的動作。 如需您可以使用治理動作之位置的詳細資訊,請參閱 控管已連線的應用程式。
注意
當 適用於雲端的 Microsoft Defender 應用程式嘗試在檔案上執行治理動作,但因為檔案已鎖定而失敗時,它會自動重試治理動作。
檔案治理動作
您可以對連線應用程式上的特定檔案、使用者執行下列治理動作,也可以利用特定原則達成相同的目的。
通知:
警示 – 您可以根據嚴重性層級,在系統中觸發警示,並透過電子郵件傳播警示。
使用者電子郵件通知 - 您可自訂電子郵件訊息,並將其傳送給所有違規的檔案擁有者。
通知特定使用者 - 將接收這些通知的電子郵件地址特定清單。
通知上一位檔案編輯者 - 將通知傳送給上一位修改檔案的人員。
應用程式中的治理動作 - 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。
標記
- 套用標籤 - 新增 Microsoft Purview 資訊保護 敏感度標籤的能力。
- 拿掉標籤 - 移除 Microsoft Purview 資訊保護 敏感度標籤的能力。
變更共用
拿掉公用共用 – 只允許具名共同作業者存取,例如: 移除 Google 工作區的公用存取 ,以及 移除 Box 和 Dropbox 的直接共享連結 。
移除外部使用者 - 只允許公司使用者進行存取。
設為私人 – 只有網站 管理員 可以存取檔案,所有共用都會移除。
移除共同作業者 - 從檔案中移除特定的共同作業者。
減少公用存取 - 將可公開取得的檔案設定為只能透過共用連結來取得。 (Google)
到期共享連結 - 能夠設定共享連結 的到期日,之後該連結將不再使用中。 (Box)
變更共用連結存取層級 - 可變更共用連結存取層級 (僅限公司、僅限共同作業者和公用) 的能力。 (Box)
隔離
置入使用者隔離中 - 將檔案移至使用者控制的隔離資料夾中,以允許自助式服務
置入系統管理隔離中 - 將檔案移至系統管理員磁碟的隔離中,而且必須由系統管理員核准。
繼承父 系的許可權 - 此治理動作可讓您移除 Microsoft 365 中檔案或資料夾的特定許可權集。 然後還原為針對父資料夾所設定的權限。
資源回收筒 - 將檔案移至 [資源回收筒] 資料夾。 (Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex)
惡意代碼治理動作 (預覽)
您可以對連線應用程式上的特定檔案、使用者執行下列治理動作,也可以利用特定原則達成相同的目的。 基於安全性考慮,此清單僅限於不代表使用者或租用戶風險的惡意代碼相關動作。
通知:
- 警示 - 系統可以觸發警示,並根據嚴重性層級,透過電子郵件和文字訊息來傳播警示。
應用程式中的治理動作 - 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。
變更共用
- 移除外部使用者 - 只允許公司使用者進行存取。 (Box、Google Drive、OneDrive、SharePoint)
- 移除直接共享連結 – 移除先前共用連結 的許可權(Box、Dropbox)
隔離
- 放入使用者隔離 – 允許自助,方法是將檔案移至使用者控制的隔離資料夾(Box、OneDrive、SharePoint)
- 置入系統管理隔離中 - 將檔案移至系統管理員磁碟的隔離中,而且必須由系統管理員核准。 (Box)
資源回收筒 - 將檔案移至 [資源回收筒] 資料夾。 (Box、Dropbox、Google Drive、OneDrive、SharePoint)
注意
在 SharePoint 和 OneDrive 中,適用於雲端的 Defender Apps 僅針對共用文檔庫 (SharePoint Online) 和文檔庫中的檔案 (商務用 OneDrive) 中的檔案支援用戶隔離。
適用於 Microsoft 365 的 Microsoft Defender 客戶可以透過 [Microsoft Defender 全面偵測回應 隔離] 頁面控制 SharePoint 和 OneDrive 中偵測到的惡意代碼檔案。 例如,支持的活動包括復原檔案、刪除檔案,以及下載受密碼保護 ZIP 檔案中的檔案。 這些活動僅限於尚未由 適用於雲端的 Microsoft Defender Apps 隔離的檔案。 在 SharePoint 中,適用於雲端的 Defender Apps 僅支援使用英文路徑共用檔的檔案隔離工作。
動作只會針對已連線的應用程式顯示。
活動治理動作
通知
警示 – 您可以根據嚴重性層級,在系統中觸發警示,並透過電子郵件傳播警示。
使用者電子郵件通知 - 您可自訂電子郵件訊息,並將其傳送給所有違規的檔案擁有者。
通知其他使用者 - 將接收這些通知的電子郵件地址特定清單。
應用程式中的治理動作 - 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。
暫時停止使用者的權限 - 暫時停止使用者的應用程式權限。
注意
如果您的 Microsoft Entra 識別碼設定為自動與 Active Directory 內部部署環境中的使用者同步處理,則內部部署環境中的設定將會覆寫 Microsoft Entra 設定,並還原此治理動作。
使用者必須重新登入 - 將使用者登出並要求他們重新登入。
確認使用者遭 入侵 - 將使用者的風險等級設定為高。 這會導致強制執行 Microsoft Entra ID 中定義的相關原則動作。 如需 Microsoft Entra ID 如何與風險層級搭配運作的詳細資訊,請參閱 Microsoft Entra ID 如何使用我的風險意見反應。
撤銷 OAuth 應用程式並通知使用者
針對 Google Workspace 和 Salesforce,可以撤銷 OAuth 應用程式的許可權,或通知使用者他們應該變更許可權。 當您撤銷許可權時,它會移除 Microsoft Entra 識別碼中[企業應用程式] 底下授與應用程式的所有許可權。
在 [應用程式控管] 頁面上的 [Google 或 Salesforce] 索引標籤上,選取應用程式數據列結尾的三個點,然後選取 [通知使用者]。 根據預設,系統會通知使用者,如下所示: 您已授權應用程式存取Google Workspace 帳戶。此應用程式與貴組織的安全策略衝突。重新考慮在Google工作區帳戶中提供或撤銷您授與此應用程式的許可權。若要撤銷應用程式存取權,請移至: https://security.google.com/settings/security/permissions?hl=en&pli=1 選取應用程式,然後在右側功能表欄上選取 [撤銷存取權]。 您可以自定義傳送的訊息。
您也可以為使用者撤銷使用應用程式的權限。 選取資料表中應用程式數據列結尾的圖示,然後選取 [ 撤銷應用程式]。 例如:
治理衝突
建立多個原則之後,可能會出現多個原則中的治理動作重疊的狀況。 在此情況下,適用於雲端的 Defender 應用程式會處理治理動作,如下所示:
原則相衝突
- 如果兩個原則包含彼此所包含的動作(例如,移除外部共用包含在 [設為私人] 中),適用於雲端的 Defender Apps 將會解決衝突,並強制執行更強的動作。
- 如果其中的動作無關 (例如通知擁有者和設為私用), 則這兩個動作皆會執行。
- 如果動作彼此衝突,(例如變更擁有者為使用者 A 和變更擁有者為使用者 B),則每個相符項目可能會產生不同的結果。 請務必變更原則以避免發生衝突,因為這些衝突可能會導致磁碟機出現偵測困難的不利變更。
使用者同步衝突
- 如果您的 Microsoft Entra 識別碼設定為自動與 Active Directory 內部部署環境中的使用者同步處理,內部部署環境中的設定將會覆寫 Microsoft Entra 設定,並將還原此治理動作。
治理記錄
治理記錄會提供您設定 適用於雲端的 Defender 應用程式執行之每個工作的狀態記錄,包括手動和自動工作。 這些工作包括您在原則中設定的工作、您在檔案和用戶上設定的治理動作,以及您設定 適用於雲端的 Defender 應用程式採取的任何其他動作。 治理記錄也會提供這些動作成敗的相關資訊。 您可以選擇重試或還原治理記錄中的一些治理動作。
若要檢視治理記錄,請在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [治理記錄]。
下表是 適用於雲端的 Defender Apps 入口網站可讓您採取的動作完整清單。 如 [位置] 欄位中所述,主控台有很多地方可以啟用這些動作。 每項採取的治理動作都會列於治理記錄中。 如需原則衝突時如何處理治理動作的資訊,請參閱原則衝突。
| Location | 目標目的類型 | 治理動作 | 描述 | 相關的連接器 |
|---|---|---|---|---|
| 帳戶 | 檔案 | 移除使用者的共同作業 | 移除特定使用者對於所有檔案的所有共同作業 - 對於有人離開公司時很實用。 | Box、Google Workspace |
| 帳戶 | 客戶 | 恢復使用者的權限 | 恢復使用者的權限 | Google Workspace、Box、Office、Salesforce |
| 帳戶 | 客戶 | 帳戶設定 | 帶您前往特定應用程式 (例如,進入 Salesforce) 中的 [帳戶設定] 頁面。 | 所有應用程式 - OneDrive 與 SharePoint 設定從 Office 內設定。 |
| 帳戶 | 檔案 | 移轉所有檔案擁有權 | 您可以針對一個帳戶,將某位使用者的檔案全部移轉為由您所選的一位新的人員擁有。 先前的擁有者會成為編輯者,再也無法變更共用設定。 新的擁有者會收到電子郵件通知,告知擁有權已變更。 | Google 工作區 |
| 帳戶、活動原則 | 客戶 | 暫時停止使用者的權限 | 設定使用者沒有任何存取權也無法登入。 如果您在設定此動作時登入,則會立即鎖定它們。 | Google Workspace、Box、Office、Salesforce |
| 活動原則、帳戶 | 客戶 | 要求使用者重新登入 | 撤銷由使用者核發給應用程式的所有重新整理權杖及工作階段 Cookie。 此動作會禁止存取組織的任何資料,並強制使用者再次登入所有應用程式。 | Google Workspace、Office |
| 活動原則、帳戶 | 客戶 | 確認使用者遭入侵 | 將用戶的風險層級設定為高。 這會導致強制執行 Microsoft Entra ID 中定義的相關原則動作。 | Office |
| 活動原則、帳戶 | 客戶 | 撤銷系統管理員權限 | 撤銷系統管理員帳戶的權限。 例如,設定活動原則,在登入嘗試失敗 10 次後撤銷系統管理員權限。 | Google 工作區 |
| 應用程式儀錶板 > 應用程式許可權 | 權限 | 取消禁止應用程式 | 在 Google 和 Salesforce 中:移除禁止應用程式的設定,讓使用者授權協力廠商應用程式使用其 Google 或 Salesforce。 在 Microsoft 365 中:將第三方應用程式的許可權還原至 Office。 | Google Workspace、Salesforce、Office |
| 應用程式儀錶板 > 應用程式許可權 | 權限 | 撤銷應用程式權限 | 撤銷協力廠商應用程式使用 Google、Salesforce 或 Office 的權限。 這對所有現有權限都是一次性動作,但無法阻止未來的連線。 | Google Workspace、Salesforce、Office |
| 應用程式儀錶板 > 應用程式許可權 | 權限 | 授與應用程式權限 | 授權協力廠商應用程式使用 Google、Salesforce 或 Office。 這對所有現有權限都是一次性動作,但無法阻止未來的連線。 | Google Workspace、Salesforce、Office |
| 應用程式儀錶板 > 應用程式許可權 | 權限 | 禁止應用程式 | 在 Google 和 Salesforce 中:撤銷協力廠商應用程式對 Google 或 Salesforce 的權限,並禁止它之後接收權限。 在 Microsoft 365 中:不允許第三方應用程式存取 Office 的許可權,但不會撤銷它們。 | Google Workspace、Salesforce、Office |
| 應用程式儀錶板 > 應用程式許可權 | 權限 | 撤銷應用程式 | 撤銷提供給 Google、Salesforce 或 Office 的第三方應用程式權限。 這對所有現有權限都是一次性動作,但無法阻止未來的連線。 | Google Workspace、Salesforce |
| 應用程式儀錶板 > 應用程式許可權 | 客戶 | 從應用程式撤銷使用者 | 按一下 [使用者] 下的號碼,即可撤銷特定的使用者。 此畫面會顯示特定的使用者,而您可使用 X 來刪除任何使用者的權限。 | Google Workspace、Salesforce |
| 探索 > 探索到的應用程式/IP 位址/使用者 | Cloud Discovery | 匯出探索資料 | 從探索資料建立 CSV。 | 探索 |
| 檔案原則 | 檔案 | 資源回收筒 | 移動使用者垃圾箱中的檔案。 | Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex (永久刪除) |
| 檔案原則 | 檔案 | 通知前一位檔案編輯者 | 傳送電子郵件通知編輯違反原則之檔案的前一位編輯者。 | Google Workspace、Box |
| 檔案原則 | 檔案 | 通知檔案擁有者 | 當檔案違反原則時,傳送電子郵件給檔案擁有者。 在 Dropbox 中,如果沒有擁有者與檔案相關聯,則會將通知傳送給您設定的特定使用者。 | 所有應用程式 |
| 檔案原則, 活動原則 | 檔案, 活動 | 通知特定使用者 | 傳送電子郵件通知特定使用者有檔案違反了原則。 | 所有應用程式 |
| 檔案原則與活動原則 | 檔案, 活動 | 通知使用者 | 傳送電子郵件給使用者,通知使用者他們所進行的作業,或他們自己所擁有的檔案違反了原則。 您可以加入自訂通知,讓使用者知道所違反的規定為何。 | 全部 |
| 檔案原則及檔案 | 檔案 | 移除編輯者的能力以進行共用 | 在 Google 雲端硬碟中,檔案的預設編輯者權限也允許共用。 此治理動作會限制此選項,並限制檔案與擁有者共用。 | Google 工作區 |
| 檔案原則及檔案 | 檔案 | 置於系統管理隔離中 | 從檔案中移除任何許可權,並將檔案移至系統管理員位置中的隔離資料夾。此動作可讓系統管理員檢閱檔案並加以移除。 | Microsoft 365 SharePoint,商務用 OneDrive,Box |
| 檔案原則及檔案 | 檔案 | 套用敏感度標籤 | 根據原則中設定的條件,自動將 Microsoft Purview 資訊保護 敏感度標籤套用至檔案。 | Box、One Drive、Google Workspace、SharePoint |
| 檔案原則及檔案 | 檔案 | 拿掉敏感度標籤 | 根據原則中設定的條件,自動從檔案中移除 Microsoft Purview 資訊保護 敏感度標籤。 只有當標籤不包含保護,而且標籤是從 適用於雲端的 Defender Apps 中套用,而不是直接套用在 資訊保護 中的標籤時,才可以移除卷標。 | Box、One Drive、Google Workspace、SharePoint |
| 檔案原則、活動原則、警示 | App | 需要使用者重新登入 | 您可以要求使用者再次登入所有 Microsoft 365 和 Microsoft Entra 應用程式,以快速有效的補救可疑用戶活動警示和遭入侵的帳戶。 您可以在 [原則設定] 和 [警示] 頁面中,於 [暫時停止使用者的權限] 選項旁找到新的治理動作。 | Microsoft 365、Microsoft Entra ID |
| Files | 檔案 | 從使用者隔離還原 | 還原被隔離的使用者。 | Box |
| Files | 檔案 | 對自己授與讀取權限 | 授與您自己檔案的讀取權限,讓您可以存取該檔案,並了解它是否有違規。 | Google 工作區 |
| Files | 檔案 | 允許編輯者進行共用 | 在 Google Drive 中,檔案的預設編輯者權限也允許共用。 此治理動作與移除編輯器共用的能力相反,可讓編輯器共用檔案。 | Google 工作區 |
| Files | 檔案 | 保護 | 透過 Azure 資訊保護,套用組織範本來保護檔案。 | Microsoft 365 (SharePoint 和 OneDrive) |
| Files | 檔案 | 撤銷自己的讀取權限 | 撤銷您自己對檔案的讀取權限,授與您自己有權限可了解檔案是否有違規情況之後,此項目相當實用。 | Google 工作區 |
| 檔案、檔案原則 | 檔案 | 移轉檔案擁有權 | 變更擁有者 - 在原則中選取特定的擁有者。 | Google 工作區 |
| 檔案、檔案原則 | 檔案 | 減少公用存取 | 此動作讓您將可公開取得的檔案設定為只能透過共用連結取得。 | Google 工作區 |
| 檔案、檔案原則 | 檔案 | 移除共同作業者 | 移除檔案的特定共同作業者。 | Google Workspace、Box、One Drive、SharePoint |
| 檔案、檔案原則 | 檔案 | 使其成為私人 | 只有網站 管理員 可以存取檔案,所有共用都會移除。 | Google Workspace、One Drive、SharePoint |
| 檔案、檔案原則 | 檔案 | 移除外部使用者 | 移除所有外部共同作業者 - 在 [設定] 中可將網域之外的共同作業者設定為內部共同作業者。 | Google Workspace、Box、One Drive、SharePoint |
| 檔案、檔案原則 | 檔案 | 授與網域的讀取權限 | 為整個網域或特定的網域,對指定的網域授與檔案的讀取權限。 若在授與需要使用網域工作的人員該網域存取權後,想要移除公用存取,這項動作很實用。 | Google 工作區 |
| 檔案、檔案原則 | 檔案 | 置於使用者隔離中 | 移除檔案具備的所有權限,並將檔案移至使用者根磁碟機下的隔離資料夾。 此動作可讓使用者檢閱並移動檔案。 如以手動方式移回檔案,不會還原檔案共用。 | Box, OneDrive, SharePoint |
| Files | 檔案 | 過期共用連結 | 設定共用連結的過期日期,該日期過後共用連結將不再有效。 | Box |
| Files | 檔案 | 變更共用連結存取層級 | 變更共用連結存取層級 (僅限公司、僅限共同作業者和公用)。 | Box |
| 檔案、檔案原則 | 檔案 | 移除公用存取 | 如果您開放自己檔案的公用存取,則設定具有該檔案存取權的任何其他人都可存取它 (視此檔案的存取種類而定)。 | Google 工作區 |
| 檔案、檔案原則 | 檔案 | 移除直接的共用連結 | 移除為公用檔案建立的連結,僅供特定人員共用。 | Box、Dropbox |
| >設定 Cloud Discovery 設定 | Cloud Discovery | 重新計算 Cloud Discovery 分數 | 變更分數計量之後,重新計算雲端應用程式類別目錄中的分數。 | 探索 |
| >設定 Cloud Discovery 設定>管理數據檢視 | Cloud Discovery | 建立自訂雲端探索篩選資料檢視 | 建立新的資料檢視,取得探索結果更細微的檢視。 例如,特定的 IP 範圍。 | 探索 |
| >設定 Cloud Discovery 設定>刪除數據 | Cloud Discovery | 刪除雲端探索資料 | 刪除從探索來源收集來的所有資料。 | 探索 |
| >設定 Cloud Discovery 設定 > 手動上傳記錄/自動上傳記錄 | Cloud Discovery | 剖析雲端探索資料 | 已剖析所有記錄資料的通知。 | 探索 |
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。