次の方法で共有


デプロイの範囲を特定のユーザーまたはユーザー グループに設定する

Microsoft Defender for Cloud Apps を使用すると、展開のスコープを指定できます。 スコープを指定することで、アプリについて監視する特定のユーザー グループを選択したり、監視から除外したりできます。

Note

スコープ指定の展開では、スキャンされるファイル、Oauth アプリケーション、およびユーザー アカウントの数は 削減されません。 選択したユーザー グループに基づいて、 ユーザー アクティビティ の数のみが削減されます。

ユーザー グループを追加または除外する

組織内のすべてのユーザーに対して Microsoft Defender for Cloud Apps を使用することを避けたい場合があります。 スコープ指定は、ライセンス制約に起因して展開を制限する場合に特に役立ちます。 また、特定の国/地域のユーザーを監視しないことを要求するコンプライアンスのために制限が必要になることもあります。 たとえば、展開時にスコープを指定し、米国に居住する従業員のみを監視します。 あるいは、ドイツに居住するユーザーにアクティビティを見せないようにすることができます。

  • 展開のスコープを指定するには、まず Microsoft Defender for Cloud Apps にユーザー グループをインポートする必要があります。 既定では、次のグループが表示されます。

    • アプリケーション ユーザー グループ - Microsoft 365 アプリケーションと Microsoft Entra アプリケーションによって実行されるアクティビティの表示を可能にする組み込みのグループ。

    • 外部ユーザー グループ - 組織用に構成したマネージド ドメインのメンバーではないすべてのユーザー。

  • 包含ルールを設定すると、包含されるグループのうちに入らないすべてのグループが自動的に除外されます。 たとえば、米国オフィス グループのすべてのメンバーを含めるルールを設定すると、そのグループの一部でないグループは監視されません。

  • 除外されるユーザー グループは、含まれるユーザー グループをオーバーライドします。 つまり、"英国従業員" というユーザー グループを包含して、"マーケティング" を除外した場合、英国のマーケティング メンバーは、英国従業員グループのメンバーであっても監視されません。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、 [クラウド アプリ]を選択します。 [システム] で、[スコープ付きデプロイとプライバシー] を選択します。

  2. 展開のスコープを指定して特定のグループを包含または除外するためには、まず、Microsoft Defender for Cloud Apps に ユーザー グループをインポートする 必要があります。

  3. Microsoft Defender for Cloud Apps によって監視される特定のグループを設定するには、[含める] タブで、[+ルールの追加] を選択します。

  4. [新しい包含ルールの作成] ダイアログ ボックスで、次の手順を行います。

    1. [Type rule name]\(ルール名を入力してください\) の下に、ルールの内容を表す名前を入力します。

    2. [ユーザー グループの選択] で、Defender for Cloud Apps で監視するグループをすべて選択します。

    3. このルールを、接続されたすべてのアプリに適用するのか、特定のアプリにのみ適用するのか選択します。 特定のアプリを選択した場合、ルールが影響を及ぼすのは、選択したアプリの監視に対してのみです。 たとえば、[UI チーム ユーザー] グループと [Box] を選択した場合、Defender for Cloud Apps によって UI チーム ユーザー グループ内のユーザーの Box アクティビティのみが監視され、その他すべてのアプリについては、Defender for Cloud Apps によってすべてのユーザーのすべてのアクティビティが監視されます。

      ルールを含める。

  5. 特定のグループを監視から除外するよう設定するには、[含まない] タブで [+ルールの追加] を選択します。

  6. [新しい除外ルールの作成] ダイアログ ボックスで、次のパラメーターを設定します。

    1. [Type rule name]\(ルール名を入力してください\) の下に、ルールの内容を表す名前を入力します。 [ユーザー グループの選択] で、Defender for Cloud Apps で監視しないグループをすべて選択します。

    2. このルールを、接続されたすべてのアプリに適用するのか、特定のアプリにのみ適用するのか選択します。 特定のアプリを選択すると、選択したグループの Defender for Cloud Apps による監視が、選択したアプリに対してのみ停止されます。 つまり、[UI チーム ユーザー] グループと Active Directory を選択した場合、UI チーム ユーザーによって実行される Active Directory アクティビティを除くすべてのユーザー アクティビティが、Defender for Cloud Apps で監視されます。

      ルールを除外。

包含ルールと除外ルールの結果例

作成した包含ルールと除外ルールが共に働いて、Microsoft Defender for Cloud Apps によって実行される監視全体のスコープが指定されます。 ここでは、作成できる包含ルールと除外ルールの例と、これらのルール実行後に Microsoft Defender for Cloud Apps によって何が監視されるかの最終的な結果を示します。

次のルールを作成するとします。

  • "ドイツのすべてのユーザー" というユーザー グループを除外
  • Microsoft 365 のアクティビティに対してのみ "グローバル営業" というユーザー グループを含める
  • Power BI のアクティビティに対してのみ "営業部長" というユーザー グループを含める
  • Salesforce が Microsoft Defender for Cloud Apps に接続されていて、それについてのルールは設定していない

次のユーザー アクティビティが監視されます。

User グループのメンバーシップ 監視されるアクティビティ
Adriana ドイツのすべてのユーザー
グローバル営業
営業マネージャー
なし
Alain グローバル営業 Microsoft 365 と Power BI を除くすべてのサブ アプリ
Cornel グローバル営業
営業マネージャー
Microsoft 365 とすべてのサブアプリ
Raymond 営業マネージャー Power BI のみ

Note

このルールで、他のアプリがグループのスコープによる影響を受けることはありません。 例では、Salesforce の場合、すべてのユーザー グループのすべてのアクティビティが監視されます。

次のステップ

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。