Řízení připojených aplikací
Zásady správného řízení umožňují řídit, co vaši uživatelé dělají napříč aplikacemi. U připojených aplikací můžete u souborů nebo aktivit použít akce zásad správného řízení. Akce zásad správného řízení jsou integrované akce, které můžete spouštět u souborů nebo aktivit přímo z Microsoft Defender for Cloud Apps. Akce zásad správného řízení řídí, co vaši uživatelé dělají v připojených aplikacích.
Poznámka
Když se Microsoft Defender for Cloud Apps pokusí spustit u souboru akci zásad správného řízení, ale selže, protože soubor je uzamčený, automaticky se pokusí akci zásad správného řízení zopakovat.
Akce zásad správného řízení souborů
Pro připojené aplikace je možné provést následující akce zásad správného řízení, a to buď u konkrétního souboru, uživatele nebo z konkrétních zásad.
Upozornění:
Výstrahy – Výstrahy se dají aktivovat v systému a šířit e-mailem na základě úrovně závažnosti.
E-mailové oznámení uživatelů – Email zprávy je možné přizpůsobit a budou odeslány všem vlastníkům souborů, kteří porušují.
Upozornit konkrétní uživatele – konkrétní seznam e-mailových adres, které budou tato oznámení dostávat.
Oznámit poslednímu editoru souborů – Odešle oznámení poslední osobě, která soubor upravila.
Akce zásad správného řízení v aplikacích – u jednotlivých aplikací je možné vynucovat podrobné akce, konkrétní akce se liší v závislosti na terminologii aplikace.
Značení
- Použít popisek – možnost přidat popisek citlivosti Microsoft Purview Information Protection.
- Odebrat popisek – možnost odebrat popisek citlivosti Microsoft Purview Information Protection.
Změnit sdílení
Odebrat veřejné sdílení – Povolí přístup jenom určeným spolupracovníkům, například: Odebrání veřejného přístupu pro Google Workspace a Odebrání přímého sdíleného odkazu pro Box a Dropbox.
Odebrat externí uživatele – Povolí přístup jenom uživatelům společnosti.
Nastavit jako soukromý – k souboru mají přístup jenom správci webu, všechny sdílené složky se odeberou.
Odebrání spolupracovníka – Odebere ze souboru konkrétního spolupracovníka.
Omezení veřejného přístupu – Nastavte veřejně dostupné soubory tak, aby byly dostupné jenom se sdíleným odkazem. (Google)
Vypršení platnosti sdíleného odkazu – možnost nastavit datum vypršení platnosti sdíleného odkazu, po jehož uplynutí už nebude aktivní. (Box)
Změna úrovně přístupu odkazu pro sdílení – možnost změnit úroveň přístupu ke sdílenému propojení jenom mezi společností, pouze spolupracovníky a veřejnými. (Box)
Karanténa
Umístění do karantény uživatele – Povolení samoobslužné služby přesunutím souboru do složky karantény řízené uživatelem
Umístit do karantény správce – Soubor se přesune do karantény na jednotce správce a správce ho musí schválit.
Dědit oprávnění z nadřazeného objektu – Tato akce zásad správného řízení umožňuje odebrat konkrétní nastavení oprávnění pro soubor nebo složku v Microsoftu 365. Pak se vraťte k oprávněním nastaveným pro nadřazenou složku.
Koš – Přesuňte soubor do složky koše. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)
Akce zásad správného řízení pro malware (Preview)
Pro připojené aplikace je možné provést následující akce zásad správného řízení, a to buď u konkrétního souboru, uživatele nebo z konkrétních zásad. Z bezpečnostních důvodů je tento seznam omezený jenom na akce související s malwarem, které nepředstavují riziko pro uživatele nebo tenanta.
Upozornění:
- Výstrahy – Výstrahy se dají aktivovat v systému a šířit e-mailem a textovou zprávou na základě úrovně závažnosti.
Akce zásad správného řízení v aplikacích – u jednotlivých aplikací je možné vynucovat podrobné akce, konkrétní akce se liší v závislosti na terminologii aplikace.
Změnit sdílení
- Odebrat externí uživatele – Povolí přístup jenom uživatelům společnosti. (Box, Disk Google, OneDrive, SharePoint)
- Odebrat přímý sdílený odkaz – Odebrání oprávnění dříve sdílených odkazů (Box, Dropbox)
Karanténa
- Umístit do karantény uživatele – Povolí samoobslužnou službu přesunutím souboru do složky karantény řízené uživatelem (Box, OneDrive, SharePoint).
- Umístit do karantény správce – Soubor se přesune do karantény na jednotce správce a správce ho musí schválit. (Box)
Koš – Přesuňte soubor do složky koše. (Box, Dropbox, Disk Google, OneDrive, SharePoint)
Poznámka
V SharePointu a OneDrivu Defender for Cloud Apps podporuje karanténu uživatelů jenom pro soubory v knihovnách sdílených dokumentů (SharePoint Online) a soubory v knihovně Dokumentů (OneDrive pro firmy).
Microsoft Defender pro zákazníky Microsoftu 365 můžou kontrolovat zjištěné soubory malwaru na SharePointu a OneDrivu prostřednictvím stránky Microsoft Defender XDR Karanténa. Mezi podporované aktivity patří například obnovení souborů, odstraňování souborů a stahování souborů v souborech ZIP chráněných heslem. Tyto aktivity jsou omezené na soubory, které ještě nebyly Microsoft Defender for Cloud Apps v karanténě. V SharePointu Defender for Cloud Apps podporuje úkoly umístit do karantény jenom u souborů se sdílenými dokumenty v cestě v angličtině.
Akce se zobrazí jenom pro připojené aplikace.
Akce zásad správného řízení aktivit
Upozornění
Výstrahy – Výstrahy se dají aktivovat v systému a šířit e-mailem na základě úrovně závažnosti.
E-mailové oznámení uživatelů – Email zprávy je možné přizpůsobit a budou odeslány všem vlastníkům souborů, kteří porušují.
Upozornit další uživatele – konkrétní seznam e-mailových adres, které budou tato oznámení dostávat.
Akce zásad správného řízení v aplikacích – u jednotlivých aplikací je možné vynucovat podrobné akce, konkrétní akce se liší v závislosti na terminologii aplikace.
Pozastavit uživatele – Pozastavte uživatele v aplikaci.
Poznámka
Pokud je vaše Microsoft Entra ID nastavená tak, aby se automaticky synchronizovala s uživateli v místním prostředí Active Directory, nastavení v místním prostředí přepíše nastavení Microsoft Entra a tato akce zásad správného řízení se vrátí.
Vyžadovat, aby se uživatel znovu přihlásil – Odhlásí uživatele a vyžaduje, aby se znovu přihlásil.
Ověření ohrožení zabezpečení uživatele – Nastavte úroveň rizika uživatele na vysokou. To způsobí vynucení příslušných akcí zásad definovaných v Microsoft Entra ID. Další informace o tom, jak Microsoft Entra ID pracuje s úrovněmi rizik, najdete v tématu Jak Microsoft Entra ID používá zpětnou vazbu k riziku.
Odvolání aplikace OAuth a upozornění uživatele
V případě Google Workspace a Salesforce je možné odvolat oprávnění k aplikaci OAuth nebo upozornit uživatele, že by měl oprávnění změnit. Když oprávnění odvoláte, odebere se všechna oprávnění udělená aplikaci v části Podnikové aplikace v Microsoft Entra ID.
Na kartách Google nebo Salesforce na stránce Zásady správného řízení aplikací vyberte tři tečky na konci řádku aplikace a vyberte Upozornit uživatele. Ve výchozím nastavení se uživateli zobrazí oznámení takto: Autorizováni jste aplikaci pro přístup k vašemu účtu Google Workspace. Tato aplikace je v konfliktu se zásadami zabezpečení vaší organizace. Znovu zvažte udělení nebo odvolání oprávnění, která jste této aplikaci udělili ve svém účtu Google Workspace. Pokud chcete odvolat přístup k aplikaci, přejděte na: https://security.google.com/settings/security/permissions?hl=en& pli=1 Vyberte aplikaci a v pravém řádku nabídek vyberte Odvolat přístup. Odesílanou zprávu můžete přizpůsobit.
Můžete také odvolat oprávnění k používání aplikace pro uživatele. Vyberte ikonu na konci řádku aplikace v tabulce a vyberte Odvolat aplikaci. Příklady:
Konflikty zásad správného řízení
Po vytvoření více zásad může nastat situace, kdy se akce zásad správného řízení ve více zásadách překrývají. V takovém případě Defender for Cloud Apps zpracuje akce zásad správného řízení následujícím způsobem:
Konflikty mezi zásadami
- Pokud dvě zásady obsahují akce, které jsou mezi sebou obsažené (například Odebrat externí sdílené složky je součástí nastavení Nastavit jako soukromé), Defender for Cloud Apps konflikt vyřeší a silnější akce se vynutí.
- Pokud spolu tyto akce nesouvisejí (například Oznámit vlastníka a Nastavit jako soukromé). Provede se obě akce.
- Pokud jsou akce v konfliktu (například Změnit vlastníka na uživatele A a Změnit vlastníka na uživatele B), můžou být z každé shody jiné výsledky. Je důležité změnit zásady, aby nedocházelo ke konfliktům, protože můžou vést k nežádoucím změnám na jednotce, které se budou těžko rozpoznat.
Konflikty v synchronizaci uživatelů
- Pokud je vaše Microsoft Entra ID nastavená tak, aby se automaticky synchronizovala s uživateli v místním prostředí Služby Active Directory, nastavení v místním prostředí přepíší nastavení Microsoft Entra a tato akce zásad správného řízení se vrátí.
Protokol zásad správného řízení
Protokol zásad správného řízení poskytuje záznam stavu jednotlivých úloh, které jste nastavili Defender for Cloud Apps ke spuštění, včetně ručních i automatických úloh. Mezi tyto úlohy patří ty, které nastavíte v zásadách, akce zásad správného řízení, které nastavíte pro soubory a uživatele, a všechny další akce, které nastavíte, Defender for Cloud Apps provést. Protokol zásad správného řízení také poskytuje informace o úspěchu nebo selhání těchto akcí. Některé akce zásad správného řízení můžete zkusit zopakovat nebo vrátit zpět z protokolu zásad správného řízení.
Pokud chcete zobrazit protokol zásad správného řízení, vyberte na portálu Microsoft Defender v části Cloud Appsmožnost Protokol zásad správného řízení.
Následující tabulka obsahuje úplný seznam akcí, Microsoft Defender for Cloud Apps umožňují provést. Tyto akce jsou povolené na různých místech v celé konzole, jak je popsáno ve sloupci Umístění . Každá akce zásad správného řízení je uvedená v protokolu zásad správného řízení. Informace o tom, jak se zachází s akcemi zásad správného řízení, když dojde ke konfliktům zásad, najdete v tématu Konflikty zásad.
| Umístění | Typ cílového objektu | Akce zásad správného řízení | Popis | Související konektory |
|---|---|---|---|---|
| Účty | Soubor | Odebrání spolupráce uživatele | Odeberte všechny spolupráce konkrétního uživatele u všech souborů – vhodné pro lidi, kteří opouštějí společnost. | Box, Google Workspace |
| Účty | Účet | Zrušit odeslání uživatele | Zruší pozastavení uživatele. | Google Workspace, Box, Office, Salesforce |
| Účty | Účet | Nastavení účtu | Přejdete na stránku nastavení účtu v konkrétní aplikaci (například uvnitř Salesforce). | Všechny aplikace – One Drive a Nastavení SharePointu se konfigurují z Office. |
| Účty | Soubor | Přenést vlastnictví všech souborů | Na účtu přenášíte soubory jednoho uživatele na všechny, které vlastní nová osoba, kterou vyberete. Předchozí vlastník se stane editorem a už nemůže měnit nastavení sdílení. Nový vlastník obdrží e-mailové oznámení o změně vlastnictví. | Google Workspace |
| Účty, zásady aktivit | Účet | Pozastavit uživatele | Nastaví uživatele tak, aby neměl přístup a neměl možnost se přihlásit. Pokud jsou při nastavení této akce přihlášení, okamžitě se zamknou. | Google Workspace, Box, Office, Salesforce |
| Zásady aktivit, Účty | Účet | Vyžadovat, aby se uživatel znovu přihlásil | Odvolá všechny problémy s obnovovacími tokeny a soubory cookie relací pro aplikace uživatelem. Tato akce zabrání přístupu k datům organizace a vynutí uživatele, aby se znovu přihlásil ke všem aplikacím. | Google Workspace, Office |
| Zásady aktivit, Účty | Účet | Ověření ohrožení zabezpečení uživatele | Nastavte úroveň rizika uživatele na vysokou. To způsobí vynucení příslušných akcí zásad definovaných v Microsoft Entra ID. | Office |
| Zásady aktivit, Účty | Účet | Odvolání oprávnění správce | Odvolá oprávnění pro účet správce. Například nastavení zásady aktivity, která odvolá oprávnění správce po 10 neúspěšných pokusech o přihlášení. | Google Workspace |
| Řídicí panel > aplikací Oprávnění aplikací | Oprávnění | Zrušit zákaz aplikace | V Google a Salesforce: Odeberte z aplikace zákaz a umožněte uživatelům udělit oprávnění k aplikaci třetí strany pomocí google nebo Salesforce. V Microsoftu 365: Obnoví oprávnění aplikací třetích stran do Office. | Google Workspace, Salesforce, Office |
| Řídicí panel > aplikací Oprávnění aplikací | Oprávnění | Zakázání oprávnění aplikací | Odvolá oprávnění aplikace třetí strany pro Google, Salesforce nebo Office. Jedná se o jednorázovou akci, která se provede u všech existujících oprávnění, ale nezabrání budoucím připojením. | Google Workspace, Salesforce, Office |
| Řídicí panel > aplikací Oprávnění aplikací | Oprávnění | Povolení oprávnění aplikací | Udělte aplikaci třetí strany oprávnění pro Google, Salesforce nebo Office. Jedná se o jednorázovou akci, která se provede u všech existujících oprávnění, ale nezabrání budoucím připojením. | Google Workspace, Salesforce, Office |
| Řídicí panel > aplikací Oprávnění aplikací | Oprávnění | Zakázat aplikaci | V Google a Salesforce: Odvolá oprávnění aplikace třetí strany pro Google nebo Salesforce a zakáže jí v budoucnu přijímat oprávnění. V Microsoftu 365: neumožňuje aplikacím třetích stran přístup k Office, ale neodvolá je. | Google Workspace, Salesforce, Office |
| Řídicí panel > aplikací Oprávnění aplikací | Oprávnění | Odvolání aplikace | Odvolá oprávnění aplikace třetí strany pro Google nebo Salesforce. Jedná se o jednorázovou akci, která se provede u všech existujících oprávnění, ale nezabrání budoucím připojením. | Google Workspace, Salesforce |
| Řídicí panel > aplikací Oprávnění aplikací | Účet | Odvolání uživatele z aplikace | Kliknutím na číslo v části Uživatelé můžete odvolat konkrétní uživatele. Na obrazovce se zobrazí konkrétní uživatelé a pomocí X můžete odstranit oprávnění pro libovolného uživatele. | Google Workspace, Salesforce |
| Zjišťování > zjištěných aplikací / IP adres / uživatelů | Cloud Discovery | Export dat zjišťování | Vytvoří sdílený svazek clusteru z dat zjišťování. | Objev |
| Zásady souborů | Soubor | Odpad | Přesune soubor do koše uživatele. | Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (trvalé odstranění) |
| Zásady souborů | Soubor | Oznámit editoru posledního souboru | Odešle e-mail s oznámením poslední osobě, která soubor upravila, že porušuje zásady. | Google Workspace, Box |
| Zásady souborů | Soubor | Upozornit vlastníka souboru | Odešle e-mail vlastníkovi souboru, když soubor porušuje zásady. Pokud v Dropboxu není k souboru přidružený žádný vlastník, odešle se oznámení konkrétnímu uživateli, který jste nastavili. | Všechny aplikace |
| Zásady souborů, zásady aktivit | Soubor, aktivita | Upozornit konkrétní uživatele | Odešle e-mail s upozorněním konkrétních uživatelů na soubor, který porušuje zásady. | Všechny aplikace |
| Zásady souborů a zásady aktivit | Soubor, aktivita | Upozornit uživatele | Odešle uživatelům e-mail s upozorněním, že něco, co udělali, nebo soubor, který vlastní, porušuje zásady. Můžete přidat vlastní oznámení, abyste jim dali vědět, o jaké porušení se jednalo. | Vše |
| Zásady souborů a soubory | Soubor | Odebrání možnosti sdílení editory | Na Disku Google umožňují sdílení také výchozí oprávnění editora souboru. Tato akce zásad správného řízení omezí tuto možnost a sdílení souborů na vlastníka. | Google Workspace |
| Zásady souborů a soubory | Soubor | Umístit do karantény správce | Odebere ze souboru všechna oprávnění a přesune soubor do složky karantény v umístění pro správce. Tato akce umožní správci zkontrolovat soubor a odebrat ho. | Microsoft 365 SharePoint, OneDrive pro firmy, Box |
| Zásady souborů a soubory | Soubor | Použít popisek citlivosti | Automaticky použije Microsoft Purview Information Protection popisek citlivosti na soubory na základě podmínek nastavených v zásadách. | Box, One Drive, Google Workspace, SharePoint |
| Zásady souborů a soubory | Soubor | Odebrat popisek citlivosti | Odebere ze souborů popisek citlivosti Microsoft Purview Information Protection automaticky na základě podmínek nastavených v zásadách. Popisky můžete odebrat jenom v případě, že neobsahují ochranu a byly použity z Defender for Cloud Apps, nikoli z popisků použitých přímo v Information Protection. | Box, One Drive, Google Workspace, SharePoint |
| Zásady souborů, zásady aktivit, upozornění | Aplikace | Vyžadovat, aby se uživatelé znovu přihlásili | Můžete vyžadovat, aby se uživatelé znovu přihlásili ke všem aplikacím Microsoft 365 a Microsoft Entra, což je rychlá a účinná náprava upozornění na podezřelé aktivity uživatelů a ohrožené účty. Nové zásady správného řízení najdete v nastavení zásad a na stránkách upozornění vedle možnosti Pozastavit uživatele. | Microsoft 365, Microsoft Entra ID |
| Soubory | Soubor | Obnovení z karantény uživatele | Obnoví uživatele v karanténě. | Krabice |
| Soubory | Soubor | Udělení oprávnění ke čtení pro sebe | Uděluje oprávnění ke čtení souboru pro sebe, abyste měli přístup k souboru a zjistili, jestli došlo k narušení. | Google Workspace |
| Soubory | Soubor | Povolit sdílení editorům | Na Disku Google umožňuje sdílení také výchozí oprávnění editoru souboru. Tato akce zásad správného řízení je opakem možnosti odebrat sdílení editoru a umožňuje editoru sdílet soubor. | Google Workspace |
| Soubory | Soubor | Ochrana | Chraňte soubor pomocí Microsoft Purview použitím šablony organizace. | Microsoft 365 (SharePoint a OneDrive) |
| Soubory | Soubor | Odvolat oprávnění ke čtení ve formuláři | Odvolá oprávnění ke čtení souboru pro sebe. To je užitečné po udělení oprávnění sami sobě, abyste pochopili, jestli u souboru došlo k narušení. | Google Workspace |
| Soubory, zásady souborů | Soubor | Přenést vlastnictví souboru | Změní vlastníka – v zásadách zvolíte konkrétního vlastníka. | Google Workspace |
| Soubory, zásady souborů | Soubor | Omezení veřejného přístupu | Tato akce umožňuje nastavit veřejně dostupné soubory tak, aby byly dostupné jenom se sdíleným odkazem. | Google Workspace |
| Soubory, zásady souborů | Soubor | Odebrání spolupracovníka | Odebere konkrétního spolupracovníka ze souboru. | Google Workspace, Box, One Drive, SharePoint |
| Soubory, zásady souborů | Soubor | Nastavit jako soukromé | Přístup k souboru mají jenom správci webu, všechny sdílené složky se odeberou. | Google Workspace, One Drive, SharePoint |
| Soubory, zásady souborů | Soubor | Odebrání externích uživatelů | Odebere všechny externí spolupracovníky – mimo domény nakonfigurované jako interní v Nastavení. | Google Workspace, Box, One Drive, SharePoint |
| Soubory, zásady souborů | Soubor | Udělení oprávnění ke čtení domény | Uděluje oprávnění ke čtení souboru pro zadanou doménu pro celou doménu nebo pro konkrétní doménu. Tato akce je užitečná, pokud chcete odebrat veřejný přístup po udělení přístupu k doméně lidem, kteří na ní potřebují pracovat. | Google Workspace |
| Soubory, zásady souborů | Soubor | Umístit uživatele do karantény | Odebere ze souboru všechna oprávnění a přesune soubor do složky karantény pod kořenovou jednotkou uživatele. Tato akce uživateli umožní soubor zkontrolovat a přesunout. Pokud se soubor ručně přesune zpátky, sdílení souborů se neobnoví. | Box, One Drive, SharePoint |
| Soubory | Soubor | Vypršení platnosti sdíleného odkazu | Nastavte datum vypršení platnosti sdíleného odkazu, po jehož uplynutí už nebude aktivní. | Krabice |
| Soubory | Soubor | Změna úrovně přístupu odkazu pro sdílení | Změní úroveň přístupu sdíleného propojení jenom mezi společností, pouze spolupracovníky a veřejnými. | Krabice |
| Soubory, zásady souborů | Soubor | Odebrat veřejný přístup | Pokud byl soubor váš a vy jste ho umístili do veřejného přístupu, stane se přístupným pro kohokoli jiného, kdo má nakonfigurovaný přístup k souboru (v závislosti na tom, jaký druh přístupu k souboru měl). | Google Workspace |
| Soubory, zásady souborů | Soubor | Odebrat přímý sdílený odkaz | Odebere odkaz vytvořený pro soubor, který je veřejný, ale sdílí se jenom s konkrétními lidmi. | Box, Dropbox |
| Nastavení> Cloud Discovery | Cloud Discovery | Přepočítání skóre cloud discovery | Přepočítá skóre v katalogu cloudových aplikací po změně metriky skóre. | Objev |
| Nastavení> Cloud Discovery > Správa zobrazení dat | Cloud Discovery | Vytvoření vlastního zobrazení dat filtru cloud discovery | Vytvoří nové zobrazení dat pro podrobnější zobrazení výsledků zjišťování. Například konkrétní rozsahy IP adres. | Objev |
| Nastavení> Cloud Discovery > Odstranění dat | Cloud Discovery | Odstranění dat cloud discovery | Odstraní všechna data shromážděná ze zdrojů zjišťování. | Objev |
| Nastavení> Cloud Discovery > – Nahrávat protokoly ručně / Automaticky nahrávat protokoly | Cloud Discovery | Parsování dat cloud discovery | Oznámení o parsování všech dat protokolu | Objev |
Další kroky
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.