共用方式為


治理連線應用程式 (部分機器翻譯)

治理可讓您控制使用者跨應用程式執行的動作。 對於連線的應用程式,您可以對檔案或活動套用治理動作。 治理動作是您可以直接從 適用於雲端的 Microsoft Defender Apps 對檔案或活動執行的整合式動作。 治理動作可控制使用者跨連線應用程式執行的動作。

注意

當 適用於雲端的 Microsoft Defender 應用程式嘗試在檔案上執行治理動作,但因為檔案已鎖定而失敗時,它會自動重試治理動作。

檔案治理動作

您可以對連線應用程式上的特定檔案、使用者執行下列治理動作,也可以利用特定原則達成相同的目的。

  • 通知:

    • 警示 – 您可以根據嚴重性層級,在系統中觸發警示,並透過電子郵件傳播警示。

    • 使用者電子郵件通知 - 您可自訂電子郵件訊息,並將其傳送給所有違規的檔案擁有者。

    • 通知特定使用者 - 將接收這些通知的電子郵件地址特定清單。

    • 通知上一位檔案編輯者 - 將通知傳送給上一位修改檔案的人員。

  • 應用程式中的治理動作 - 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。

    • 標記

      • 套用標籤 - 新增 Microsoft Purview 資訊保護 敏感度標籤的能力。
      • 拿掉標籤 - 移除 Microsoft Purview 資訊保護 敏感度標籤的能力。
    • 變更共用

      • 拿掉公用共用 – 只允許具名共同作業者存取,例如: 移除 Google 工作區的公用存取 ,以及 移除 Box 和 Dropbox 的直接共享連結

      • 移除外部使用者 - 只允許公司使用者進行存取。

      • 設為私人 – 只有網站管理員可以存取檔案,所有共用都會移除。

      • 移除共同作業者 - 從檔案中移除特定的共同作業者。

      • 減少公用存取 - 將可公開取得的檔案設定為只能透過共用連結來取得。 (Google)

      • 到期共享連結 - 能夠設定共享連結 的到期日,之後該連結將不再使用中。 (Box)

      • 變更共用連結存取層級 - 可變更共用連結存取層級 (僅限公司、僅限共同作業者和公用) 的能力。 (Box)

    • 隔離

      • 置入使用者隔離中 - 將檔案移至使用者控制的隔離資料夾中,以允許自助式服務

      • 置入系統管理隔離中 - 將檔案移至系統管理員磁碟的隔離中,而且必須由系統管理員核准。

    • 繼承父 系的許可權 - 此治理動作可讓您移除 Microsoft 365 中檔案或資料夾的特定許可權集。 然後還原為針對父資料夾所設定的權限。

    • 資源回收筒 - 將檔案移至 [資源回收筒] 資料夾。 (Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex)

    policy_create警示。

惡意代碼治理動作 (預覽)

您可以對連線應用程式上的特定檔案、使用者執行下列治理動作,也可以利用特定原則達成相同的目的。 基於安全性考慮,此清單僅限於不代表使用者或租用戶風險的惡意代碼相關動作。

  • 通知:

    • 警示 - 系統可以觸發警示,並根據嚴重性層級,透過電子郵件和文字訊息來傳播警示。
  • 應用程式中的治理動作 - 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。

    • 變更共用

      • 移除外部使用者 - 只允許公司使用者進行存取。 (Box、Google Drive、OneDrive、SharePoint)
      • 移除直接共享連結 – 移除先前共用連結 的許可權(Box、Dropbox)
    • 隔離

      • 放入使用者隔離 – 允許自助,方法是將檔案移至使用者控制的隔離資料夾(Box、OneDrive、SharePoint)
      • 置入系統管理隔離中 - 將檔案移至系統管理員磁碟的隔離中,而且必須由系統管理員核准。 (Box)
    • 資源回收筒 - 將檔案移至 [資源回收筒] 資料夾。 (Box、Dropbox、Google Drive、OneDrive、SharePoint)

惡意代碼治理動作。

注意

在 SharePoint 和 OneDrive 中,適用於雲端的 Defender Apps 僅支援使用者隔離共用文檔庫中的檔案 (SharePoint Online) 和文檔庫中的檔案 (商務用 OneDrive)。

適用於 Microsoft 365 客戶的 Microsoft Defender 可以透過 [Microsoft Defender 全面偵測回應 隔離] 頁面控制 SharePoint 和 OneDrive 中偵測到的惡意代碼檔案。 例如,支持的活動包括復原檔案、刪除檔案,以及下載受密碼保護 ZIP 檔案中的檔案。 這些活動僅限於尚未由 適用於雲端的 Microsoft Defender Apps 隔離的檔案。 在 SharePoint 中,適用於雲端的 Defender Apps 僅支援使用英文路徑共用檔的檔案隔離工作。

動作只會針對已連線的應用程式顯示。

活動治理動作

  • 通知

    • 警示 – 您可以根據嚴重性層級,在系統中觸發警示,並透過電子郵件傳播警示。

    • 使用者電子郵件通知 - 您可自訂電子郵件訊息,並將其傳送給所有違規的檔案擁有者。

    • 通知其他使用者 - 將接收這些通知的電子郵件地址特定清單。

  • 應用程式中的治理動作 - 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。

    • 暫時停止使用者的權限 - 暫時停止使用者的應用程式權限。

      注意

      如果您的Microsoft Entra標識符設定為自動與Active Directory 內部部署環境中的使用者同步處理,內部部署環境中的設定將會覆寫 Microsoft Entra 設定,並還原此治理動作。

    • 使用者必須重新登入 - 將使用者登出並要求他們重新登入。

    • 確認使用者遭 入侵 - 將使用者的風險等級設定為高。 這會導致強制執行Microsoft Entra ID 中定義的相關原則動作。 如需Microsoft Entra ID 如何與風險層級搭配運作的詳細資訊,請參閱 如何Microsoft Entra ID 使用我的風險意見反應

    適用於雲端的 Defender 應用程式活動原則治理動作。

撤銷 OAuth 應用程式並通知使用者

針對 Google Workspace 和 Salesforce,可以撤銷 OAuth 應用程式的許可權,或通知使用者他們應該變更許可權。 當您撤銷許可權時,它會移除 Microsoft Entra ID 中授與應用程式的所有許可權。

  1. 在 [應用程式控管] 頁面上的 [GoogleSalesforce] 索引標籤上,選取應用程式數據列結尾的三個點,然後選取 [通知使用者]。 根據預設,系統會通知使用者,如下所示: 您已授權應用程式存取Google Workspace 帳戶。此應用程式與貴組織的安全策略衝突。重新考慮在Google工作區帳戶中提供或撤銷您授與此應用程式的許可權。若要撤銷應用程式存取權,請移至: https://security.google.com/settings/security/permissions?hl=en&pli=1 選取應用程式,然後在右側功能表欄上選取 [撤銷存取權]。 您可以自定義傳送的訊息。

  2. 您也可以為使用者撤銷使用應用程式的權限。 選取資料表中應用程式數據列結尾的圖示,然後選取 [ 撤銷應用程式]。 例如:

    撤銷應用程式選項範例的螢幕快照。

治理衝突

建立多個原則之後,可能會出現多個原則中的治理動作重疊的狀況。 在此情況下,適用於雲端的 Defender 應用程式會處理治理動作,如下所示:

原則相衝突

  • 如果兩個原則包含彼此所包含的動作(例如,移除外部共用包含在 [設為私人] 中),適用於雲端的 Defender Apps 將解決衝突,並強制執行更強的動作。
  • 如果其中的動作無關 (例如通知擁有者設為私用), 則這兩個動作皆會執行。
  • 如果動作彼此衝突,(例如變更擁有者為使用者 A變更擁有者為使用者 B),則每個相符項目可能會產生不同的結果。 請務必變更原則以避免發生衝突,因為這些衝突可能會導致磁碟機出現偵測困難的不利變更。

使用者同步衝突

  • 如果您的Microsoft Entra標識符設定為自動與Active Directory 內部部署環境中的使用者同步處理,則內部部署環境中的設定將會覆寫 Microsoft Entra 設定,並將還原此治理動作。

治理記錄

治理記錄會提供您設定 適用於雲端的 Defender 應用程式執行之每個工作的狀態記錄,包括手動和自動工作。 這些工作包括您在原則中設定的動作、您在檔案和用戶上設定的治理動作,以及您設定 適用於雲端的 Defender Apps 採取的任何其他動作。 治理記錄也會提供這些動作成敗的相關資訊。 您可以選擇重試或還原治理記錄中的一些治理動作。

若要檢視治理記錄,請在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [治理記錄]。

下表是 適用於雲端的 Defender Apps 入口網站可讓您採取的動作完整清單。 如 [位置] 欄位中所述,主控台有很多地方可以啟用這些動作。 每項採取的治理動作都會列於治理記錄中。 如需原則衝突時如何處理治理動作的資訊,請參閱原則衝突

Location 目標目的類型 治理動作 描述 相關的連接器
帳戶 檔案 移除使用者的共同作業 移除特定使用者對於所有檔案的所有共同作業 - 對於有人離開公司時很實用。 Box、Google Workspace
帳戶 客戶​​ 恢復使用者的權限 恢復使用者的權限 Google Workspace、Box、Office、Salesforce
帳戶 客戶​​ 帳戶設定 帶您前往特定應用程式 (例如,進入 Salesforce) 中的 [帳戶設定] 頁面。 所有應用程式 - OneDrive 與 SharePoint 設定從 Office 內設定。
帳戶 檔案 移轉所有檔案擁有權 您可以針對一個帳戶,將某位使用者的檔案全部移轉為由您所選的一位新的人員擁有。 先前的擁有者會成為編輯者,再也無法變更共用設定。 新的擁有者會收到電子郵件通知,告知擁有權已變更。 Google 工作區
帳戶、活動原則 客戶​​ 暫時停止使用者的權限 設定使用者沒有任何存取權也無法登入。 如果您在設定此動作時登入,則會立即鎖定它們。 Google Workspace、Box、Office、Salesforce
活動原則、帳戶 客戶​​ 要求使用者重新登入 撤銷由使用者核發給應用程式的所有重新整理權杖及工作階段 Cookie。 此動作會禁止存取組織的任何資料,並強制使用者再次登入所有應用程式。 Google Workspace、Office
活動原則、帳戶 客戶​​ 確認使用者遭入侵 將用戶的風險層級設定為高。 這會導致強制執行Microsoft Entra ID 中定義的相關原則動作。 Office
活動原則、帳戶 客戶​​ 撤銷系統管理員權限 撤銷系統管理員帳戶的權限。 例如,設定活動原則,在登入嘗試失敗 10 次後撤銷系統管理員權限。 Google 工作區
應用程式儀錶板 > 應用程式許可權 權限 取消禁止應用程式 在 Google 和 Salesforce 中:移除禁止應用程式的設定,讓使用者授權協力廠商應用程式使用其 Google 或 Salesforce。 在 Microsoft 365:將第三方應用程式的許可權還原至 Office。 Google Workspace、Salesforce、Office
應用程式儀錶板 > 應用程式許可權 權限 撤銷應用程式權限 撤銷協力廠商應用程式使用 Google、Salesforce 或 Office 的權限。 這對所有現有權限都是一次性動作,但無法阻止未來的連線。 Google Workspace、Salesforce、Office
應用程式儀錶板 > 應用程式許可權 權限 授與應用程式權限 授權協力廠商應用程式使用 Google、Salesforce 或 Office。 這對所有現有權限都是一次性動作,但無法阻止未來的連線。 Google Workspace、Salesforce、Office
應用程式儀錶板 > 應用程式許可權 權限 禁止應用程式 在 Google 和 Salesforce 中:撤銷協力廠商應用程式對 Google 或 Salesforce 的權限,並禁止它之後接收權限。 在 Microsoft 365 中:不允許第三方應用程式存取 Office 的許可權,但不允許撤銷它們。 Google Workspace、Salesforce、Office
應用程式儀錶板 > 應用程式許可權 權限 撤銷應用程式 撤銷提供給 Google、Salesforce 或 Office 的第三方應用程式權限。 這對所有現有權限都是一次性動作,但無法阻止未來的連線。 Google Workspace、Salesforce
應用程式儀錶板 > 應用程式許可權 客戶​​ 從應用程式撤銷使用者 按一下 [使用者] 下的號碼,即可撤銷特定的使用者。 此畫面會顯示特定的使用者,而您可使用 X 來刪除任何使用者的權限。 Google Workspace、Salesforce
探索 > 探索到的應用程式/IP 位址/使用者 Cloud Discovery 匯出探索資料 從探索資料建立 CSV。 探索
檔案原則 檔案 資源回收筒 移動使用者垃圾箱中的檔案。 Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex (永久刪除)
檔案原則 檔案 通知前一位檔案編輯者 傳送電子郵件通知編輯違反原則之檔案的前一位編輯者。 Google Workspace、Box
檔案原則 檔案 通知檔案擁有者 當檔案違反原則時,傳送電子郵件給檔案擁有者。 在 Dropbox 中,如果沒有擁有者與檔案相關聯,則會將通知傳送給您設定的特定使用者。 所有應用程式
檔案原則, 活動原則 檔案, 活動 通知特定使用者 傳送電子郵件通知特定使用者有檔案違反了原則。 所有應用程式
檔案原則與活動原則 檔案, 活動 通知使用者 傳送電子郵件給使用者,通知使用者他們所進行的作業,或他們自己所擁有的檔案違反了原則。 您可以加入自訂通知,讓使用者知道所違反的規定為何。 全部
檔案原則及檔案 檔案 移除編輯者的能力以進行共用 在 Google 雲端硬碟中,檔案的預設編輯者權限也允許共用。 此治理動作會限制此選項,並限制檔案與擁有者共用。 Google 工作區
檔案原則及檔案 檔案 置於系統管理隔離中 從檔案中移除任何許可權,並將檔案移至系統管理員位置中的隔離資料夾。此動作可讓系統管理員檢閱檔案並加以移除。 Microsoft 365 SharePoint、商務用 OneDrive、Box
檔案原則及檔案 檔案 套用敏感度標籤 根據原則中設定的條件,自動將 Microsoft Purview 資訊保護 敏感度標籤套用至檔案。 Box、One Drive、Google Workspace、SharePoint
檔案原則及檔案 檔案 拿掉敏感度標籤 根據原則中設定的條件,自動從檔案中移除 Microsoft Purview 資訊保護 敏感度標籤。 只有當標籤不包含保護,而且標籤是從 適用於雲端的 Defender Apps 中套用,而不是直接套用在 資訊保護 中的標籤時,才能移除卷標。 Box、One Drive、Google Workspace、SharePoint
檔案原則、活動原則、警示 App 需要使用者重新登入 您可以要求使用者再次登入所有Microsoft 365 和 Microsoft Entra 應用程式,以快速有效的補救可疑用戶活動警示和遭入侵的帳戶。 您可以在 [原則設定] 和 [警示] 頁面中,於 [暫時停止使用者的權限] 選項旁找到新的治理動作。 Microsoft 365,Microsoft Entra ID
檔案 檔案 從使用者隔離還原 還原被隔離的使用者。 Box
檔案 檔案 對自己授與讀取權限 授與您自己檔案的讀取權限,讓您可以存取該檔案,並了解它是否有違規。 Google 工作區
檔案 檔案 允許編輯者進行共用 在 Google Drive 中,檔案的預設編輯者權限也允許共用。 此治理動作與移除編輯器共用的能力相反,可讓編輯器共用檔案。 Google 工作區
檔案 檔案 保護 套用組織範本來保護具有 Microsoft Purview 的檔案。 Microsoft 365 (SharePoint 和 OneDrive)
檔案 檔案 撤銷自己的讀取權限 撤銷您自己對檔案的讀取權限,授與您自己有權限可了解檔案是否有違規情況之後,此項目相當實用。 Google 工作區
檔案、檔案原則 檔案 移轉檔案擁有權 變更擁有者 - 在原則中選取特定的擁有者。 Google 工作區
檔案、檔案原則 檔案 減少公用存取 此動作讓您將可公開取得的檔案設定為只能透過共用連結取得。 Google 工作區
檔案、檔案原則 檔案 移除共同作業者 移除檔案的特定共同作業者。 Google Workspace、Box、One Drive、SharePoint
檔案、檔案原則 檔案 使其成為私人 只有網站管理員可以存取檔案,所有共用都會移除。 Google Workspace、One Drive、SharePoint
檔案、檔案原則 檔案 移除外部使用者 移除所有外部共同作業者 - 在 [設定] 中可將網域之外的共同作業者設定為內部共同作業者。 Google Workspace、Box、One Drive、SharePoint
檔案、檔案原則 檔案 授與網域的讀取權限 為整個網域或特定的網域,對指定的網域授與檔案的讀取權限。 若在授與需要使用網域工作的人員該網域存取權後,想要移除公用存取,這項動作很實用。 Google 工作區
檔案、檔案原則 檔案 置於使用者隔離中 移除檔案具備的所有權限,並將檔案移至使用者根磁碟機下的隔離資料夾。 此動作可讓使用者檢閱並移動檔案。 如以手動方式移回檔案,不會還原檔案共用。 Box, OneDrive, SharePoint
檔案 檔案 過期共用連結 設定共用連結的過期日期,該日期過後共用連結將不再有效。 Box
檔案 檔案 變更共用連結存取層級 變更共用連結存取層級 (僅限公司、僅限共同作業者和公用)。 Box
檔案、檔案原則 檔案 移除公用存取 如果您開放自己檔案的公用存取,則設定具有該檔案存取權的任何其他人都可存取它 (視此檔案的存取種類而定)。 Google 工作區
檔案、檔案原則 檔案 移除直接的共用連結 移除為公用檔案建立的連結,僅供特定人員共用。 Box、Dropbox
設定> Cloud Discovery 設定 Cloud Discovery 重新計算雲端探索分數 變更分數計量之後,重新計算雲端應用程式類別目錄中的分數。 探索
設定> Cloud Discovery 設定 > 管理數據檢視 Cloud Discovery 建立自定義雲端探索篩選數據檢視 建立新的資料檢視,取得探索結果更細微的檢視。 例如,特定的 IP 範圍。 探索
設定> Cloud Discovery 設定 > 刪除資料 Cloud Discovery 刪除雲端探索數據 刪除從探索來源收集來的所有資料。 探索
設定 Cloud Discovery 設定> > 手動上傳記錄/自動上傳記錄 Cloud Discovery 剖析雲端探索數據 已剖析所有記錄資料的通知。 探索

下一步

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證