Określanie zakresu wdrożenia dla określonych użytkowników lub grup użytkowników
Microsoft Defender for Cloud Apps umożliwia określanie zakresu wdrożenia. Określenie zakresu umożliwia wybranie określonych grup użytkowników, które mają być monitorowane pod kątem aplikacji lub wykluczone z monitorowania.
Uwaga
Wdrożenie o określonym zakresie nie zmniejsza liczby skanowanych plików, aplikacji Oauth i kont użytkowników. Zmniejsza ona tylko liczbę działań użytkownika na podstawie wybranej grupy użytkowników.
Dołączanie lub wykluczanie grup użytkowników
Możesz nie chcieć używać Microsoft Defender for Cloud Apps dla wszystkich użytkowników w organizacji. Określanie zakresu jest szczególnie przydatne, gdy chcesz ograniczyć wdrożenie z powodu ograniczeń licencji. Może być również konieczne ograniczenie ze względu na przepisy dotyczące zgodności wymagające nieobsługiwania użytkowników z niektórych krajów/regionów. Na przykład użyj wdrożenia o określonym zakresie, aby monitorować tylko pracowników z USA. Alternatywnie można uniknąć wyświetlania jakichkolwiek działań dla użytkowników z siedzibą w Niemczech.
Aby określić zakres wdrożenia, należy najpierw zaimportować grupy użytkowników, aby Microsoft Defender for Cloud Apps. Domyślnie zobaczysz następujące grupy:
Grupa użytkowników aplikacji — wbudowana grupa, która umożliwia wyświetlanie działań wykonywanych przez aplikacje platformy Microsoft 365 i Microsoft Entra.
Grupa użytkowników zewnętrznych — wszyscy użytkownicy, którzy nie są członkami żadnej z domen zarządzanych skonfigurowanych dla organizacji.
Ustawienie reguły dołączania spowoduje automatyczne wykluczenie wszystkich grup, które nie znajdują się w dołączonej grupie. Jeśli na przykład ustawisz regułę obejmującą wszystkich członków grup us-office, wszystkie grupy, które nie należą do tej grupy, nie będą monitorowane.
Wykluczone grupy użytkowników przesłaniają uwzględnione grupy użytkowników. Oznacza to, że jeśli uwzględnisz grupę użytkowników "Uk-employees", ale wykluczysz "Marketing", członkowie marketingu z Wielkiej Brytanii nie będą monitorowane nawet wtedy, gdy są członkami grupy Uk-employees.
W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze System wybierz pozycję Wdrożenie w zakresie i prywatność.
Aby uwzględnić lub wykluczyć określone grupy, należy najpierw zaimportować grupy użytkowników do Microsoft Defender for Cloud Apps.
Aby ustawić określone grupy do monitorowania przez Microsoft Defender for Cloud Apps, na karcie Dołączanie wybierz pozycję +Dodaj regułę.
W oknie dialogowym Tworzenie nowej reguły dołączania wykonaj następujące kroki:
W obszarze Nazwa reguły typu nadaj regule nazwę opisową.
W obszarze Wybierz grupy użytkowników wybierz wszystkie grupy, które chcesz monitorować za pomocą Defender for Cloud Apps.
Wybierz, czy chcesz zastosować tę regułę do wszystkich połączonych aplikacji, czy tylko do określonych aplikacji. Jeśli wybierzesz pozycję Określone aplikacje, reguła będzie miała wpływ tylko na monitorowanie wybranych aplikacji. Jeśli na przykład wybierzesz użytkowników zespołu interfejsu użytkownika grupy i aplikację Box, Defender for Cloud Apps będzie monitorować aktywność box tylko dla użytkowników w grupie użytkowników zespołu interfejsu użytkownika i dla wszystkich innych aplikacji, Defender for Cloud Apps będzie monitorować wszystkie działania dla wszystkich użytkowników.
Aby ustawić określone grupy do wykluczenia z monitorowania, na karcie Wykluczanie wybierz pozycję +Dodaj regułę.
W oknie dialogowym Tworzenie nowej reguły wykluczania ustaw następujące parametry:
W obszarze Nazwa reguły typu nadaj regule nazwę opisową. W obszarze Wybierz grupy użytkowników wybierz wszystkie grupy, które nie mają być monitorowane Defender for Cloud Apps.
Wybierz, czy chcesz zastosować tę regułę do wszystkich połączonych aplikacji, czy tylko do określonych aplikacji. Jeśli wybierzesz pozycję Określone aplikacje, Defender for Cloud Apps przestanie monitorować grupę wybraną tylko dla wybranych aplikacji. Oznacza to, że jeśli wybierzesz użytkowników zespołu interfejsu użytkownika grupy i usługę Active Directory, Defender for Cloud Apps będzie monitorować wszystkie działania użytkowników z wyjątkiem działań usługi Active Directory wykonywanych przez użytkowników zespołu interfejsu użytkownika.
Przykładowe wyniki dla reguł dołączania i wykluczania
Tworzone reguły dołączania i wykluczania współpracują ze sobą w celu określenia zakresu ogólnego monitorowania wykonywanego przez Microsoft Defender for Cloud Apps. Oto przykład reguł dołączania i wykluczania, które można utworzyć, oraz wynik końcowy tego, co Microsoft Defender for Cloud Apps monitoruje po uruchomieniu tych reguł.
Jeśli utworzysz następujące reguły:
- Wyklucz grupę użytkowników "Niemcy wszyscy użytkownicy"
- Uwzględnij dla grupy użytkowników "Globalna sprzedaż" tylko dla działań platformy Microsoft 365
- Uwzględnij tylko dla grupy użytkowników "Menedżerowie sprzedaży" tylko dla działań usługi Power BI
- Usługa Salesforce jest połączona z usługą Microsoft Defender for Cloud Apps i nie są dla niej ustawione żadne reguły
Monitorowane są następujące działania użytkownika:
| Użytkownik | Członkostwo w grupie | Monitorowane działania |
|---|---|---|
| Adriana | Niemcy wszyscy użytkownicy Sprzedaż globalna Menedżerowie sprzedaży |
Brak |
| Alain | Sprzedaż globalna | Microsoft 365 i wszystkie podaplikacje z wyjątkiem usługi Power BI |
| Dereń | Sprzedaż globalna Menedżerowie sprzedaży |
Microsoft 365 i wszystkie podaplikacje |
| Raymond | Menedżerowie sprzedaży | Tylko usługa Power BI |
Uwaga
Określanie zakresu w tych regułach nie będzie miało wpływu na inne aplikacje. W przykładzie dla usługi Salesforce wszystkie działania są monitorowane dla wszystkich grup użytkowników.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.