通过

将部署范围限定为特定用户或用户组

  • 项目

Microsoft Defender for Cloud Apps使你能够确定部署范围。 通过范围,你可以选择要监视应用或从监视中排除的特定用户组。

注意

作用域内部署 不会 减少扫描的文件、Oauth 应用程序和用户帐户的数量。 它仅减少基于所选用户组 的用户活动 数。

包括或排除用户组

你可能不希望对组织中的所有用户使用Microsoft Defender for Cloud Apps。 当由于许可证限制而要限制部署时,范围特别有用。 你可能还需要限制,因为合规性法规要求你不监视来自某些国家/地区的用户。 例如,使用作用域内部署仅监视美国员工。 或者,可以避免为位于德国的用户显示任何活动。

  • 若要限定部署范围,必须先将用户组导入到Microsoft Defender for Cloud Apps。 默认情况下,你将看到以下组:

    • 应用程序用户组 - 一个内置组,可用于查看 Microsoft 365 和Microsoft Entra应用程序执行的活动。

    • 外部用户组 - 不是你为组织配置的任何托管域成员的所有用户。

  • 设置包含规则将自动排除不在包含组中的所有组。 例如,如果将规则设置为包含美国办事处组的所有成员,则不会监视不属于该组的任何组。

  • 排除的用户组将覆盖包含的用户组。 这意味着,如果包括用户组“UK-employees”,但排除“Marketing”,则不会监视来自英国的营销成员,即使他们是 “UK-employees”组的成员。

  1. 在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “系统”下,选择“ 作用域内部署和隐私”。

  2. 若要将部署范围限定为包含或排除特定组,必须先将用户组导入Microsoft Defender for Cloud Apps。

  3. 若要设置由Microsoft Defender for Cloud Apps监视的特定组,请在“包括”选项卡中,选择“+添加规则”。

  4. “创建新的包含规则 ”对话框中,执行以下步骤:

    1. “类型规则名称”下,为规则提供描述性名称。

    2. “选择用户组”下,选择要使用Defender for Cloud Apps监视的所有组。

    3. 选择是将此规则应用于所有连接的应用,还是仅应用于 特定应用。 如果选择“ 特定应用”,该规则将仅影响所选应用的监视。 例如,如果选择 UI 团队用户Box 组,Defender for Cloud Apps将仅监视 UI 团队用户组用户和所有其他应用的 Box 活动,Defender for Cloud Apps将监视所有用户的所有活动。

      包含规则。

  5. 若要设置要从监视中排除的特定组,请在“ 排除 ”选项卡中选择“ +添加规则”。

  6. “创建新的排除规则 ”对话框中,设置以下参数:

    1. “类型规则名称”下,为规则提供描述性名称。 在“选择用户组”下,选择不希望Defender for Cloud Apps监视的所有组。

    2. 选择是将此规则应用于所有连接的应用,还是仅应用于 特定应用。 如果选择“特定应用”,Defender for Cloud Apps将停止监视仅针对所选应用的所选组。 这意味着,如果选择 UI 团队用户Active Directory 组,Defender for Cloud Apps将监视除 UI 团队用户执行的 Active Directory 活动以外的所有用户活动。

      排除规则。

包含和排除规则的示例结果

你创建的包含和排除规则协同工作,以限定Microsoft Defender for Cloud Apps执行的总体监视范围。 下面是可以创建的包含和排除规则的示例,以及运行这些规则后Microsoft Defender for Cloud Apps监视内容的最终结果。

如果创建以下规则:

  • 排除用户组“德国所有用户”
  • 仅包含用户组“全球销售”Microsoft 365 个活动
  • 仅包括用户组“销售经理”Power BI 活动
  • Salesforce 已连接到 Microsoft Defender for Cloud Apps,并且未为其设置任何规则

监视以下用户活动:

用户 组成员身份 监视的活动
Adriana 德国所有用户
全球销售
销售经理		 None
阿兰 全球销售 Microsoft 365 和除 Power BI 之外的所有子应用
山 茱萸 全球销售
销售经理		 Microsoft 365 和所有子应用
雷蒙德 销售经理 仅限 Power BI

注意

其他应用不会受到这些规则中的组范围的影响。 在此示例中,对于 Salesforce,将监视所有用户组的所有活动。

后续步骤

设置云发现

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证