從連線的應用程式匯入使用者群組
當您使用 API 連接器連線應用程式時,Microsoft Defender for Cloud Apps 可讓您匯入使用者群組,例如從 Microsoft 365 和 Microsoft Entra ID。 使用者群組有兩種類型:
自動群組:自動群組預設會由 Microsoft Defender for Cloud Apps 建立。 例如,有一個名為 External 的自動使用者群組,可結合組織外部所有應用程式的所有使用者,並可存取檔案,或在租使用者中的用戶活動中。 下列自動群組存在於 Defender for Cloud Apps:
- 外部
- Dropbox 系統管理員
- Microsoft 365 系統管理員
- Google Workspace 系統管理員
- Box 系統管理員
- 所有 Salesforce 標準和自定義配置檔,例如 Salesforce 系統管理員。 請參閱 此處的完整清單。
匯入的群組: 您可以從連線的應用程式匯入任何群組。 例如,您可以從 Microsoft 365 (Active Directory) 和其他已連線的應用程式匯入使用者群組。 這些群組可讓您尋找組織中的威脅,不是透過查看整個組織或特定使用者,而是查看特定群組。
使用匯入使用者群組的一般案例包括:
- 調查人力資源人員查看的檔。
- 檢查執行群組中是否有異常狀況。
- 尋找系統管理群組中是否有人在美國外部執行活動。
在 Microsoft Defender 全面偵測回應 中,選取 [設定雲端>應用程式>系統>使用者群組 > + 匯入使用者群組]。
在 [ 匯入使用者群組 ] 窗格中,選取要從中匯入使用者群組的應用程式。 顯示的應用程式取決於您已部署的連接器。
選取您要匯入的群組。 此清單包含應用程式中現有使用者群組的前50個群組。 如果您沒有看到群組,請在清單上方的搜尋欄位中輸入搜尋文字。
若要將新群組新增至清單,請在應用程式本身中執行此動作,然後返回 Microsoft Defender 入口網站,以在清單中檢視您的新群組。
(選擇性) 選取在匯入程式完成時,透過電子郵件通知。
選取 [匯入]。
匯入完成之後,請從 [ 使用者群組 ] 頁面選取您的群組,以檢視所有群組成員的清單。 選取任何群組成員以進一步向下切入以取得詳細數據,包括使用的應用程式和帳戶活動的摘要。 在調查 活動記錄 檔和建立原則時,也可以選取匯入的群組作為篩選條件。 群組成員會自動針對匯入的群組進行同步處理,就像針對Active Directory Connect 一樣。
注意
- 已匯入的使用者群組數目上限為 500 個。
- 只有作用中的用戶會匯入為匯入群組的一部分。 任何已暫停、刪除或停用的用戶都會被忽略。
- 在篩選中提供匯入的使用者群組之前,可能會有短暫的延遲。
- 只有匯入使用者群組之後執行的活動,才會標記為使用者群組的成員已執行。
- 初始同步處理之後,通常每小時都會更新群組。 不過,由於各種因素,有時可能需要數小時的時間。
如需使用使用者群組篩選的詳細資訊,請參閱 活動。
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。