從連線的應用程式匯入使用者群組

  • 發行項

當您使用 API 連接器連接應用程式時,適用於雲端的 Microsoft Defender Apps 可讓您匯入使用者群組,例如從 Microsoft 365 和 Microsoft Entra ID。 使用者群組有兩種類型:

  • 自動群組:依預設會建立自動群組,適用於雲端的 Microsoft Defender Apps。 例如,有一個稱為外部的自動使用者群組,結合了來自組織外部且可以存取檔案,或已參與租用戶使用者活動之所有應用程式的所有使用者。 適用於雲端的 Defender Apps 中存在下列自動群組:

    • 外部
    • Dropbox 系統管理員
    • Microsoft 365 管理員
    • Google 工作區系統管理員
    • Box 系統管理員
    • 所有的 Salesforce 標準和自訂設定檔,例如 Salesforce 系統管理員。 完整清單請參閱這裡

  • 匯入的群組: 您可以從連線的應用程式匯入任何群組。 例如,您可以從 Microsoft 365 (Active Directory) 和其他連線的應用程式匯入使用者群組。 這些群組可讓您查看特定群組來尋找組織中的威脅,不是查看整個組織或特定的使用者。

    運用匯入使用者群組的一般案例包括:

    • 調查 HR 人員查看哪些檔。
    • 檢查執行小組中是否有異常的情況。
    • 了解管理群組中是否有人在美國境外執行活動。

匯入使用者群組

  1. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定 > Cloud Apps > 系統>使用者群組 > + 匯入使用者群組]。

  2. 在 [匯 入使用者群組 ] 窗格中,選取要匯入使用者群組的應用程式。 顯示的應用程式取決於您部署的連接器。

  3. 選取您要匯入的群組。 此清單包含應用程式中現有使用者群組的前50個群組。 如果您沒有看到群組,請在清單上方的搜尋欄位中輸入搜尋文字。

    若要將新群組新增至清單,請在應用程式本身執行此動作,然後返回 Microsoft Defender 入口網站,以檢視清單中的新群組。

  4. (選擇性)選取在匯入程式完成時透過電子郵件通知。

  5. 選取匯入

匯入完成後,請從 [ 使用者群組 ] 頁面選取您的群組,以檢視所有群組成員的清單。 選取任何群組成員以進一步向下切入以取得詳細數據,包括所使用的應用程式,以及帳戶活動的摘要。 在活動記錄中 調查活動記錄 和建立原則時,也可以選取匯入的群組作為篩選。 群組成員會自動同步處理匯入的群組,就像 Active Directory 連線 一樣。

注意

  • 匯入的使用者群組數目上限為 500。
  • 只有作用中的用戶會匯入為匯入群組的一部分。 將會忽略任何暫停、刪除或停用的使用者。
  • 在篩選中提供匯入的使用者群組之前,可能會有短暫的延遲。
  • 只有在匯入使用者群組後執行的活動,才會標記為使用者群組成員已執行。
  • 初始同步處理之後,群組通常會每小時更新一次。 不過,由於各種因素,有時可能需要數小時的時間。

如需使用使用者群組篩選器的詳細資訊,請參閱活動

下一步

設定 Cloud Discovery

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證