管理连接的应用

通过治理,你可以控制用户跨应用执行的操作。 对于连接的应用,可以将治理操作应用于文件或活动。 治理操作是可以直接从Microsoft Defender for Cloud Apps对文件或活动运行的集成操作。 治理操作控制用户跨连接应用执行的操作。

注意

当Microsoft Defender for Cloud Apps尝试对文件运行治理操作但因文件已锁定而失败时,它将自动重试治理操作。

文件治理操作

对于特定文件、用户或特定策略的连接应用,可以采取以下治理操作。

  • 通知:

    • 警报 – 警报可以在系统中触发,并根据严重性级别通过电子邮件传播。

    • 用户电子邮件通知 - 可以自定义Email消息,并将发送给所有违规文件所有者。

    • 通知特定用户 - 将接收这些通知的电子邮件地址的特定列表。

    • 通知最后一个文件编辑器 - 向最后一个修改该文件的人员发送通知。

  • 应用中的治理操作 - 可按应用强制实施精细操作,具体操作因应用术语而异。

    • 标记

      • 应用标签 - 能够添加Microsoft Purview 信息保护敏感度标签。
      • 删除标签 - 删除Microsoft Purview 信息保护敏感度标签的功能。
    • 更改共享

      • 删除公共共享 – 仅允许对命名协作者进行访问,例如:删除 Google Workspace 的公共访问权限 ,以及删除 Box 和 Dropbox 的 直接共享链接

      • 删除外部用户 - 仅允许公司用户访问。

      • 设为专用 - 只有站点管理员才能访问该文件,所有共享都将被删除。

      • 删除协作者 – 从文件中删除特定协作者。

      • 减少公共访问 - 将公开可用的文件设置为仅通过共享链接可用。 (Google)

      • 使共享链接过期 - 为共享链接设置过期日期的功能,该日期过后该链接将不再处于活动状态。 (Box)

      • 更改共享链接访问级别 - 能够更改仅限公司、仅限协作者和公众之间的共享链接的访问级别。 (Box)

    • 隔离

      • 放入用户隔离 区 - 通过将文件移动到用户控制的隔离文件夹来允许自助服务

      • 置于管理员隔离 区 - 文件移动到管理员驱动器中的隔离区,管理员必须批准它。

    • 从父级继承权限 - 此治理操作使你能够删除 Microsoft 365 中文件或文件夹的特定权限集。 然后还原为父文件夹设置的任何权限。

    • 回收站 – 将文件移动到回收站文件夹。 (Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex)

    policy_create警报。

预览版) (恶意软件治理操作

对于特定文件、用户或特定策略的连接应用,可以采取以下治理操作。 出于安全原因,此列表仅限于与恶意软件相关的操作,这些操作不会对用户或租户产生风险。

  • 通知:

    • 警报 – 警报可以在系统中触发,并根据严重性级别通过电子邮件和短信传播。
  • 应用中的治理操作 - 可按应用强制实施精细操作,具体操作因应用术语而异。

    • 更改共享

      • 删除外部用户 - 仅允许公司用户访问。 (Box、Google Drive、OneDrive、SharePoint)
      • 删除直接共享链接 - 删除以前共享链接的权限, (Box、Dropbox)
    • 隔离

      • 放入用户隔离区 - 通过将文件移动到用户控制的隔离文件夹 (Box、OneDrive、SharePoint)
      • 置于管理员隔离 区 - 文件移动到管理员驱动器中的隔离区,管理员必须批准它。 (Box)
    • 回收站 – 将文件移动到回收站文件夹。 (Box、Dropbox、Google Drive、OneDrive、SharePoint)

恶意软件治理操作。

注意

在 SharePoint 和 OneDrive 中,Defender for Cloud Apps仅支持对共享文档库中的文件 (SharePoint Online) 和文档库 (OneDrive for Business) 中的文件进行用户隔离。

Microsoft 365 客户Microsoft Defender可以通过“Microsoft Defender XDR隔离”页面控制 SharePoint 和 OneDrive 中检测到的恶意软件文件。 例如,支持的活动包括恢复文件、删除文件以及下载受密码保护的 ZIP 文件中的文件。 这些活动仅限于Microsoft Defender for Cloud Apps尚未隔离的文件。 在 SharePoint 中,Defender for Cloud Apps仅对路径为英语共享文档的文件支持隔离任务。

仅对连接的应用显示操作。

活动治理操作

  • 通知

    • 警报 – 警报可以在系统中触发,并根据严重性级别通过电子邮件传播。

    • 用户电子邮件通知 - 可以自定义Email消息,并将发送给所有违规文件所有者。

    • 通知其他用户 - 将接收这些通知的电子邮件地址的特定列表。

  • 应用中的治理操作 - 可按应用强制实施精细操作,具体操作因应用术语而异。

    • 挂起用户 – 从应用程序暂停用户。

      注意

      如果Microsoft Entra ID设置为自动与本地 Active Directory 环境中的用户同步,则本地环境中的设置将替代Microsoft Entra设置,并且此治理操作将还原。

    • 要求用户再次登录 – 注销用户并要求他们再次登录。

    • 确认用户已泄露 - 将用户的风险级别设置为“高”。 这会导致强制执行 Microsoft Entra ID 中定义的相关策略操作。 有关Microsoft Entra ID如何处理风险级别的详细信息,请参阅Microsoft Entra ID如何使用我的风险反馈

    Defender for Cloud Apps活动策略治理操作。

撤销 OAuth 应用并通知用户

对于 Google Workspace 和 Salesforce,可以撤销对 OAuth 应用的权限,或通知用户应更改权限。 撤销权限时,它会删除Microsoft Entra ID中“企业应用程序”下授予应用程序的所有权限。

  1. “应用治理”页上的“Google”或“Salesforce”选项卡上,选择应用行末尾的三个点,然后选择“通知用户”。 默认情况下,用户将收到如下通知: 你授权应用访问你的 Google 工作区帐户。此应用与组织的安全策略冲突。重新考虑授予或撤销在 Google 工作区帐户中授予此应用的权限。若要撤销应用访问权限,请转到: https://security.google.com/settings/security/permissions?hl=en&pli=1 选择应用,然后选择右侧菜单栏上的“撤销访问权限”。 可以自定义发送的消息。

  2. 还可以撤销用户使用应用的权限。 选择表中应用行末尾的图标,然后选择“ 撤销应用”。 例如:

    “撤销应用”选项示例的屏幕截图。

治理冲突

创建多个策略后,可能会出现多个策略中的治理操作重叠的情况。 在这种情况下,Defender for Cloud Apps将按如下所示处理治理操作:

策略之间的冲突

  • 例如,如果两个策略包含彼此 (包含的操作,则“创建专用) ”中包含“删除外部共享”,Defender for Cloud Apps将解决冲突,并且将强制实施更强大的操作。
  • 如果操作不相关, (例如, 通知所有者创建专用) 。 这两个操作都会发生。
  • 如果操作 (冲突,例如 将所有者更改为用户 A将所有者更改为用户 B) ,则每次匹配可能会产生不同的结果。 更改策略以防止冲突非常重要,因为这些冲突可能会导致驱动器中难以检测到的不必要的更改。

用户同步中的冲突

  • 如果Microsoft Entra ID设置为与本地 Active Directory 环境中的用户自动同步,则本地环境中的设置将覆盖Microsoft Entra设置,并且此治理操作将还原。

治理日志

治理日志提供你设置Defender for Cloud Apps运行的每个任务的状态记录,包括手动和自动任务。 这些任务包括在策略中设置的任务、对文件和用户设置的治理操作,以及Defender for Cloud Apps设置的任何其他操作。 治理日志还提供有关这些操作的成功或失败的信息。 可以选择重试或还原治理日志中的某些治理操作。

若要查看治理日志,请在Microsoft Defender门户中的“云应用”下,选择“治理日志”。

下表是Defender for Cloud Apps门户允许你执行的操作的完整列表。 这些操作在整个控制台的不同位置启用,如 “位置 ”列中所述。 治理日志中列出了采取的每项治理操作。 有关存在策略冲突时治理操作的处理方式的信息,请参阅 策略冲突

位置 目标对象类型 治理操作 说明 相关连接器
帐户 文件 删除用户的协作 删除任何文件的特定用户的所有协作 - 对离开公司的人员有好处。 Box、Google Workspace
帐户 帐户 取消暂停用户 取消暂停用户 Google Workspace, Box, Office, Salesforce
帐户 帐户 帐户设置 转到特定应用中的帐户设置页面 (例如 Salesforce) 。 所有应用 -One 驱动器和 SharePoint 设置都是从 Office 中配置的。
帐户 文件 转让所有文件所有权 在帐户上,将一个用户的文件传输给所有由你选择的新人拥有。 以前的所有者将成为编辑器,无法再更改共享设置。 新所有者将收到有关所有权更改的电子邮件通知。 Google Workspace
帐户、活动策略 帐户 挂起用户 将用户设置为没有访问权限且无法登录。 如果在设置此操作时它们已登录,它们将立即被锁定。 Google Workspace, Box, Office, Salesforce
活动策略、帐户 帐户 要求用户再次登录 撤销用户向应用程序发出的所有刷新令牌和会话 Cookie 问题。 此操作将阻止访问组织的任何数据,并将强制用户再次登录到所有应用程序。 Google Workspace、Office
活动策略、帐户 帐户 确认用户已泄露 将用户的风险级别设置为“高”。 这会导致强制执行 Microsoft Entra ID 中定义的相关策略操作。 Office
活动策略、帐户 帐户 撤销管理员权限 撤销管理员帐户的权限。 例如,设置一个活动策略,该策略在 10 次登录尝试失败后撤销管理员权限。 Google Workspace
应用仪表板>应用权限 权限 取消应用 在 Google 和 Salesforce 中:从应用中删除禁令,并允许用户使用其 Google 或 Salesforce 授予第三方应用的权限。 在 Microsoft 365 中:将第三方应用的权限还原到 Office。 Google Workspace、Salesforce、Office
应用仪表板>应用权限 权限 禁用应用权限 撤销第三方应用对 Google、Salesforce 或 Office 的权限。 这是针对所有现有权限执行的一次性操作,但不会阻止将来的连接。 Google Workspace、Salesforce、Office
应用仪表板>应用权限 权限 启用应用权限 向第三方应用授予对 Google、Salesforce 或 Office 的权限。 这是针对所有现有权限执行的一次性操作,但不会阻止将来的连接。 Google Workspace、Salesforce、Office
应用仪表板>应用权限 权限 禁止应用 在 Google 和 Salesforce 中:撤销第三方应用对 Google 或 Salesforce 的权限,并禁止其将来接收权限。 在 Microsoft 365 中:不允许第三方应用访问 Office,但不会撤销这些权限。 Google Workspace、Salesforce、Office
应用仪表板>应用权限 权限 撤销应用 撤销第三方应用对 Google 或 Salesforce 的权限。 这是针对所有现有权限执行的一次性操作,但不会阻止将来的连接。 Google Workspace、Salesforce
应用仪表板>应用权限 帐户 从应用撤消用户 单击“用户”下的数字时,可以撤销特定用户。 屏幕将显示特定用户,你可以使用 X 删除任何用户的权限。 Google Workspace、Salesforce
发现 > 的应用/IP 地址/用户 云发现 导出发现数据 根据发现数据创建 CSV。 发现
文件策略 文件 垃圾 将文件移到用户的回收站中。 Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex (永久删除)
文件策略 文件 通知最后一个文件编辑器 发送一封电子邮件,通知最后编辑文件的人员,该文件违反了策略。 Google Workspace、Box
文件策略 文件 通知文件所有者 当文件违反策略时,向文件所有者发送电子邮件。 在 Dropbox 中,如果没有所有者与文件关联,通知将发送给你设置的特定用户。 所有应用
文件策略、活动策略 文件、活动 通知特定用户 发送一封电子邮件,通知特定用户有关违反策略的文件。 所有应用
文件策略和活动策略 文件、活动 通知用户 向用户发送电子邮件,通知他们所做的操作或他们拥有的文件违反了策略。 可以添加自定义通知,让他们知道冲突是什么。 全部
文件策略和文件 文件 删除编辑者共享的功能 在 Google Drive 中,文件的默认编辑器权限也允许共享。 此治理操作限制此选项,并将文件共享限制为所有者。 Google Workspace
文件策略和文件 文件 放入管理员隔离区 从文件中删除任何权限,并将文件移动到管理员位置中的隔离文件夹。此操作使管理员能够查看并删除文件。 Microsoft 365 SharePoint、OneDrive for Business、Box
文件策略和文件 文件 应用敏感度标签 根据策略中设置的条件,自动将Microsoft Purview 信息保护敏感度标签应用于文件。 Box、One Drive、Google Workspace、SharePoint
文件策略和文件 文件 删除敏感度标签 根据策略中设置的条件自动从文件中删除Microsoft Purview 信息保护敏感度标签。 仅当标签不包括保护,并且标签是从Defender for Cloud Apps内应用,而不是直接应用于信息保护时,才能删除标签。 Box、One Drive、Google Workspace、SharePoint
文件策略、活动策略、警报 应用 要求用户再次登录 你可以要求用户重新登录到所有 Microsoft 365,并Microsoft Entra应用,以快速有效地修正可疑用户活动警报和泄露的帐户。 可以在策略设置和警报页的“挂起用户”选项旁边找到新的治理。 Microsoft 365,Microsoft Entra ID
文件 文件 从用户隔离区还原 将用户从隔离状态还原。 Box
文件 文件 向自己授予读取权限 为自己授予文件的读取权限,以便可以访问文件并了解它是否存在冲突。 Google Workspace
文件 文件 允许编辑者共享 在 Google Drive 中,文件的默认编辑器权限也允许共享。 此治理操作与删除编辑器的共享功能相反,并且允许编辑器共享文件。 Google Workspace
文件 文件 保护 通过应用组织模板使用 Microsoft Purview 保护文件。 Microsoft 365 (SharePoint 和 OneDrive)
文件 文件 撤销自己表单的读取权限 为自己撤消文件的读取权限,在授予自己了解文件是否存在冲突的权限后很有用。 Google Workspace
文件、文件策略 文件 传输文件所有权 更改所有者 - 在策略中选择特定所有者。 Google Workspace
文件、文件策略 文件 减少公共访问 此操作使你能够将公开可用的文件设置为仅通过共享链接可用。 Google Workspace
文件、文件策略 文件 删除协作者 从文件中删除特定协作者。 Google Workspace、Box、One Drive、SharePoint
文件、文件策略 文件 设为专用 只有站点管理员才能访问该文件,所有共享都将被删除。 Google Workspace、One Drive、SharePoint
文件、文件策略 文件 删除外部用户 删除所有外部协作者 - 在“设置”中配置为内部的域之外。 Google Workspace、Box、One Drive、SharePoint
文件、文件策略 文件 授予对域的读取权限 向整个域或特定域的指定域授予文件的读取权限。 如果要在授予对需要处理该域的人员域的访问权限后删除公共访问权限,则此操作非常有用。 Google Workspace
文件、文件策略 文件 放入用户隔离区 从文件中删除所有权限,并将文件移动到用户根驱动器下的隔离文件夹。 此操作允许用户查看并移动文件。 如果手动移回,则不会还原文件共享。 Box、One Drive、SharePoint
文件 文件 使共享链接过期 为共享链接设置过期日期,该日期过后该链接将不再处于活动状态。 Box
文件 文件 更改共享链接访问级别 更改仅限公司、仅限协作者和公众之间的共享链接的访问级别。 Box
文件、文件策略 文件 删除公共访问 如果文件是你的文件,并且你将其置于公共访问权限中,则配置为访问该文件 (的任何其他人都可以访问该文件,具体取决于该文件) 的访问权限类型。 Google Workspace
文件、文件策略 文件 删除直接共享链接 删除为公开但仅与特定人员共享的文件创建的链接。 Box、Dropbox
设置> 云发现设置 云发现 重新计算云发现分数 在分数指标更改后,重新计算云应用目录中的分数。 发现
设置> 云发现设置 > 管理数据视图 云发现 创建自定义云发现筛选器数据视图 创建新的数据视图,以更精细地查看发现结果。 例如,特定的 IP 范围。 发现
设置> 云发现设置 > 删除数据 云发现 删除云发现数据 删除从发现源收集的所有数据。 发现
设置> 云发现设置 > 手动上传日志/自动上传日志 云发现 分析云发现数据 已分析所有日志数据的通知。 发现

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证