次の方法で共有

特定のユーザーまたはユーザー グループにデプロイのスコープを設定する

  • [アーティクル]

Microsoft Defender for Cloud Appsを使用すると、デプロイのスコープを設定できます。 スコープを使用すると、アプリの監視または監視から除外する特定のユーザー グループを選択できます。

注:

スコープ展開では、スキャンされるファイル、Oauth アプリケーション、ユーザー アカウントの数は減 りません 。 選択したユーザー グループに基づいて ユーザー アクティビティ の数が減るだけです。

ユーザー グループを含めるまたは除外する

organizationのすべてのユーザーにMicrosoft Defender for Cloud Appsを使用したくない場合があります。 スコープは、ライセンス制限のためにデプロイを制限する場合に特に便利です。 また、特定の国/地域のユーザーを監視しないことを要求するコンプライアンス規制のために、制限が必要になる場合もあります。 たとえば、スコープ付きデプロイを使用して、米国ベースの従業員のみを監視します。 または、ドイツに拠点を置くユーザーのアクティビティを表示しないようにすることもできます。

  • デプロイのスコープを設定するには、まずユーザー グループをMicrosoft Defender for Cloud Appsにインポートする必要があります。 既定では、次のグループが表示されます。

    • アプリケーション ユーザー グループ - Microsoft 365 および Microsoft Entra アプリケーションによって実行されたアクティビティを表示できる組み込みのグループ。

    • 外部ユーザー グループ - organization用に構成したマネージド ドメインのメンバーではないすべてのユーザー。

  • インクルード ルールを設定すると、含まれているグループ内にないすべてのグループが自動的に除外されます。 たとえば、米国オフィス グループのすべてのメンバーを含むようにルールを設定した場合、そのグループに属していないグループは監視されません。

  • 除外されたユーザー グループは、含まれているユーザー グループをオーバーライドします。 つまり、ユーザー グループ "UK-employees" を含めても "Marketing" を除外した場合、英国のマーケティング メンバーは、 グループ UK 従業員のメンバーであっても監視されません。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ システム] で、[ スコープ付きデプロイとプライバシー] を選択します。

  2. 特定のグループを含めるか除外するようにデプロイのスコープを設定するには、まずユーザー グループをMicrosoft Defender for Cloud Appsにインポートする必要があります。

  3. Microsoft Defender for Cloud Appsで監視する特定のグループを設定するには、[含める] タブで [+ルールの追加] を選択します。

  4. [ 新しいインクルード ルールの作成 ] ダイアログで、次の手順を実行します。

    1. [ 型ルール名] で、規則にわかりやすい名前を付けます。

    2. [ユーザー グループの選択] で、Defender for Cloud Appsで監視するすべてのグループを選択します。

    3. このルールを接続されているすべてのアプリに適用するか、特定のアプリにのみ適用するかを選択 します[特定のアプリ] を選択した場合、ルールは選択したアプリの監視にのみ影響します。 たとえば、グループ UI チーム ユーザーBox を選択した場合、Defender for Cloud Appsは、UI チーム ユーザー グループ内のユーザーと他のすべてのアプリの Box アクティビティのみを監視し、Defender for Cloud Appsはすべてのユーザーのすべてのアクティビティを監視します。

      include rule。

  5. 監視から除外する特定のグループを設定するには、[ 除外 ] タブで [ +ルールの追加] を選択します。

  6. [ 新しい除外ルールの作成 ] ダイアログで、次のパラメーターを設定します。

    1. [ 型ルール名] で、規則にわかりやすい名前を付けます。 [ユーザー グループの選択] で、監視Defender for Cloud Apps必要のないすべてのグループを選択します。

    2. このルールを接続されているすべてのアプリに適用するか、特定のアプリにのみ適用するかを選択 します[特定のアプリ] を選択した場合、Defender for Cloud Appsは、選択したアプリに対してのみ選択したグループの監視を停止します。 つまり、グループ UI チーム ユーザーActive Directory を選択した場合、Defender for Cloud Appsは、UI チーム ユーザーによって実行される Active Directory アクティビティを除くすべてのユーザー アクティビティを監視します。

      除外ルール。

インクルードルールと除外ルールの結果の例

作成するインクルードルールと除外ルールは連携して、Microsoft Defender for Cloud Appsによって実行される全体的な監視のスコープを設定します。 作成できるインクルード ルールと除外ルールの例と、これらのルールの実行後に監視するMicrosoft Defender for Cloud Appsの最終的な結果を次に示します。

次の規則を作成する場合:

  • ユーザー グループ "ドイツのすべてのユーザー" を除外する
  • ユーザー グループ "グローバル売上" の場合は Microsoft 365 アクティビティのみを含める
  • ユーザー グループ "Sales Manager" の場合は Power BI アクティビティのみを含める
  • Salesforce はMicrosoft Defender for Cloud Appsに接続されており、ルールは設定されていません

次のユーザー アクティビティが監視されます。

ユーザー グループ メンバーシップ 監視されるアクティビティ
アドリアーナ ドイツのすべてのユーザー
グローバル販売
セールス マネージャー		 なし
アラン グローバル販売 Microsoft 365 および Power BI を除くすべてのサブアプリ
コーネル グローバル販売
セールス マネージャー		 Microsoft 365 とすべてのサブアプリ
レイモンド セールス マネージャー Power BI のみ

注:

他のアプリは、これらのルールのグループ スコープの影響を受けなくなります。 この例では、Salesforce の場合、すべてのアクティビティがすべてのユーザー グループに対して監視されます。

次の手順

クラウド検出を設定する

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。