从连接的应用中导入用户组

使用 API 连接器连接应用时,Microsoft Defender for Cloud Apps允许导入用户组,例如从 Microsoft 365 和 Microsoft Entra ID。 有两种类型的用户组:

  • 自动组:默认情况下,自动组由 Microsoft Defender for Cloud Apps 创建。 例如,有一个名为 External 的自动用户组,该组合并了来自组织外部的所有应用中的所有用户,这些用户有权访问租户中的文件或用户活动。 Defender for Cloud Apps中存在以下自动组:

    • 外部
    • Dropbox 管理员
    • Microsoft 365 管理员
    • Google 工作区管理员
    • Box 管理员
    • 所有 Salesforce 标准和自定义配置文件,例如 Salesforce 系统管理员。 请参阅 此处的完整列表。
  • 导入的组: 可以从连接的应用中导入任何组。 例如,可以从 Microsoft 365 (Active Directory) 和其他连接的应用中导入用户组。 这些组使你能够在组织中查找威胁,而不是通过查看整个组织或特定用户,而是通过查看特定组来查找威胁。

    使用导入的用户组的典型方案包括:

    • 调查人力资源人员查看的文档。
    • 检查执行组中是否存在异常情况。
    • 查找管理员组中是否有人在美国以外执行了活动。

导入用户组

  1. 在“Microsoft Defender XDR”中,选择“设置>”“云应用>系统>用户组 > + 导入用户组”。

  2. “导入用户组 ”窗格中,选择要从中导入用户组的应用。 显示的应用取决于已部署的连接器。

  3. 选择要导入的组。 该列表包括应用中现有用户组的前 50 个组。 如果未看到组,请在列表上方的搜索字段中输入搜索文本。

    若要向列表添加新组,请在应用本身中执行此操作,然后返回到 Microsoft Defender 门户,在列表中查看新组。

  4. (可选) 选择在导入过程完成时通过电子邮件通知。

  5. 选择“导入”。

导入完成后,从“用户组”页中选择你的 ,查看所有组成员的列表。 选择任何组成员以进一步向下钻取更多详细信息,包括使用的应用和帐户活动的摘要。 在 活动日志 中进行调查和创建策略时,还可以选择导入的组作为筛选器。 对于导入的组,组成员会自动同步,就像 Active Directory Connect 一样。

注意

  • 导入用户组的最大数量为 500。
  • 只有活动用户才会作为导入组的一部分进行导入。 将忽略任何挂起、删除或禁用的用户。
  • 在筛选器中提供导入的用户组之前,可能会有短暂的延迟。
  • 只有导入用户组后执行的活动才会标记为已由用户组成员执行。
  • 初始同步后,组通常每小时更新一次。 但是,由于各种因素,有时这可能需要几个小时。

有关使用用户组筛选器的详细信息,请参阅 活动

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证