Поделиться через

Учетные записи

  • Статья

Microsoft Defender for Cloud Apps позволяет просматривать учетные записи из подключенных приложений. После подключения Defender for Cloud Apps к приложению с помощью соединителя приложений Defender for Cloud Apps считывает сведения об учетной записи, связанные с подключенными приложениями. Страница Учетные записи позволяет исследовать эти учетные записи, разрешения, группы, в которых они входят, их псевдонимы и приложения, которые они используют. Кроме того, когда Defender for Cloud Apps обнаруживает новую учетную запись, которая ранее не отображалась в одном из подключенных приложений( например, в действиях или совместном использовании файлов), учетная запись добавляется в список учетных записей этого приложения. Это позволяет просматривать действия внешних пользователей, взаимодействующих с облачными приложениями.

Администраторы могут искать метаданные или действия конкретного пользователя. На странице Удостоверения содержатся подробные сведения о сущностях, извлекаемых из подключенных облачных приложений. Он также предоставляет журнал действий пользователя и оповещения системы безопасности, связанные с пользователем.

Страницу Удостоверения можно отфильтровать , чтобы найти определенные учетные записи и подробно ознакомиться с различными типами учетных записей. Например, можно отфильтровать все внешние учетные записи, к которым не было доступа с прошлого года.

Страница Удостоверения позволяет легко исследовать учетные записи, включая следующие проблемы:

  • Проверьте, не были ли какие-либо учетные записи неактивными в определенной службе в течение длительного времени (может быть, вам следует отозвать лицензию для этого пользователя на эту службу)

  • Вы можете отфильтровать список пользователей с разрешениями администратора.

  • Вы можете искать пользователей, которые больше не являются частью вашей организации, но могут по-прежнему иметь активные учетные записи.

  • Вы можете выполнить действия по управлению учетными записями, такие как приостановка приложения или переход на страницу параметров учетной записи.

  • Вы можете увидеть, какие учетные записи включены в каждую группу пользователей.

  • Вы можете увидеть, к каким приложениям обращается каждая учетная запись и какие приложения удаляются для определенных учетных записей.

    экран учетных записей.

Фильтры удостоверений

Ниже приведен список фильтров учетных записей, которые можно применить. Большинство фильтров поддерживают несколько значений, а также NOT, чтобы предоставить вам мощный инструмент для создания политик.

  • Присоединение: это внутренняя или внешняя связь. Чтобы указать, какие пользователи и учетные записи являются внутренними , в разделе Параметры обязательно задайте диапазон IP-адресов внутренней организации. Если учетная запись имеет разрешения администратора, появится значок в таблице Учетные записи с добавлением красного галстука:

    значок администратора учетных записей.

  • Приложение. Вы можете отфильтровать любое приложение, подключенное к API, используемое учетными записями в организации.

  • Домен. Это позволяет фильтровать пользователей в определенных доменах.

  • Группы. Позволяет фильтровать членов групп пользователей в Defender for Cloud Apps — как встроенных, так и импортированных групп пользователей.

  • Экземпляр. Это позволяет фильтровать члены определенного экземпляра приложения.

  • Последний просмотр. Фильтр последнего вида позволяет находить неактивные учетные записи, пользователи которых некоторое время не выполняли никаких действий.

  • Организация. Это позволяет фильтровать участников определенных организационных групп, определенных в подключенных приложениях.

  • Показывать только администраторов: фильтры для учетных записей и пользователей, которые являются администраторами.

  • Состояние: фильтр по состоянию учетной записи пользователя: N/A, промежуточное, активное, приостановленное или удаленное. Состояние недоступно (Н/Д) является нормальным и может отображаться, например, для анонимных учетных записей.

  • Тип. Это позволяет выполнять фильтрацию по пользователю или типу учетной записи.

  • Имя пользователя: позволяет фильтровать определенных пользователей.

Действия по управлению

На странице Пользователи и учетная запись можно выполнить действия по управлению, такие как приостановка приложения или переход на страницу параметров учетной записи. Полный список действий по управлению см. в журнале управления.

Например, при идентификации скомпрометированного пользователя можно применить действие Подтвердить компрометацию пользователя, чтобы установить высокий уровень риска пользователя, что приведет к принудительному применению соответствующих действий политики, определенных в Microsoft Entra ID. Действие можно применить вручную или с помощью соответствующих политик, поддерживающих действия по управлению.

Применение действия управления пользователями или учетными записями вручную

На странице Пользователи и учетная запись в строке, где отображается соответствующий пользователь или учетная запись, выберите три точки в конце строки, а затем выберите Подтвердить компрометацию пользователя.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.