Definir o âmbito da implementação para utilizadores ou grupos de utilizadores específicos
Microsoft Defender para Aplicativos de Nuvem permite-lhe definir o âmbito da implementação. O âmbito permite-lhe selecionar determinados grupos de utilizadores para serem monitorizados para aplicações ou excluídos da monitorização.
Observação
A Implementação no Âmbito não reduz o número de ficheiros, aplicações Oauth e Contas de utilizador que são analisadas. Reduz apenas o número de atividades de utilizador com base no grupo de utilizadores selecionado.
Incluir ou excluir grupos de utilizadores
Poderá não querer utilizar Microsoft Defender para Aplicativos de Nuvem para todos os utilizadores na sua organização. O âmbito é especialmente útil quando quer limitar a implementação devido a restrições de licença. Também poderá ter de limitar devido aos regulamentos de conformidade que exigem que não monitorize utilizadores de determinados países/regiões. Por exemplo, utilize a implementação no âmbito para monitorizar apenas os colaboradores baseados nos EUA. Em alternativa, pode evitar mostrar atividades para os seus utilizadores com sede na Alemanha.
Para definir o âmbito da implementação, primeiro tem de importar grupos de utilizadores para Microsoft Defender para Aplicativos de Nuvem. Por predefinição, verá os seguintes grupos:
Grupo de utilizadores da aplicação – um grupo incorporado que lhe permite ver atividades executadas pelo Microsoft 365 e Microsoft Entra aplicações.
Grupo de utilizadores externos – todos os utilizadores que não são membros de nenhum dos domínios geridos que configurou para a sua organização.
Definir uma regra de inclusão irá excluir automaticamente todos os grupos que não estejam dentro do grupo incluído. Por exemplo, se definir uma regra para incluir todos os membros dos grupos us-office, quaisquer grupos que não façam parte desse grupo não serão monitorizados.
Os grupos de utilizadores excluídos substituem os grupos de utilizadores incluídos. O que significa que se incluir o grupo de utilizadores "Uk-employees" mas excluir "Marketing", os membros de marketing do Reino Unido não serão monitorizados mesmo que sejam membros do grupo uk-employees.
No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Sistema, selecione Implementação e privacidade no âmbito.
Para definir o âmbito da implementação para incluir ou excluir grupos específicos, primeiro tem de importar grupos de utilizadores para Microsoft Defender para Aplicativos de Nuvem.
Para definir grupos específicos para serem monitorizados por Microsoft Defender para Aplicativos de Nuvem, no separador Incluir, selecione +Adicionar regra.
Na caixa de diálogo Criar nova regra de inclusão , siga os seguintes passos:
Em Nome da regra de tipo, atribua um nome descritivo à regra.
Em Selecionar grupos de utilizadores, selecione todos os grupos que pretende monitorizar com Defender para Aplicativos de Nuvem.
Selecione se pretende aplicar esta regra a todas as aplicações ligadas ou apenas a Aplicações específicas. Se selecionar Aplicações específicas, a regra só afetará a monitorização das aplicações que selecionar. Por exemplo, se selecionar os utilizadores da equipa de IU do grupo e o Box, Defender para Aplicativos de Nuvem apenas monitorizará a atividade do Box para os utilizadores no grupo de utilizadores da equipa de IU e para todas as outras aplicações, Defender para Aplicativos de Nuvem monitorizará todas as atividades de todos os utilizadores.
Para definir grupos específicos para serem excluídos da monitorização, no separador Excluir , selecione +Adicionar regra.
Na caixa de diálogo Criar nova regra excluir , defina os seguintes parâmetros:
Em Nome da regra de tipo, atribua um nome descritivo à regra. Em Selecionar grupos de utilizadores, selecione todos os grupos que não pretende que Defender para Aplicativos de Nuvem monitorize.
Selecione se pretende aplicar esta regra a todas as aplicações ligadas ou apenas a Aplicações específicas. Se selecionar Aplicações específicas, Defender para Aplicativos de Nuvem deixará de monitorizar o grupo que selecionou apenas para as aplicações que selecionar. Isto significa que, se selecionar os utilizadores da equipa de IU do grupo e o Active Directory, Defender para Aplicativos de Nuvem monitorizará toda a atividade do utilizador, exceto as atividades do Active Directory que são executadas por utilizadores da equipa de IU.
Resultados de exemplo para incluir e excluir regras
As regras de inclusão e exclusão que criar funcionam em conjunto para definir o âmbito da monitorização geral executada pelo Microsoft Defender para Aplicativos de Nuvem. Eis um exemplo de regras de inclusão e exclusão que pode criar e o resultado final do que Microsoft Defender para Aplicativos de Nuvem monitoriza após a execução destas regras.
Se criar as seguintes regras:
- Excluir o grupo de utilizadores "Alemanha, todos os utilizadores"
- Incluir apenas para o grupo de utilizadores "Vendas globais" apenas atividades do Microsoft 365
- Incluir apenas para o grupo de utilizadores "Gestores de vendas" apenas atividades do Power BI
- O Salesforce está ligado a Microsoft Defender para Aplicativos de Nuvem e não estão definidas regras para o mesmo
As seguintes atividades de utilizador são monitorizadas:
| Usuário | Associação a um grupo | Atividades monitorizadas |
|---|---|---|
| Adriana | Todos os utilizadores da Alemanha Vendas globais Gestores de vendas |
Nenhum |
| Alain | Vendas globais | Microsoft 365 e todas as subaplicações, exceto o Power BI |
| Cornel | Vendas globais Gestores de vendas |
Microsoft 365 e todas as subaplicações |
| Raymond | Gestores de vendas | Apenas o Power BI |
Observação
As outras aplicações não serão afetadas pelo âmbito do grupo nestas regras. No exemplo, para o Salesforce, todas as atividades são monitorizadas para todos os grupos de utilizadores.
Próximas etapas
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.